Skocz do zawartości

Wirus wysyłający spam z mojego konta pocztowego


Rekomendowane odpowiedzi

Witam,

 

Widzę, że żniwo zbiera wirus Ukashowy.

Ja póki co mam problem innego typu.

Ale od początku.

 

Na wstępie zaznaczę, że używam Windowsa 7 Home Premium Edition (x64).

 

Wszystko zaczęło się parę dni temu, kiedy zacząłem otrzymywać na jedno konto pocztowe spore ilości maili od Mail Delivery System, o treści zbliżonej:

 

This is the mail system at host moh2-ve3.go2.pl.

 

 

I'm sorry to have to inform you that your message could not

be delivered to one or more recipients. It's attached below.

 

For further assistance, please send mail to postmaster.

 

If you do so, please include this problem report. You can

delete your own text from the attached returned message.

 

The mail system

 

<butjosi(at)hotmail.com>: host mx2.hotmail.com[65.54.188.110] said: 550 Requested

action not taken: mailbox unavailable (in reply to RCPT TO command)

 

 

 

 

Reporting-MTA: dns; moh2-ve3.go2.pl

X-Postfix-Queue-ID: 3FE3A48147

X-Postfix-Sender: rfc822; rostov(at)o2.pl

Arrival-Date: Sun, 8 Jul 2012 23:28:52 +0200 (CEST)

 

Final-Recipient: rfc822; butjosi(at)hotmail.com

Original-Recipient: rfc822;butjosi(at)hotmail.com

Action: failed

Status: 5.0.0

Remote-MTA: dns; mx2.hotmail.com

Diagnostic-Code: smtp; 550 Requested action not taken: mailbox unavailable

 

you need to tell me what is meant by this: Pic No. 48.eml

Temat: you need to tell me what is meant by this: Pic No. 48

Nadawca: Steve Ellis <rostov(at)o2.pl>

Data: 2008-02-23 23:48

Adresat: butjosi@hotmail.com

 

 

Como estas?

Please give me the meaning me that picture:

 

htttttttttttt://smileon.eu//img.php?Steve Ellis

 

Super cool shit!

 

Nic sobie z tego szczególnie nie robiłem, ponieważ wiedziałem, że nikomu nic nie wysłałem, a podobne sytuacje zdarzały mi się już kiedyś.

Do czasu, aż wczorajszego dnia zablokowano mi skrzynkę, na którą przychodziły "zwrotki".

Domyśliłem się więc, że to robota jakiegoś wirusa lub bota spamującego.

 

Nie mam tylko pewności, czy to efekt wirusa działającego na moim kompie, czy bota, który gdzieś w sieci wyłapał mój adres i dopisał go sobie do listy nadawców, stąd te zwrotki trafiające do mnie.

Chcę zwrócić się do O2 z wnioskiem o odblokowanie konta, ale wcześniej chcę być pewien, że mój komp jest czysty, dlatego zamieszczam logi do sprawdzenia.

 

 

 

 

I jeszcze log opcjonalny z SecurityCheck:

 

 

Results of screen317's Security Check version 0.99.42

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Auslogics Registry Cleaner

JavaFX 2.1.0

Java™ 7 Update 4

Java version out of Date!

Adobe Reader X (10.1.3)

Mozilla Firefox (13.0.1)

Mozilla Thunderbird (13.0.1)

Google Chrome 19.0.1084.56

Google Chrome 20.0.1132.47

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

Pozwolę sobie jeszcze zaktualizować informacje z powyższego posta o kilka spostrzeżeń.

Nie jest to chyba efekt działalności wirusa znajdującego się bezpośrednio na dysku, ponieważ po przejrzeniu zwrotek, zauważyłem, że dotyczą one maili wysłanych rzekomo przeze mnie w czasie, kiedy nie miałem w ogóle włączonego komputera.

Ponadto, zarówno komputer jak i net działają bez zarzutu - komp nie muli, ani nie zacina, a i net działa z normalną prędkością; co więcej - w czasie bezczynności nie jest generowany ruch na łączu.

Ale to tylko moje gdybania ;-)

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widzę tu żadnych oznak infekcji. Tylko mnie zastanowiło co to za aplikacja jest autoryzowana w zaporze:

 

========== Vista Active Application Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{422FD7BB-3933-4CD2-94C4-EEFD57FEC411}" = protocol=17 | dir=in | app=c:\users\rostov\d\scc\scc.exe |

"{E3E5F41F-0302-4DAD-89D8-AE686167D474}" = protocol=6 | dir=in | app=c:\users\rostov\d\scc\scc.exe |

 

To nie jest oczywiście dostateczna ocena, logi są bardzo ograniczone. Jest wymagany dodatkowy skan systemu, a też notuję brak jakiegokolwiek antywirusa w systemie. Wykorzystaj tę kombinację: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware.

 

 

PS. Do usunięcia drobne wtręty adware Facemoods i Ask:

 

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-764258043-3443933537-1065429426-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-11-17 20:25:44 | 000,002,333 | ---- | M] () -- C:\Users\Rostov\AppData\Roaming\Mozilla\Firefox\Profiles\5mfjbeoz.default\searchplugins\askcom.xml
[2011-12-30 14:18:45 | 000,002,047 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
[2012-07-04 21:17:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Ask
[2012-02-20 20:00:41 | 000,000,000 | ---D | M] -- C:\Users\Rostov\AppData\Roaming\Babylon
O4 - HKLM..\Run: []  File not found

 

Klik w Wykonaj skrypt.

 

2. Uruchom AdwCleaner i użyj opcję Delete.

 

 

.

Odnośnik do komentarza

Cóż, w skanerach nic ciekawego i nasuwająca skojarzenia na powiązanie. Zaplątane kraczki (a fe :P) i wykaz określonych luk w oprogramowaniu. I w tym momencie nie mam innej koncepcji niż bot grasujący w sieci O2.

 

Skrypt + AdwCleaner zrobiły co należy. O nowy skan w OTL nie prosiłam (zmiany zbyt nikłe jak na potrzebę oglądania całości), Extras już mam (odcinam duplikat). Po tym czyszczeniu tylko drobne zamknięcia:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, odinstaluj Kasperskiego (o ile to się już nie stało, zamknięcie okna to inicjuje) i ewentualnie dokasuj po nim resztki (o ile nadal będą widoczne):

 

[2012-07-11 13:20:06 | 000,000,166 | -HS- | C] () -- C:\windows\9009138drv.spi

[2012-07-11 12:12:14 | 142,609,336 | ---- | C] () -- C:\Users\Rostov\Desktop\setup_11.0.0.1245.x01_2012_07_11_12_54.exe

[2012-07-11 12:44:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Drobna aktualizacja Java + sprawdzian wtyczek Adobe: KLIK.

 

 

.

Odnośnik do komentarza

Zrobione :)

Ad czyszczenia folderów przywracania systemu - wyłączyłem przywracanie systemu, czyszcząc przy okazji kosz - bo gdy włączyłem pierwszy raz pełny skan Kapsersky'im, to termin zakończenia go obliczyło mi na 13 dni :o

 

----------------

 

Czyli teraz mogę już składać wniosek do O2 o odblokowanie skrzynki?

 

Mam jeszcze takie pytanie.

Jeśli spam z mojej skrzynki to nie wynik wirusa działającego na moim dysku, to co?

Czyżby jakiś spambot, działający poza moim komputerem, dopisał mój adres do listy nadawców spamowych maili i dlatego zwrotki przychodziły do mnie?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...