Link z wirusem wysyłany samoczynnie z poczty

[damianczapla]

Witam Wszystkich

 

Problem pojawił się wczoraj, mianowicie dostałem wiadomość od koleżanki, iż został wysłany do niej mail zawierający link, którego tak na prawdę nie wysłałem, został samoczynnie wysłany z mojej poczty, do kilku odbiorców. Najprawdopodobniej jest to link z wirusem. Proszę o pomoc. W załączniku przesyłam niezbędne informacje.

 

http://wklej.org/id/953845/ <--- LOG Z GMER'A

 

Dziękuję za każdą pomoc!

Extras.Txt

OTL.Txt

[picasso]

damianczapla, post przypominający usuwam. Zasady działu na temat ilości autoryzowanych osób do pomocy oraz cierpliwości: KLIK.

 

 

dostałem wiadomość od koleżanki, iż został wysłany do niej mail zawierający link, którego tak na prawdę nie wysłałem, został samoczynnie wysłany z mojej poczty, do kilku odbiorców. Najprawdopodobniej jest to link z wirusem.

 

Czy logowałeś się do poczty tylko z tego komputera, a może też z innych? O jakiej poczcie mowa? Czy na pewno to e-mail wysłany z Twojego adresu i nie ma tu zjawiska tzw. "spoofingu"", czyli sfałszowania (kto inny jest nadawcą rzeczywistym)?

 

W raportach brak oczywistych oznak infekcji, ale GMER dziwnie wygląda. Sprawdź co widzi Kaspersky TDSSKiller. Jeśli wykryje cokolwiek innego niż SPTD (to prawidłowy sterownik emulacji napędów wirtualnych), wyasygnuj opcję Skip i raport do oceny przedstaw.

 

 

---

Póki co, wyczyść sobie odpadki adware, ale to nie ma żadnego związku z problemem zasadniczym.

 

1. Przez Panel sterowania możesz odinstalować zbędny komponent AVG Security Toolbar.

 

2. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych usuń odnośniki www.v9.com. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń Ask z listy. W Rozszerzeniach odinstaluj AVG Security Toolbar, o ile będzie po wykonaniu punktu 1.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={7822AC26-0C3F-4AB7-9590-3E61DE730714}&mid=8806e1909e2647d09f22d157d6c86f8b-6be3d143853b7f9ff43d16d98e6f2cf1f9a899a0&lang=pl&ds=AVG&pr=pr&d=2012-05-27 19:09:43&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/burn4free/{5E166C2F-2250-4D69-BA8B-C00910F88B5E}?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{E2DFB882-6428-4DEA-A8D7-FB173EE5680C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=9860de59-1ebf-4927-b5b7-f192147833b3&apn_sauid=4752E6A9-7CDE-4532-81BA-8451E82E5E6E"
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Files
C:\Users\Damian\AppData\Roaming\Mozilla
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[damianczapla]

Logowałem się raz w pracy, lecz inni pracownicy, też mają dostęp do poczty, ale nikt nie miał problemów. Nie jestem w stanie powiedzieć czy było to wysłane bezpośrednio z mojego konta, ponieważ od razu wykasowałem wszystko + kosz itp.

 

Tutaj przedstawiam scan z Kaspersky TDSSKiller:

http://wklej.org/id/955168/

 

W załączniku przesyłam log z OTL oraz log z AdwCleaner

 

 

Dziękuję bardzo za pomoc.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Logowałem się raz w pracy, lecz inni pracownicy, też mają dostęp do poczty, ale nikt nie miał problemów. Nie jestem w stanie powiedzieć czy było to wysłane bezpośrednio z mojego konta, ponieważ od razu wykasowałem wszystko + kosz itp.

 

Jak mówię, z raportów nic tu dla mnie nie wynika. Jedyne co mogę zalecić, to prewencyjną zmianę hasła logowania do poczty.

 

 

Tutaj przedstawiam scan z Kaspersky TDSSKiller

 

Nic nie wykrył. Ten GMER mnie nadal zastanawia. Usuń sterownik SPTD i zresetuj system: KLIK. Po restarcie na wszelki wypadek zrób nowe logi: GMER + aswMBR.

 

 

W załączniku przesyłam log z OTL oraz log z AdwCleaner

 

Czyszczenie z adware wykonane. Zamknij ten temat:

 

1. Korekta domyślnych wyszukiwarek IE (AdwCleaner to ustawienie wymazał). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

[damianczapla]

W załącznikach dołączam logi.

 

http://wklej.org/id/957904/

 

 

Dziękuję za pomoc!!!

aswMBR.txt

[picasso]

Ale logi zrobiłeś w złych warunkach. Sterownik SPTD nie odinstalowany:

23:30:45.224 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa800248e2c0]
A mówiłam:

 

Usuń sterownik SPTD i zresetuj system: KLIK. Po restarcie na wszelki wypadek zrób nowe logi: GMER + aswMBR.

 

.

[damianczapla]

Oj przepraszam, teraz już powinno być dobrze. Usunąłem (tak mi się wydaje sterowniki SPTD) poprzednio usunąłem sam program wirtualnego napędu, a niestety nie doczytałem do końca, iż trzeba dokończyć cały proces. Teraz zrobiłem tak jak w instrukcji, próbowałem też wyszukać klucz w regedit ale nie byłem w stanie go znaleźć.

 

aswMBR znalazł mi jakiś plik, ale nie naprawiłem go. link do screen'a: http://pokazywarka.pl/q9rkm5/

 

W załączniku dołączam log.

 

http://wklej.org/id/959575/

 

Mam nadzieję, że tym razem nic nie skopałem, dziękuję za poświęcony czas!

aswMBR.txt

[picasso]

aswMBR znalazł mi jakiś plik, ale nie naprawiłem go.

 

To nadal wygląda na aktywność emulatora. Niezmiennie widzę SPTD w logu aswMBR. Czy na pewno po użyciu narzędzia SPTDinst zresetowałeś system, by odładować z pamięci ten sterownik?

 

 

.

[damianczapla]

Przeszukałem dysk, faktycznie było tam trochę pozostałości po emulatorach, ale w postaci plików setup.exe itp. Zrobiłem ponownie scan aswMBR i niestety znowu.. wykrywa to samo. Nie mam pojęcia co może być tego przyczyna. Wszystkie emulatory i tym podobne są wg. mnie odinstalowane.. a nie mam pojęcia gdzie mogą być pozostałości po nich. Zrobiłem ponowny scan i dalej to samo sie pokazuje.

[picasso]

Pytam ponownie: co pokazuje narzędzie SPTDinst: KLIK.

[damianczapla]

Log z gmer'a: http://wklej.org/id/961031/

 

Log z aswMBR w załączniku.

 

Usunąłem wszystko jak w instrukcji, i teraz nic nie wykryło.

aswMBR.txt

[picasso]

Po usunięciu emulatora SPTD wszystko wygląda jak należy i ja tu nie widzę nic podejrzanego. Ustosunkowałam się już do reszty wątków.

[damianczapla]

W takim razie dziękuję Pani bardzo!

[picasso]

Na zakończenie zaktualizuj system (brak SP1) i poniżej wyliczone programy: KLIK. Obecnie w systemie widać wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"AVG" = AVG 2012
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"ENTERPRISE" = Microsoft Office Enterprise 2007
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 24.0.1312.57

 

Temat zamykam.

 

.