Spam z jednej z moich skrzynek pocztowych - jakiś robak?

[Yavien]

Używam Thunderbirda do pobierania maili z różnych skrzynek.

Zaniepokoiło mnie, że w jednej mojej skrzynce pocztowej (aaa@interia.pl) znalazłam mail spamowy jakoby napisany z mojego innego adresu (bbb@gazeta.pl) - adresy oczywiście przykładowe, ale może domena maila ma coś na rzeczy.

To znaczy nadawcą nie jest bbb@gazeta.pl, tylko "bbb gazeta.pl <tutaj.zupelnie.inny@mail>", treść typowo spamerska

 

Cytat

Hi,

 

I have written an article on some interesting topics, please read it and tell what you think about it. Thanks! Here is the link <link, nie klikałam oczywiście>

 

Bests, bbb Gazeta.pl

 

Poza aaa@interia.pl mail był wysłany na inne adresy:

- jakaś recepcja hotelu, który rezerwowałam w 2011 roku,

- fachowiec z którym mailowałam w 2010 itd.

To osoby, których nie mam w skrzynce adresowej, ale z adresu bbb@gazeta.pl kiedyś z nimi korespondowałam.

 

Zastanawiam się, czy nie mam jakiegoś robaka czy innego złośliwego oprogramowania. No bo skąd spamer na takie adresy akurat wysłał? Wiadomo, że w link od "znajomego" każdy chętniej kliknie.

 

 

dwa tygodnie temu robiłam upgrade do Win10, nie wiem, czy to ma znaczenie.

 

logi załączam.

 

20160711_gmer.txt Addition.txt FRST.txt Shortcut.txt

[picasso]

Cytat

To znaczy nadawcą nie jest bbb@gazeta.pl, tylko "bbb gazeta.pl ", treść typowo spamerska

 

To wygląda na coś w tym stylu: KLIK / KLIK.

 

 

W raportach nie widać żadnych oznak infekcji. Tylko poboczne działania:

 

1. Odinstaluj zbędny program HP Customer Participation Program 14.0. Do aktualizacji poniższe programy: KLIK.

 

Adobe Acrobat Reader DC - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AC0F074E4100}) (Version: 15.016.20045 - Adobe Systems Incorporated)
Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.242 - Adobe Systems Incorporated)
Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation)

 

2. Kosmetyczny skrypt usuwający szczątkowe wpisy. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: {0248757B-C979-4426-A52B-CEBEFA661627} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {075F028C-7FF6-45FE-B68D-136A3520F371} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {0A8A1F24-7A1C-4922-BD76-7AF1CAB2CEEA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {0A985BE5-27FC-4EB2-8EB5-A0626A806328} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {116882FD-30C4-4737-AAB8-463F25ADB697} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {12D2CA48-E0E4-460D-ACB8-2DA71ED21D44} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {22B7C9CE-4996-408B-A2C1-6251F96737CF} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
Task: {28FD07D8-14B0-4A0F-A740-3DADA48DBDBF} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {3B8AE42C-FE67-4E31-841F-BA388199D644} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {4008A5CB-3933-47A4-946F-B70DE6EC8987} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {4873B9D2-36EF-4F3B-A769-AEF32549D849} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {55DCBB8A-4148-4DAF-A6F9-7F70FA0A88CB} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {5A8BC9D6-3318-4C4A-B7BC-F73C3E6F92A1} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {5DD36B80-6B02-42D9-BEDB-57E65A4B7BC9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {64222051-9D29-44AA-8D01-5B65EAE8441A} - \PMTask -> Brak pliku <==== UWAGA
Task: {69A89CD8-9D10-4C85-836B-0DA961EEE279} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {7A86A303-0C4D-426A-8C52-C8CAA202F3FF} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {8493D86E-9D12-45DD-A852-A958414F1E79} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {84C21648-3732-49C4-8513-F1B498787DE8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {9034722B-6488-4867-816C-235FC09AE337} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {99310360-D273-4329-8476-BFC817F32825} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {A64308A4-C68D-4999-8C9D-728E82ECCBF3} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {AB3BAB90-DA31-4FBC-B780-5936F0898A5C} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {B315479C-FBA6-488C-AEAD-05E7E4B72DF9} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {B5DA585E-31CC-4221-86AE-B0E01BD34953} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {BD6729B4-EE8F-48C1-A72D-94016C868255} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {D44AB5EA-4580-4336-80D4-64FEC157B467} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {D5F9F32E-8CE7-48DB-B7B3-9FB414EC16AA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe
Task: {F06644E6-2032-4EC0-B0A1-B150EF95348B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {FDCE862C-9615-46A0-BC4F-BC79AC485DA7} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe
Task: {FF7C2D8C-53DB-46CB-BE8D-E5AB0BCABBA6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {FFCD8A2B-4058-400A-A746-E68D820F5A97} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
C:\WINDOWS\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKU\S-1-5-21-1500825603-450778821-1061133333-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

 

[Yavien]

Tak, to ewidentnie podszycie się pod nadawcę (bbb@gazeta.pl), niepokoi mnie tylko lista odbiorców. Skąd spamer wiedział, by wysłać na takie adresy właśnie. 

 

dezinstalacja, aktualizacje i fix wykonane, dziękuję.

 

Fixlog.txt

[picasso]

Cytat

Tak, to ewidentnie podszycie się pod nadawcę (bbb@gazeta.pl), niepokoi mnie tylko lista odbiorców. Skąd spamer wiedział, by wysłać na takie adresy właśnie.

 

Nie wiem, ale nic tu nie wskazuje na infekcję. Czy z któregoś konta pocztowego korzystałaś na innym komputerze niż tu przedstawiony? I prewencyjnie można zmienić dane logowania.

 

A Fix FRST pomyślnie wykonany. Skorzystaj z DelFix.

[Yavien]

Dziękuję, delfix wykonany:

 

# DelFix v1.013 - Logfile created 17/07/2016 at 12:52:10
# Updated 17/04/2016 by Xplode
# Username : T500 - LENOVO
# Operating System : Windows 10 Home  (32 bits)


~ Removing disinfection tools ...


Deleted : C:\FRST
Deleted : C:\Users\T500\Downloads\Addition.txt
Deleted : C:\Users\T500\Downloads\Fixlog.txt
Deleted : C:\Users\T500\Downloads\FRST.exe
Deleted : C:\Users\T500\Downloads\FRST.txt
Deleted : C:\Users\T500\Downloads\Shortcut.txt


########## - EOF - ##########

 

hasło do poczty zmieniłam, loguję się czasem z komputera w pracy lub z komórki, na obcych sprzetach nie. Ale może kiedyś - kiedyś dawno temu mi się zdarzyło i nie pamiętam.

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To wszystko.