Automatyczne wysylanie spamu

[moloch4]

Objawy zainfekowania:
Moje skrzynki pocztowe zostały zablokowane ze względu na to ze był z nich wysyłany spam. W domu mam dwa kompy które są podłączone do netu.
Proszę o pomoc w zlokalizowaniu problemu

Wykonywane działania:
Komp skanowany przy pomocy Aviry oraz spybota nic nie znalazły.

Logi:
Logi komp1:
awd

[Aby zobaczyć linki, zarejestruj się tutaj]

otl

[Aby zobaczyć linki, zarejestruj się tutaj]

extras

[Aby zobaczyć linki, zarejestruj się tutaj]

frst

[Aby zobaczyć linki, zarejestruj się tutaj]

addition

[Aby zobaczyć linki, zarejestruj się tutaj]

hijack

[Aby zobaczyć linki, zarejestruj się tutaj]

Logi komp2:
awd

[Aby zobaczyć linki, zarejestruj się tutaj]

otl

[Aby zobaczyć linki, zarejestruj się tutaj]

extras

[Aby zobaczyć linki, zarejestruj się tutaj]

frst

[Aby zobaczyć linki, zarejestruj się tutaj]

addicion

[Aby zobaczyć linki, zarejestruj się tutaj]

hijack

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

hijack mnie nie interesuje z tego względu że jest już przestarzały.

Komp. 1 Uzupełnij też o log z addition.txt

[Apocalypse]

Pierwsza sprawa jaka sie powinno zrobic to zmiana hasla. Logowales sie z jakis innych urzadzen na poczte? (tablet, telefon)

[moloch4]

Hasła oczywiscie zmieniłem

Tak logowałem się z tel i tabletu na konto.
Tel sprawdziłem Avirą i nic, tabletu jeszcze nie ruszałem niczym z braku czasu.

Plik addition dla komp1uzupełnię jak tylko wrócę do domu.

Logowałem sięjeszcze z kompa w pracy:

fsrt

[Aby zobaczyć linki, zarejestruj się tutaj]

addition

[Aby zobaczyć linki, zarejestruj się tutaj]

adw

[Aby zobaczyć linki, zarejestruj się tutaj]

otl

[Aby zobaczyć linki, zarejestruj się tutaj]

extras

[Aby zobaczyć linki, zarejestruj się tutaj]

---

Dodano: 12 mar 2014, 18:06

Uzupełniłem temat o addition dla komp1

[tachion]

Komp1

Odinstaluj:

Spybot - Search & Destroy (program niskiej reputacji)


Do notatnika wklej i zapisz jako fixlist.txt

Kod:

URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {67C334C0-408D-4E6D-B5A7-0ADD6AFFA252} URL =
C:\Users\Marcin\AppData\Local\unins000.msg
C:\Users\Marcin\AppData\Local\unins000.dat
C:\Users\Marcin\AppData\Local\unins000.exe
C:\Users\Agnieszka\AppData\Local\Temp\avgnt.exe
C:\Users\Marcin\AppData\Local\Temp\avgnt.exe
C:\Users\Marcin\AppData\Local\Temp\Quarantine.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.


Komp2

Odinstaluj:

Spybot - Search & Destroy

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
SearchScopes: HKLM - DefaultScope value is missing.
S3 UIUSys; system32\drivers\UIUSys.sys [X]
C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\AskSLib.dll
C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\Quarantine.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Wykonaj te same działania programemTDSSKillerjak w przypadku komp.1

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[moloch4]

Komp1
fsrt fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSSKiller

[Aby zobaczyć linki, zarejestruj się tutaj]

SC

[Aby zobaczyć linki, zarejestruj się tutaj]

Komp2
fsrt fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSSKiller

[Aby zobaczyć linki, zarejestruj się tutaj]

SC

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Czy skrzynki nadal są zablokowane czy już jest po problemie ?

[moloch4]

Problem póki co nie wystapił ponownie. Skrzynki zostaly odblokowanie a hasla do nich zmieniłem

[tachion]

Ok,więc robimy czyszczenie po działaniach aplikacji.

KOMP1

W adwcleaner kliknij odinstaluj.


Results of screen317''s Security Check version 0.99.80
Windows 7x64 (UAC is enabled)

[Aby zobaczyć linki, zarejestruj się tutaj]

``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Spybot - Search & Destroy
Java 7 Update 45
Java version out of Date!
Adobe Flash Player 12.0.0.43
Adobe Reader XI
Mozilla Firefox (27.0.1)
Mozilla Thunderbird 12.0.1 Thunderbird out of Date!
Google Chrome 33.0.1750.117
Google Chrome 33.0.1750.146
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Malwarebytes'' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````


Zaktualizuj opcje podane na czerwono,szczególnie Javei Service Pack 1dla Windows 7 x64

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.


KOMP2

W adw klik odinstaluj.

Zaktualizuj:

Adobe Flash Player 12.0.0.44do wersji 12.0.0.77

Ściągnij i zainstaluj również service pack 3do Windows xp

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

[moloch4]

Bardzo dziękuje za pomoc.

Pozdrawiam