Решена Похоже на заражение системы спам-ботом

Статус
В этой теме нельзя размещать новые ответы.

Andrey S.

Новый пользователь
Сообщения
9
Реакции
2
Уважаемые Господа!
Помогите решить проблему: при открытии Microsoft Outlook он в скрытом режиме начинает рассылку спама (в основном сексуального характера). Обнаружить удалось по приходящим "отбойникам" о невозможности доставки почты. Более 1000 писем в день. На компьютере установлен Avast Endpoint Security Plus, выполнялось полное сканирование системы при запуске, также сканировалось с помощью DrWeb LiveCD. Какие-то трояны были найдены и удалены. Но рассылка спама продолжается. Логи AutoLogger прилагаю.
 

Вложения

  • CollectionLog-2017.07.07-16.25.zip
    147.2 KB · Просмотры: 2
база от 27.06.2017 04:00
Автологер свежий скачивали? Проблемная система установлена на диск F:?

В Outllok проверьте активные надстройки, на наличие вредоносных (Файл - Параметры - Надстройки). В на панели параметров есть пункт "Центр управления безопасностью", убедитесь, что не включено автоматическое выполнение макросов. Выглядеть должно примерно так:
upload_2017-7-7_18-0-51.png


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
обязательно все сделаю в понедельник... компьютер - рабочий, сотрудник на выходных...
 
По пунктам:
1. Автологер был от 27.06.2017г., на всякий случай скачал сегодня 10.07.2017г. - свежие логи прилагаю.
2. Проблемная система на диске F: - подтверждаю.
3. Outlook проверил - визуально все чисто (см. вложенные скриншоты: Outlook-1 и Outlook-2
4. Просканировал Farbar - отчеты прилагаю.
 

Вложения

  • CollectionLog-2017.07.10-13.44.zip
    143.3 KB · Просмотры: 2
  • Outlook-1.jpg
    Outlook-1.jpg
    77.6 KB · Просмотры: 66
  • Outlook-2.jpg
    Outlook-2.jpg
    45.8 KB · Просмотры: 62
  • Addition.txt
    72.6 KB · Просмотры: 1
  • FRST.txt
    33.7 KB · Просмотры: 2
  • Shortcut.txt
    239.4 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    CHR Extension: (No Name) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-13]
    CHR Extension: (No Name) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-13]
    CHR Extension: (4shared Toolbar) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gpabpboohfeecdkmjhbccaaknnnbgadd [2013-04-17]
    CHR Extension: (BonanzaDeals) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj [2014-11-27]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Далее:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Все операции выполнены - логи во вложении...
 

Вложения

  • Fixlog.txt
    3.7 KB · Просмотры: 3
  • AdwCleaner[S0].txt
    10.3 KB · Просмотры: 3
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Все вычистил - файл отчета во вложении.
Повторное сканирование (после очистки) угроз не обнаруживает.
 

Вложения

  • AdwCleaner[C0].txt
    10.7 KB · Просмотры: 1
Час назад включили учетную запись на почтовом сервере, пока никаких "отбойников" не приходит... Сегодня еще понаблюдаем, но, надеюсь, что проблема устранена. А что за "гадость" была?
 
Я тоже так и понял, что Вы добили остатки "бонанзы" и "мэйла"... Тем не менее проблема исчезла... Более полу-суток никакой деятельности по рассылке не наблюдается. Спасибо за помощь.
 
Проделайте завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Файл отчета прилагаю...
 

Вложения

  • SecurityCheck.txt
    11 KB · Просмотры: 1
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TrueCrypt v.7.1a Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать VeraCrypt.
WinRAR 4.00 бета 6 (32-разрядная) v.4.00.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 79 v.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 ActiveX v.25.0.0.171 Внимание! Скачать обновления
Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.5.8.8855 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО

Тема помечается решенной, но не закрывается.
 
Все проблемы устранили.
Разобрались так же с рассылкой спама. Рассылка шла не с этого компьютера. Ранее был взломан почтовый ящик и почта отправлялась с другого сервера, но через авторизацию почтового ящика сотрудника. Поэтому ему все "отбойники" и приходили. Решили проблему баном стороннего ай-пи + смена паролей на почтовом сервере.
Спасибо за Вашу помощь и внимание.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу