Не работает SMTP SSL, нечто подменяет анонс SSL-соединения от сервера

На удаленной машине не работает SSL-почта ни в одном почтовом клиенте. На локальной машине эта учетная запись работает. Судо по логу почтовой программы нечто подменяет ответы от сервера, в результате чего клиент думает, что SSL нет, и пытается сделать PLAIN подключение, а на сервере это запрещено.

Лог SMTP на локальной, нормальной машине:

[CODE]16:33:18 CONNECT : Looking up host name mail.domain.com...
16:33:18 CONNECT : Host name mail.domain.com found
16:33:18 CONNECT : Connecting to host mail.domain.com [123.456.789.123:25]...
16:33:18 CONNECT : Connected to host mail.domain.com [123.456.789.123:25]
16:33:19 SMTP REPLY: 220 mail.domain.com ESMTP Postfix
16:33:19 SMTP SEND : EHLO hostname
16:33:19 SMTP REPLY: 250-mail.domain.com
16:33:19 SMTP REPLY: 250-PIPELINING
16:33:19 SMTP REPLY: 250-SIZE 73400320
16:33:19 SMTP REPLY: 250-VRFY
16:33:19 SMTP REPLY: 250-ETRN
16:33:19 SMTP REPLY: 250-STARTTLS
16:33:19 SMTP REPLY: 250-ENHANCEDSTATUSCODES
16:33:19 SMTP REPLY: 250-8BITMIME
16:33:19 SMTP REPLY: 250 DSN
16:33:19 SMTP SEND : STARTTLS
16:33:19 SMTP REPLY: 220 2.0.0 Ready to start TLS[/CODE]

Лог SMTP на удаленной, проблемной машине:

[CODE]16:34:29 CONNECT : Looking up host name mail.domain.com...
16:34:29 CONNECT : Host name mail.domain.com found
16:34:29 CONNECT : Connecting to host mail.domain.com [123.456.789.123:25]...
16:34:30 CONNECT : Connected to host mail.domain.com [123.456.789.123:25]
[B] 16:34:30 SMTP REPLY: 220 ***************************[/B]
16:34:30 SMTP SEND : EHLO hostname
16:34:31 SMTP REPLY: 250-mail.domain.com
16:34:31 SMTP REPLY: 250-PIPELINING
16:34:31 SMTP REPLY: 250-SIZE 73400320
16:34:31 SMTP REPLY: 250-VRFY
16:34:31 SMTP REPLY: 250-ETRN
[B] 16:34:31 SMTP REPLY: 250-XXXXXXXA[/B]
16:34:31 SMTP REPLY: 250-ENHANCEDSTATUSCODES
16:34:31 SMTP REPLY: 250-8BITMIME
16:34:31 SMTP REPLY: 250 DSN
16:34:31 SMTP SEND : QUIT
16:34:32 SMTP REPLY: 221 2.0.0 Bye
16:34:32 DISCONNECT: Disconnected from server[/CODE]

Как мы видим, нечто скрывает анонсы SSL.

[B]Примечания
[/B]1. Сканирование свежим Kaspersky Rescue Disk 10 ничего не дало.
2. На диске С имеются остатки от ComboFix (папка C:\Quobox), которые не удаляются простым удалением папки.
Удалить combofix не получается, "команда combofix не найдена".

Логи прилагаю.

Уважаемый(ая) [B]Sparq[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [URL="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/URL], запустите, нажмите Clean up.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\Tasks\xafemcf.job','32');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Проблемы только с этим сервером? Если попробовать с другим соединиться (Яндекс, Mail.Ru) - та же картина?
С сайтами по https соединяется нормально?
Все обновления системы установлены?
Обновление корневых сертификатов в компонентах Windows присутствует?
Сертификат на почтовом сервере самоподписанный?

OTCleanIt не помог.
Скрипт AVZ не помог.

Зашел в web-интерфейс Gmail по https, используя Google Chrome, логин успешен, сертификат не подменялся.
Успешно подцепился к SSL SMTP mail.ru и отправил письмо. Но у них SSL на 465 порту, а у нас STARTTLS на 25 порту.
Обновление в настройках отключено, т.к. машина на крайнем севере, а там с Интернетом тяжко (WinXP Home)
Сертификат на почтовом сервере подписан собственным корневым самоподписанным сертификатом.

Дело явно не в вирусах, было задание от отсутствующего трояна, скриптом его почистили.
Проблема появилась внезапно, или изначально на том компьютере не работало?

После того, как изменил настройки почтового сервера, включил шифрование почты. Все рабочие станции работают, кроме этой.

Попробуйте удалить остатки Dr. Web утилитой [URL="http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe"]drw_remover[/URL].
Если не поможет - продолжайте пытать сисадминов на sysadmins.ru, или на другом подобном форуме. Здесь это не по теме.
Единственное - сервер настроить на работу по SSL на 465-м порту - никак? Или TLS и 25-й - догма?

Не догма, конечно, просто это поведение ненормально.
Всё равно, спасибо.

Не dr.web, а ComboFix

[QUOTE=Sparq;1254052]Не догма, конечно, просто это поведение ненормально.[/QUOTE]

Может быть проблема и с компьютером связана, и с провайдером. Если задача не решается в лоб, применяйте обходные маневры ;)

[QUOTE=Sparq;1254052]Не dr.web, а ComboFix[/QUOTE]
И Dr. Web, он там недоудалённый. Зачистите, хуже не будет.
А что касается папки от ComboFix - такой скрипт в AVZ выполните:[CODE]begin
DeleteFileMask('C:\Quobox','*',true);
DeleteDirectory('C:\Quobox');
RebootWindows(false);
end.[/CODE]
После перезагрузки сообщите результат.

Так и непоборол на тот момент я этот ящик, некогда было. Вернулся к нему.
После скрипта AVZ, очистки остатков Dr.Web'а ничего не изменилось.

Папка Quobox на месте, удалить нельзя, нет доступа.
С почтой по-прежнему проблемы.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

во вложении

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
FF Homepage: hxxp://pyuresa.ru/?utm_source=startpage03&utm_content=2dc2657ef951e28383c8321850196461
C:\Documents and Settings\Пользователь\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Documents and Settings\Пользователь\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.exe
C:\Documents and Settings\Пользователь\Главное меню\Программы\Mail.Ru\Удалить Mail.Ru Агент.lnk
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

По проблеме с SSL лучше разбираться на каком-то специализированном админском форуме, здесь это оффтопик.

Изменений нет.
Создал аналогичную тему на [url]http://sysadmins.ru/post13070545.html#13070545[/url], но там не особо торопятся с помощью :)

Может тут помогут: [url]http://www.bleepingcomputer.com/forums/t/587017/smtp-doesnt-work-on-remote-machine/[/url]


Может как-то можно удалить ComboFix? Или по удалёнке это опасно делать?

[QUOTE=Sparq;1305732]Может как-то можно удалить ComboFix? Или по удалёнке это опасно делать?[/QUOTE]
Утилитой [URL="https://toolslib.net/downloads/viewdownload/2-delfix/"]DelFix[/URL] попробуйте.

По почтовым серверам на форуме ixbt.com в админском спросите, там обычно быстро отвечают и люди грамотные.

Спасибо за совет!
на ixbt помогли
[url]http://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118550-qa-esa-00.html[/url]

Я же говорил ;)

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].