Спам активность

Добрый день.

При подключении одного из ноутбуков к сети интернет, начинают приходить отбойники о недоставки сообщений которые я не отправлял. Количество отбойников за сутки может перевалить за 50 тысяч.
Опытным путем удалось выяснить при подключении какого устройства начинается рассылка спама с моего почтового ящика. Ноутбук был проверен бесплатными утилитами от Лаборатории Касперского и Доктора Веба. Сканирование результатов не дало. Также были запущены GMER и Trojan Remover.
Почтовый клиент использую MS Outlook 2007, отправка спама происходит даже если Outlook не запущен, пароль на п/я менял несколько раз.

Помогите разобраться пожалуйста.

Уважаемый(ая) [B]Ival97[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Смените пароль на почту.

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657]сканирования МВАМ.[/url]

Запускал уже несколько раз. В процессе проверки MBAM останавливается на каком нибудь *.jpg файле из может проверять его бесконечно долго. Сейчас уже несколько часов проверяется *.jpg и папки c:\Windows\Web\Wallpeper\

Как быть??

P.s. Извиняюсь, первый раз ни туда нажал и сообщение в ЛС ушло:(

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

MBAM ожил. Подожду ещё, может до делается. Выложу все сразу

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Указанные логи

Лог MBAM надо было текстовый.

Удалите в MBAM (переместите в карантин) всё найденное.

Собственно троянов не видно.
Сделайте ещё раз полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме, только на это время подключите ноутбук к интернету. Надо понять, какое именно приложение безобразничает.

Извиняюсь отсутствовал.
Подключил к сети сделал как указанно.
[url]http://rghost.ru/58197783[/url]

На момент снятия образа автозапуска никакой активности, связанной с отправкой почты, не было.
Какая именно почта? На Янндексе, Gmail можно увидеть информацию по активности своего аккаунта - время, протокол, ip-адрес с которого шла отправка/приём.

Ну если по подробнее то описываю ситуацию.

Почта на Exchange 2010, коннектор настроен так что использовать его могут только пользователи прошедшие доменную авторизацию на почтовом сервере. Рассылка начинается когда ноут попадает во внутреннюю сеть. Весь спам идет через сервер, очередь на отправку собирается бешеная, ну и соответственно отбойники сыплются в бешеном количестве. Ноут не в домене, доступ к почте был через outlook, когда проблемы начались убил учетку в outlook и стал пользоваться OWA. На ноуте стоит лицензия NOD, которой и было с начало все продрано, потом все что есть всети из ПО для удаления вирусов, эффект 0, ну как Вы и сами видите по логам. Сразу просмотрел на наличие vbs и ps скриптов для отправки почты и прочего ПО типа postie, но ничего. Да и к тому же пароли то менял, а не авторизированного релея на сервере нет. Что делать ума не приложу, воткнуть во внутреннюю сеть сейчас не представляется возможным, но как видно из другой подсети (не в которой расположен почтовик) рассылки нет. Что делать уже ума не приложу, но втыкать в подсеть почтовика очень не хотелось бы, так как мало того что очереди руками чистить приходится, так еще и из спам листов потом домен выковыривать.

Давно проблема возникла?

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Первый раз проблема всплыла в начале августа, потом были еще две волны, опытным путем удалось вычислить устройство после включения которого начинается проблема, её удалось даже воспроизвести, но найти что-то, что бомбит сервер спамом так и не удалось.

Деинсталлируйте обе версии Java 6, обычную и x64, они с большим количеством критических уязвимостей. Если Java вообще нужна, установите [URL="http://www.java.com/ru/download/manual.jsp"]Java 7 Update 67[/URL].

Удалите Uniblue RegistryBooster, это adware.

AmmyAdmin там Ваш?
Доступ по RDP нужен? Отключите для верности.

Win-R, cmd и запустите [B]bitsadmin /reset /allusers[/B]
Покажите вывод этой команды.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx
Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx
Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx
Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx[/code]
В папке с UVS появится архив [B]Events.7z[/B], загрузите его на rghost.ru и дайте ссылку в личном сообщении.

В ЛС

Есть у меня ощущение, что каким-то образом спам через bits слался...
Отключите в службах "Фоновую интеллектуальную службу передачи..." и проверьте быстро-быстро, глядя в логи Exchange ;)