1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Похоже на заражение системы спам-ботом

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Andrey S., 7 июл 2017.

  1. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Уважаемые Господа!
    Помогите решить проблему: при открытии Microsoft Outlook он в скрытом режиме начинает рассылку спама (в основном сексуального характера). Обнаружить удалось по приходящим "отбойникам" о невозможности доставки почты. Более 1000 писем в день. На компьютере установлен Avast Endpoint Security Plus, выполнялось полное сканирование системы при запуске, также сканировалось с помощью DrWeb LiveCD. Какие-то трояны были найдены и удалены. Но рассылка спама продолжается. Логи AutoLogger прилагаю.
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.772
    Симпатии:
    14.799
    Автологер свежий скачивали? Проблемная система установлена на диск F:?

    В Outllok проверьте активные надстройки, на наличие вредоносных (Файл - Параметры - Надстройки). В на панели параметров есть пункт "Центр управления безопасностью", убедитесь, что не включено автоматическое выполнение макросов. Выглядеть должно примерно так:
    upload_2017-7-7_18-0-51.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  4. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    обязательно все сделаю в понедельник... компьютер - рабочий, сотрудник на выходных...
     
  5. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    По пунктам:
    1. Автологер был от 27.06.2017г., на всякий случай скачал сегодня 10.07.2017г. - свежие логи прилагаю.
    2. Проблемная система на диске F: - подтверждаю.
    3. Outlook проверил - визуально все чисто (см. вложенные скриншоты: Outlook-1 и Outlook-2
    4. Просканировал Farbar - отчеты прилагаю.
     

    Вложения:

  6. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.593
    Симпатии:
    1.251
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код (Text):
      Start::
      CreateRestorePoint:
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
      BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
      BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
      CHR Extension: (No Name) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-13]
      CHR Extension: (No Name) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-13]
      CHR Extension: (4shared Toolbar) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gpabpboohfeecdkmjhbccaaknnnbgadd [2013-04-17]
      CHR Extension: (BonanzaDeals) - F:\Documents and Settings\shevelev\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj [2014-11-27]
      EmptyTemp:
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Подробнее читайте в этом руководстве.


    Далее:
    • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    akok нравится это.
  7. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Все операции выполнены - логи во вложении...
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      3,7 КБ
      Просмотров:
      3
    • AdwCleaner[S0].txt
      Размер файла:
      10,3 КБ
      Просмотров:
      3
  8. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.593
    Симпатии:
    1.251
    • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
    • Нажмите кнопку "Scan" ("Сканировать").
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  9. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Все вычистил - файл отчета во вложении.
    Повторное сканирование (после очистки) угроз не обнаруживает.
     

    Вложения:

  10. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.593
    Симпатии:
    1.251
    Так и продолжается?
     
  11. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Час назад включили учетную запись на почтовом сервере, пока никаких "отбойников" не приходит... Сегодня еще понаблюдаем, но, надеюсь, что проблема устранена. А что за "гадость" была?
     
  12. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.593
    Симпатии:
    1.251
    Мы очистили хвосты адвари, которые вряд ли являются причиной спама.

    Хорошо, сообщите.
     
    akok нравится это.
  13. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Я тоже так и понял, что Вы добили остатки "бонанзы" и "мэйла"... Тем не менее проблема исчезла... Более полу-суток никакой деятельности по рассылке не наблюдается. Спасибо за помощь.
     
  14. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.593
    Симпатии:
    1.251
    Проделайте завершающие шаги:
    1.
    • Пожалуйста, запустите adwcleaner.exe
    • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
    • Подтвердите удаление, нажав кнопку: Да.

    Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

    2.
    • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
     
  15. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Файл отчета прилагаю...
     

    Вложения:

  16. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.593
    Симпатии:
    1.251
    ------------------------------- [ Windows ] -------------------------------
    Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB3197835 Внимание! Скачать обновления
    HotFix KB4012598 Внимание! Скачать обновления
    HotFix KB4012583 Внимание! Скачать обновления
    HotFix KB4022747 Внимание! Скачать обновления
    HotFix KB4024323 Внимание! Скачать обновления
    HotFix KB4025218 Внимание! Скачать обновления
    --------------------------- [ OtherUtilities ] ----------------------------
    TrueCrypt v.7.1a Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать VeraCrypt.
    WinRAR 4.00 бета 6 (32-разрядная) v.4.00.6 Внимание! Скачать обновления
    -------------------------------- [ Java ] ---------------------------------
    Java 7 Update 79 v.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 25 ActiveX v.25.0.0.171 Внимание! Скачать обновления
    Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - Проверить обновления!^
    ---------------------------- [ UnwantedApps ] -----------------------------
    Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
    Skype Click to Call v.5.8.8855 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


    Прочтите и выполните Рекомендации после удаления вредоносного ПО

    Тема помечается решенной, но не закрывается.
     
  17. Andrey S.

    Andrey S. Новый пользователь

    Сообщения:
    9
    Симпатии:
    2
    Все проблемы устранили.
    Разобрались так же с рассылкой спама. Рассылка шла не с этого компьютера. Ранее был взломан почтовый ящик и почта отправлялась с другого сервера, но через авторизацию почтового ящика сотрудника. Поэтому ему все "отбойники" и приходили. Решили проблему баном стороннего ай-пи + смена паролей на почтовом сервере.
    Спасибо за Вашу помощь и внимание.
     
    Sandor и akok нравится это.
Загрузка...

Поделиться этой страницей