Решена Похоже на заражение системы спам-ботом

Статус
В этой теме нельзя размещать новые ответы.
A

Andrey S.

Новый пользователь
Сообщения
9
Реакции
2
Уважаемые Господа!
Помогите решить проблему: при открытии Microsoft Outlook он в скрытом режиме начинает рассылку спама (в основном сексуального характера). Обнаружить удалось по приходящим "отбойникам" о невозможности доставки почты. Более 1000 писем в день. На компьютере установлен Avast Endpoint Security Plus, выполнялось полное сканирование системы при запуске, также сканировалось с помощью DrWeb LiveCD. Какие-то трояны были найдены и удалены. Но рассылка спама продолжается. Логи AutoLogger прилагаю.
 

Вложения

база от 27.06.2017 04:00
Нажмите для раскрытия...
Автологер свежий скачивали? Проблемная система установлена на диск F:?

В Outllok проверьте активные надстройки, на наличие вредоносных (Файл - Параметры - Надстройки). В на панели параметров есть пункт "Центр управления безопасностью", убедитесь, что не включено автоматическое выполнение макросов. Выглядеть должно примерно так:
upload_2017-7-7_18-0-51.webp


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
обязательно все сделаю в понедельник... компьютер - рабочий, сотрудник на выходных...
 
По пунктам:
1. Автологер был от 27.06.2017г., на всякий случай скачал сегодня 10.07.2017г. - свежие логи прилагаю.
2. Проблемная система на диске F: - подтверждаю.
3. Outlook проверил - визуально все чисто (см. вложенные скриншоты: Outlook-1 и Outlook-2
4. Просканировал Farbar - отчеты прилагаю.
 

Вложения

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
CHR Extension: (No Name) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-13]
CHR Extension: (No Name) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-13]
CHR Extension: (4shared Toolbar) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gpabpboohfeecdkmjhbccaaknnnbgadd [2013-04-17]
CHR Extension: (BonanzaDeals) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj [2014-11-27]
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Далее:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Все вычистил - файл отчета во вложении.
Повторное сканирование (после очистки) угроз не обнаруживает.
 

Вложения

Час назад включили учетную запись на почтовом сервере, пока никаких "отбойников" не приходит... Сегодня еще понаблюдаем, но, надеюсь, что проблема устранена. А что за "гадость" была?
 
Я тоже так и понял, что Вы добили остатки "бонанзы" и "мэйла"... Тем не менее проблема исчезла... Более полу-суток никакой деятельности по рассылке не наблюдается. Спасибо за помощь.
 
Проделайте завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TrueCrypt v.7.1a Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать VeraCrypt.
WinRAR 4.00 бета 6 (32-разрядная) v.4.00.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 79 v.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 ActiveX v.25.0.0.171 Внимание! Скачать обновления
Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.5.8.8855 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО

Тема помечается решенной, но не закрывается.
 
Все проблемы устранили.
Разобрались так же с рассылкой спама. Рассылка шла не с этого компьютера. Ранее был взломан почтовый ящик и почта отправлялась с другого сервера, но через авторизацию почтового ящика сотрудника. Поэтому ему все "отбойники" и приходили. Решили проблему баном стороннего ай-пи + смена паролей на почтовом сервере.
Спасибо за Вашу помощь и внимание.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

oleg21
  • Закрыта
Решена Похоже завёлся очень сильный майнер, переустановка не помогает, прошу помогите
Ответы
19
Просмотры
472
oleg21
oleg21
A
Решена Поймал что то нехорошее(похоже на майнер)
Ответы
11
Просмотры
855
Sandor
Sandor
goshanalmes
  • Закрыта
Решена Майнер поймал похоже
Ответы
11
Просмотры
849
akok
akok
Назад
Сверху Снизу