Показано с 1 по 16 из 16.

Посторонний траффик + использование моих учетных записей для рассылки почты (заявка № 9764)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65

    Thumbs up Посторонний траффик + использование моих учетных записей для рассылки почты

    Сегодня мой знакомый сказал, что получил от меня пустое письмо, которого
    я не посылал. Я попросил прислать RFC-заголовок этого письма, из которого
    стало ясно, что письмо отправлено с моего компьютера. Больше всего меня
    насторожила тема письма, которая была осмысленной и имела прямое отношение
    к моему знакомому с таким смыслом: Расчет за <название проекта.ру>
    Далее сегодня же на один из своих емейл-адресов (ящик на сервисе mail.ru и
    с моим платным хостингом не связан) вдруг получил пачку вернувшихся писем,
    (хотя я их не рассылал) от различных MAILER-DAEMON и postmaster прчем все
    они в зоне .de
    В RFC-заголовках подозрение вызвал айпишник и название сервера, где хостятся
    мои сайты (и работает почта), с которых были отправлены, якобы мной, письма
    Кроме описанного выше, сразу после подключения к интернету наблюдаю
    посторонний малозаметный траффик
    Только вчера запускал сканер Касперского (без расширенных баз), он ничего не
    обнаружил (до этого Касперского регулярно обновлял и сканировал все файлы).

    Сканирование сегодня при помощи утилиты Drweb-CureIT так же не дало никаких
    результатов.
    AVZ обнаружил следующее:
    2. Проверка памяти
    Количество найденных процессов: 29
    Анализатор - изучается процесс 876 C:\WINDOWS\system32\G-VGA.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1440 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 2004 C:\PROGRA~1\MICROS~4\rapimgr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Количество загруженных модулей: 272
    Проверка памяти завершена
    плюс еще:
    7. Эвристичеcкая проверка системы
    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "msjidpmo.dll"
    Проверка завершена
    Хочу пояснить: я испльзую интернет-соединение Стрим и адсл-модем и приложение
    C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe относится именно к нему
    По инструкции с Virusinfo отключил восстановление системы, сделал первый лог
    AVZ, перезагрузился, сделал второй лог, сделал лог HijackThis, включил
    восстановление системы.
    Выкладываю три лога, как написано в инструкции.
    Очень надеюсь на помощь экспертов.
    Хотелось бы также комментария, о том что произошло и по какой возможной причине.
    А также совета, как защитить информацию от кражи в данной ситуации.
    Заранее спасибо за помощь!
    Последний раз редактировалось Алек; 01.08.2010 в 17:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\G-VGA.exe','');
     QuarantineFile('C:\WINDOWS\system32\msssmsda.dll','');
     QuarantineFile('msjidpmo.dll','');
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через ссылку вверху ("Прислать запрошеные файлы").

    Пофиксить:
    Код:
    O20 - AppInit_DLLs:  msjidpmo.dll
    
    O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
    
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O15 - Trusted Zone: *.fanerra.ru - сами добавляли в довереные?
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Скрипт выполнил, комп сам перезагрузился.
    Карантин прислал.

    Когда фиксил получил такое сообщение:
    "An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: msjidpmo.dll)
    Error #5 - Invalid procedure call or argument

    Please email me at [email protected], reporting the following:
    * What you were trying to fix when the error occurred, if applicable
    * How you can reproduce the error
    * A complete HijackThis scan log, if possible

    Windows version: Windows NT 5.01.2600
    MSIE version: 6.0.2900.2180
    HijackThis version: 1.99.1

    This message has been copied to your clipboard.
    Click OK to continue the rest of the scan."

    Дальше нажал ОК и перезагрузил комп.

    O15 - Trusted Zone: *.fanerra.ru - добавил в доверенные сам

    Что делать дальше?
    В чем была причина проблемы и откуда она могла появиться?
    Проблема устранена?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Сделайте новые логи по правилам , посмотрим что осталось

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Да, сейчас сделаю, только вот хотел уточнить: восстановление сисемы после чего можно включать? В правилах сказано, что "после лечения" - поясните, пожалуйста, на чем в данном случае заканчивается лечение? Я первый раз включил восстановление системы после получения лога HijackThis - правильно сделал?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Восстановление системы как выключили перед созданием первых логов, так и не включайте, пока вам не сообщат, что больше ничего зловредного на компьютере нет.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Сделал новые логи.

    Кстати в протоколе AVZ опять написал:
    "2. Проверка памяти
    Количество найденных процессов: 28
    Анализатор - изучается процесс 784 C:\WINDOWS\system32\G-VGA.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1688 C:\PROGRA~1\MICROS~4\rapimgr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 1768 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Количество загруженных модулей: 270
    Проверка памяти завершена"

    Жду комментариев специалистов.
    Последний раз редактировалось Алек; 01.08.2010 в 17:18.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от Алек Посмотреть сообщение
    Кстати в протоколе AVZ опять написал:
    ...C:\WINDOWS\system32\G-VGA.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 1688 C:\PROGRA~1\MICROS~4\rapimgr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 1768 C:\Program Files\AT-AR210\AT-AR210 USB MODEM\dslmon.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Просто этих файлов нет в базе безопасных, и АВЗ выясняет чем они занимаются. Поищите (как искать - http://virusinfo.info/showthread.php?t=4567):
    Код:
     C:\WINDOWS\system32\msssmsda.dll 
     msjidpmo.dll
    Если найдутся, пришлите их по правилам.
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Выполнил поиск файлов msssmsda.dll и msjidpmo.dll через AVZ в соответствии с указанной Вами инструкцией - поиск ничего не дал

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Алек Посмотреть сообщение
    поиск ничего не дал
    ну а почему такой грустный? Может убили их уже. Сделайте новые логи, плиз.

  12. #11
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Еще раз выкладываю логи.

    Если все ОК, то хотелось бы знать в чем была причина и каким путем могло произойти данное заражение/проникновение?

    Какое ваше заключение?
    Последний раз редактировалось Алек; 01.08.2010 в 17:18.

  13. #12
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Просто напоминаю о своем вопросе

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах все чисто. Проблема больше не проявляется?
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    65
    Пока не наблюдаю

    Спасибо за помощь!
    Можно включить восстановление системы?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Можно

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Алек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 17
      Последнее сообщение: 10.02.2012, 18:36
    2. Блокировка обновлений и учетных записей в Windows 7
      От -Алексей- в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.07.2011, 20:39
    3. Ответов: 0
      Последнее сообщение: 02.08.2010, 20:58
    4. Русский хакер выставил на продажу 1.5 млн. учетных записей Facebook
      От ALEX(XX) в разделе Новости интернет-пространства
      Ответов: 5
      Последнее сообщение: 25.04.2010, 22:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00126 seconds with 19 queries