Показано с 1 по 16 из 16.

Посторонний траффик + использование моих учетных записей для рассылки почты (заявка № 9764)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38

    Thumbs up Посторонний траффик + использование моих учетных записей для рассылки почты

    Сегодня мой знакомый сказал, что получил от меня пустое письмо, которого
    я не посылал. Я попросил прислать RFC-заголовок этого письма, из которого
    стало ясно, что письмо отправлено с моего компьютера. Больше всего меня
    насторожила тема письма, которая была осмысленной и имела прямое отношение
    к моему знакомому с таким смыслом: Расчет за <название проекта.ру>
    Далее сегодня же на один из своих емейл-адресов (ящик на сервисе mail.ru и
    с моим платным хостингом не связан) вдруг получил пачку вернувшихся писем,
    (хотя я их не рассылал) от различных MAILER-DAEMON и postmaster прчем все
    они в зоне .de
    В RFC-заголовках подозрение вызвал айпишник и название сервера, где хостятся
    мои сайты (и работает почта), с которых были отправлены, якобы мной, письма
    Кроме описанного выше, сразу после подключения к интернету наблюдаю
    посторонний малозаметный траффик
    Только вчера запускал сканер Касперского (без расширенных баз), он ничего не
    обнаружил (до этого Касперского регулярно обновлял и сканировал все файлы).

    Сканирование сегодня при помощи утилиты Drweb-CureIT так же не дало никаких
    результатов.
    AVZ обнаружил следующее:
    2. Проверка памяти
    Количество найденных процессов: 29
    Анализатор - изучается процесс 876 C:\WINDOWS\system32\G-VGA.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1440 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 2004 C:\PROGRA~1\MICROS~4\rapimgr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Количество загруженных модулей: 272
    Проверка памяти завершена
    плюс еще:
    7. Эвристичеcкая проверка системы
    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "msjidpmo.dll"
    Проверка завершена
    Хочу пояснить: я испльзую интернет-соединение Стрим и адсл-модем и приложение
    C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe относится именно к нему
    По инструкции с Virusinfo отключил восстановление системы, сделал первый лог
    AVZ, перезагрузился, сделал второй лог, сделал лог HijackThis, включил
    восстановление системы.
    Выкладываю три лога, как написано в инструкции.
    Очень надеюсь на помощь экспертов.
    Хотелось бы также комментария, о том что произошло и по какой возможной причине.
    А также совета, как защитить информацию от кражи в данной ситуации.
    Заранее спасибо за помощь!
    Последний раз редактировалось Алек; 01.08.2010 в 17:18.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\G-VGA.exe','');
     QuarantineFile('C:\WINDOWS\system32\msssmsda.dll','');
     QuarantineFile('msjidpmo.dll','');
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через ссылку вверху ("Прислать запрошеные файлы").

    Пофиксить:
    Код:
    O20 - AppInit_DLLs:  msjidpmo.dll
    
    O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
    
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O15 - Trusted Zone: *.fanerra.ru - сами добавляли в довереные?
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Скрипт выполнил, комп сам перезагрузился.
    Карантин прислал.

    Когда фиксил получил такое сообщение:
    "An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: msjidpmo.dll)
    Error #5 - Invalid procedure call or argument

    Please email me at merijn@spywareinfo.com, reporting the following:
    * What you were trying to fix when the error occurred, if applicable
    * How you can reproduce the error
    * A complete HijackThis scan log, if possible

    Windows version: Windows NT 5.01.2600
    MSIE version: 6.0.2900.2180
    HijackThis version: 1.99.1

    This message has been copied to your clipboard.
    Click OK to continue the rest of the scan."

    Дальше нажал ОК и перезагрузил комп.

    O15 - Trusted Zone: *.fanerra.ru - добавил в доверенные сам

    Что делать дальше?
    В чем была причина проблемы и откуда она могла появиться?
    Проблема устранена?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Сделайте новые логи по правилам , посмотрим что осталось

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Да, сейчас сделаю, только вот хотел уточнить: восстановление сисемы после чего можно включать? В правилах сказано, что "после лечения" - поясните, пожалуйста, на чем в данном случае заканчивается лечение? Я первый раз включил восстановление системы после получения лога HijackThis - правильно сделал?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Восстановление системы как выключили перед созданием первых логов, так и не включайте, пока вам не сообщат, что больше ничего зловредного на компьютере нет.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Сделал новые логи.

    Кстати в протоколе AVZ опять написал:
    "2. Проверка памяти
    Количество найденных процессов: 28
    Анализатор - изучается процесс 784 C:\WINDOWS\system32\G-VGA.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1688 C:\PROGRA~1\MICROS~4\rapimgr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 1768 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Количество загруженных модулей: 270
    Проверка памяти завершена"

    Жду комментариев специалистов.
    Последний раз редактировалось Алек; 01.08.2010 в 17:18.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от Алек Посмотреть сообщение
    Кстати в протоколе AVZ опять написал:
    ...C:\WINDOWS\system32\G-VGA.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1688 C:\PROGRA~1\MICROS~4\rapimgr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 1768 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Просто этих файлов нет в базе безопасных, и АВЗ выясняет чем они занимаются. Поищите (как искать - http://virusinfo.info/showthread.php?t=4567):
    Код:
     C:\WINDOWS\system32\msssmsda.dll 
     msjidpmo.dll
    Если найдутся, пришлите их по правилам.
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Выполнил поиск файлов msssmsda.dll и msjidpmo.dll через AVZ в соответствии с указанной Вами инструкцией - поиск ничего не дал

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Алек Посмотреть сообщение
    поиск ничего не дал
    ну а почему такой грустный? Может убили их уже. Сделайте новые логи, плиз.

  12. #11
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Еще раз выкладываю логи.

    Если все ОК, то хотелось бы знать в чем была причина и каким путем могло произойти данное заражение/проникновение?

    Какое ваше заключение?
    Последний раз редактировалось Алек; 01.08.2010 в 17:18.

  13. #12
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Просто напоминаю о своем вопросе

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах все чисто. Проблема больше не проявляется?
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    38
    Пока не наблюдаю

    Спасибо за помощь!
    Можно включить восстановление системы?

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Можно

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Алек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 17
      Последнее сообщение: 10.02.2012, 18:36
    2. Зафиксирован рост угроз, направленных на кражу учетных записей в соцсетях
      От CyberWriter в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 18.11.2011, 15:00
    3. Блокировка обновлений и учетных записей в Windows 7
      От -Алексей- в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.07.2011, 20:39
    4. Ответов: 0
      Последнее сообщение: 02.08.2010, 20:58
    5. Русский хакер выставил на продажу 1.5 млн. учетных записей Facebook
      От ALEX(XX) в разделе Новости интернет-пространства
      Ответов: 5
      Последнее сообщение: 25.04.2010, 22:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01070 seconds with 23 queries