Thunderbird podmienia wiadomości przychodzące

[ksalem]

Witam
Problem polega na tym, że przychodzi e-mail od konkretnej osoby i kiedy pobieram resztę wiadomości (mam w Thunderbird domyślnie opcję pobierania tylko nagłówków) podmienia mi zawartość wiadomości razem z adresem nadawcy, bez zmiany tytułu. Treść jest automatycznie blokowana. Skanowałem win7 nowo zainstalowanym antywirusem Avira (ostatnio miałem tylko Microsoft Security Essentials) i usunęło mi kilka śmieci (log w załączniku) jednak problem nie znikł.
Na innych programach poczty (telefon Samsung) nie mam tego problemu i wiadomość pobiera się prawidłowo.

Zastanawia mnie czy to problem u mnie czy nadawcy.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

AVSCAN-20161015-062717-A64C7962.txt

[picasso]

Nie widzę tutaj żadnej infekcji związanej z opisywanymi objawami... FRST w ogóle nie skanuje Thunderbird, więc nie wiadomo co w nim jest zainstalowane. Z raportu FRST można wywnioskować tylko tyle, że jest conajmniej jedno (nieszkodliwe) rozszerzenie aktywnie załadowane i nic poza tym. Skoro następują jakieś niepożądane ingerencje w treści e-mail, zdeaktywuj wszystkie rozszerzenia zamontowane w Thunderbird, następnie przeładuj program i sprawdź czy jest jakaś zmiana.

 

2013-07-19 19:06 - 2012-11-21 07:26 - 00008704 _____ () C:\Users\acer\AppData\Roaming\Thunderbird\Profiles\rvy7ksvj.default\extensions\mintrayr@tn123.ath.cx\lib\tray_x86-msvc.dll

 

Natomiast w systemie są obiekty adware PriceFountain i SafeFinder, przy okazji można usunąć masowe przekierowania Avira search.avira.net (to modyfikacje typu "PUP"). Obiekty PriceFountain w Harmonogramie są globalne i to ewentualnie mogłoby się łączyć z pokazywaniem w Thunderbird jakiś treści reklamowych, ale te zadania PriceFountain wyglądają na martwe / nieaktywne (nie widzę w załadowanych modułach pasującego obiektu).

 

1. Są tu dwa antywirusy, odinstaluj Microsoft Security Essentials. Do deinstalacji także Tlen.pl - martwy komunikator i sieć komunikacyjna. Obecnie jedyne co działa to tylko poczta.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {0C038161-06C4-4C7C-9A6A-3FBAEE56D6E2} - System32\Tasks\acerMaxwellsProbabilitiesV2 => Rundll32.exe PlunderingGargling.dll,main 7 1 
Task: {417802E5-0367-4539-8A8C-C7459B9DE135} - System32\Tasks\{128D6072-B423-9421-A97D-30E62BD88BBC} => C:\Users\acer\AppData\Roaming\PRICEF~1\PRICEF~1.EXE 
Task: C:\Windows\Tasks\{128D6072-B423-9421-A97D-30E62BD88BBC}.job => C:\Users\acer\AppData\Roaming\PRICEF~1\PRICEF~1.EXE 
S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe shuz -f "C:\ProgramData\\Quotenamron\\Quotenamron.dat" -l -a
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 pcidnt; \SystemRoot\System32\Drivers\pcidnt.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
S3 vdrive; system32\DRIVERS\vdrive.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
MSCONFIG\Services: GamesAppService => 3
MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
MSCONFIG\startupreg: Komunikator => C:\Program Files (x86)\Tlen.pl\tlen.exe
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\...\Policies\Explorer: []
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms}
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms}
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms}
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net
HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8RQlLk9E&i=26
SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {DD95CDBF-AD1E-4CD5-881B-9DC2BA807971} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms}
StartMenuInternet: FIREFOX.EXE - firefox.exe
StartMenuInternet: Google Chrome - Chrome.exe
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Extensions
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: netsh advfirewall reset
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra
C:\Users\acer\AppData\Local\MaxwellsProbabilities
C:\Users\acer\AppData\Roaming\*.*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[ksalem]

Temat do zamknięcia.

System postawiony na nowo.