Показано с 1 по 15 из 15.

Спам активность (заявка № 166077)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35

    Спам активность

    Добрый день.

    При подключении одного из ноутбуков к сети интернет, начинают приходить отбойники о недоставки сообщений которые я не отправлял. Количество отбойников за сутки может перевалить за 50 тысяч.
    Опытным путем удалось выяснить при подключении какого устройства начинается рассылка спама с моего почтового ящика. Ноутбук был проверен бесплатными утилитами от Лаборатории Касперского и Доктора Веба. Сканирование результатов не дало. Также были запущены GMER и Trojan Remover.
    Почтовый клиент использую MS Outlook 2007, отправка спама происходит даже если Outlook не запущен, пароль на п/я менял несколько раз.

    Помогите разобраться пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Ival97, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Смените пароль на почту.

    Сделайте лог сканирования МВАМ.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35
    Запускал уже несколько раз. В процессе проверки MBAM останавливается на каком нибудь *.jpg файле из может проверять его бесконечно долго. Сейчас уже несколько часов проверяется *.jpg и папки c:\Windows\Web\Wallpeper\

    Как быть??

    P.s. Извиняюсь, первый раз ни туда нажал и сообщение в ЛС ушло

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35
    MBAM ожил. Подожду ещё, может до делается. Выложу все сразу

    - - - - -Добавлено - - - - -

    Указанные логи
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Лог MBAM надо было текстовый.

    Удалите в MBAM (переместите в карантин) всё найденное.

    Собственно троянов не видно.
    Сделайте ещё раз полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме, только на это время подключите ноутбук к интернету. Надо понять, какое именно приложение безобразничает.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35
    Извиняюсь отсутствовал.
    Подключил к сети сделал как указанно.
    http://rghost.ru/58197783

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    На момент снятия образа автозапуска никакой активности, связанной с отправкой почты, не было.
    Какая именно почта? На Янндексе, Gmail можно увидеть информацию по активности своего аккаунта - время, протокол, ip-адрес с которого шла отправка/приём.
    WBR,
    Vadim

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35
    Ну если по подробнее то описываю ситуацию.

    Почта на Exchange 2010, коннектор настроен так что использовать его могут только пользователи прошедшие доменную авторизацию на почтовом сервере. Рассылка начинается когда ноут попадает во внутреннюю сеть. Весь спам идет через сервер, очередь на отправку собирается бешеная, ну и соответственно отбойники сыплются в бешеном количестве. Ноут не в домене, доступ к почте был через outlook, когда проблемы начались убил учетку в outlook и стал пользоваться OWA. На ноуте стоит лицензия NOD, которой и было с начало все продрано, потом все что есть всети из ПО для удаления вирусов, эффект 0, ну как Вы и сами видите по логам. Сразу просмотрел на наличие vbs и ps скриптов для отправки почты и прочего ПО типа postie, но ничего. Да и к тому же пароли то менял, а не авторизированного релея на сервере нет. Что делать ума не приложу, воткнуть во внутреннюю сеть сейчас не представляется возможным, но как видно из другой подсети (не в которой расположен почтовик) рассылки нет. Что делать уже ума не приложу, но втыкать в подсеть почтовика очень не хотелось бы, так как мало того что очереди руками чистить приходится, так еще и из спам листов потом домен выковыривать.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Давно проблема возникла?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    WBR,
    Vadim

  14. Это понравилось:


  15. #12
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35
    Первый раз проблема всплыла в начале августа, потом были еще две волны, опытным путем удалось вычислить устройство после включения которого начинается проблема, её удалось даже воспроизвести, но найти что-то, что бомбит сервер спамом так и не удалось.
    Вложения Вложения
    • Тип файла: zip logs.zip (32.6 Кб, 1 просмотров)

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Деинсталлируйте обе версии Java 6, обычную и x64, они с большим количеством критических уязвимостей. Если Java вообще нужна, установите Java 7 Update 67.

    Удалите Uniblue RegistryBooster, это adware.

    AmmyAdmin там Ваш?
    Доступ по RDP нужен? Отключите для верности.

    Win-R, cmd и запустите bitsadmin /reset /allusers
    Покажите вывод этой команды.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx
    Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx
    Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx
    Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в личном сообщении.
    WBR,
    Vadim

  17. Это понравилось:


  18. #14
    Junior Member Репутация
    Регистрация
    05.09.2014
    Сообщений
    11
    Вес репутации
    35
    В ЛС
    Изображения Изображения

  19. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Есть у меня ощущение, что каким-то образом спам через bits слался...
    Отключите в службах "Фоновую интеллектуальную службу передачи..." и проверьте быстро-быстро, глядя в логи Exchange
    WBR,
    Vadim

  20. Это понравилось:


Похожие темы

  1. Ответов: 9
    Последнее сообщение: 23.12.2012, 11:30
  2. Анти-спам проверка, спам вк.
    От micuko в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.12.2012, 00:27
  3. долой спам-спам-спам....спааам
    От DeFreeze в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 15.10.2009, 23:28

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00372 seconds with 20 queries