Не работает SMTP SSL, нечто подменяет анонс SSL-соединения от сервера

[Sparq]

На удаленной машине не работает SSL-почта ни в одном почтовом клиенте. На локальной машине эта учетная запись работает. Судо по логу почтовой программы нечто подменяет ответы от сервера, в результате чего клиент думает, что SSL нет, и пытается сделать PLAIN подключение, а на сервере это запрещено.

Лог SMTP на локальной, нормальной машине:

Код:

16:33:18 CONNECT   : Looking up host name mail.domain.com...
    16:33:18 CONNECT   : Host name mail.domain.com found
    16:33:18 CONNECT   : Connecting to host mail.domain.com [123.456.789.123:25]...
    16:33:18 CONNECT   : Connected to host mail.domain.com [123.456.789.123:25]
    16:33:19 SMTP REPLY: 220 mail.domain.com ESMTP Postfix
    16:33:19 SMTP SEND : EHLO hostname
    16:33:19 SMTP REPLY: 250-mail.domain.com
    16:33:19 SMTP REPLY: 250-PIPELINING
    16:33:19 SMTP REPLY: 250-SIZE 73400320
    16:33:19 SMTP REPLY: 250-VRFY
    16:33:19 SMTP REPLY: 250-ETRN
    16:33:19 SMTP REPLY: 250-STARTTLS
    16:33:19 SMTP REPLY: 250-ENHANCEDSTATUSCODES
    16:33:19 SMTP REPLY: 250-8BITMIME
    16:33:19 SMTP REPLY: 250 DSN
    16:33:19 SMTP SEND : STARTTLS
    16:33:19 SMTP REPLY: 220 2.0.0 Ready to start TLS

Лог SMTP на удаленной, проблемной машине:

Код:

16:34:29 CONNECT   : Looking up host name mail.domain.com...
    16:34:29 CONNECT   : Host name mail.domain.com found
    16:34:29 CONNECT   : Connecting to host mail.domain.com [123.456.789.123:25]...
    16:34:30 CONNECT   : Connected to host mail.domain.com [123.456.789.123:25]
    16:34:30 SMTP REPLY: 220 ***************************
    16:34:30 SMTP SEND : EHLO hostname
    16:34:31 SMTP REPLY: 250-mail.domain.com
    16:34:31 SMTP REPLY: 250-PIPELINING
    16:34:31 SMTP REPLY: 250-SIZE 73400320
    16:34:31 SMTP REPLY: 250-VRFY
    16:34:31 SMTP REPLY: 250-ETRN
    16:34:31 SMTP REPLY: 250-XXXXXXXA
    16:34:31 SMTP REPLY: 250-ENHANCEDSTATUSCODES
    16:34:31 SMTP REPLY: 250-8BITMIME
    16:34:31 SMTP REPLY: 250 DSN
    16:34:31 SMTP SEND : QUIT
    16:34:32 SMTP REPLY: 221 2.0.0 Bye
    16:34:32 DISCONNECT: Disconnected from server

Как мы видим, нечто скрывает анонсы SSL.

Примечания
1. Сканирование свежим Kaspersky Rescue Disk 10 ничего не дало.
2. На диске С имеются остатки от ComboFix (папка C:\Quobox), которые не удаляются простым удалением папки.
Удалить combofix не получается, "команда combofix не найдена".

Логи прилагаю.

[Info_bot]

Уважаемый(ая) Sparq, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте OTCleanIt, запустите, нажмите Clean up.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\Tasks\xafemcf.job','32');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Проблемы только с этим сервером? Если попробовать с другим соединиться (Яндекс, Mail.Ru) - та же картина?
С сайтами по https соединяется нормально?
Все обновления системы установлены?
Обновление корневых сертификатов в компонентах Windows присутствует?
Сертификат на почтовом сервере самоподписанный?

[Sparq]

OTCleanIt не помог.
Скрипт AVZ не помог.

Зашел в web-интерфейс Gmail по https, используя Google Chrome, логин успешен, сертификат не подменялся.
Успешно подцепился к SSL SMTP mail.ru и отправил письмо. Но у них SSL на 465 порту, а у нас STARTTLS на 25 порту.
Обновление в настройках отключено, т.к. машина на крайнем севере, а там с Интернетом тяжко (WinXP Home)
Сертификат на почтовом сервере подписан собственным корневым самоподписанным сертификатом.

[Vvvyg]

Дело явно не в вирусах, было задание от отсутствующего трояна, скриптом его почистили.
Проблема появилась внезапно, или изначально на том компьютере не работало?

[Sparq]

После того, как изменил настройки почтового сервера, включил шифрование почты. Все рабочие станции работают, кроме этой.

[Vvvyg]

Попробуйте удалить остатки Dr. Web утилитой drw_remover.
Если не поможет - продолжайте пытать сисадминов на sysadmins.ru, или на другом подобном форуме. Здесь это не по теме.
Единственное - сервер настроить на работу по SSL на 465-м порту - никак? Или TLS и 25-й - догма?

[Sparq]

Не догма, конечно, просто это поведение ненормально.
Всё равно, спасибо.

Не dr.web, а ComboFix

[Vvvyg]

Не догма, конечно, просто это поведение ненормально.

Может быть проблема и с компьютером связана, и с провайдером. Если задача не решается в лоб, применяйте обходные маневры

Не dr.web, а ComboFix

И Dr. Web, он там недоудалённый. Зачистите, хуже не будет.
А что касается папки от ComboFix - такой скрипт в AVZ выполните:

Код:

begin
 DeleteFileMask('C:\Quobox','*',true);
 DeleteDirectory('C:\Quobox');
RebootWindows(false);
end.

После перезагрузки сообщите результат.

[Sparq]

Так и непоборол на тот момент я этот ящик, некогда было. Вернулся к нему.
После скрипта AVZ, очистки остатков Dr.Web'а ничего не изменилось.

Папка Quobox на месте, удалить нельзя, нет доступа.
С почтой по-прежнему проблемы.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Sparq]

во вложении

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
FF Homepage: hxxp://pyuresa.ru/?utm_source=startpage03&utm_content=2dc2657ef951e28383c8321850196461
C:\Documents and Settings\Пользователь\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Documents and Settings\Пользователь\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.exe
C:\Documents and Settings\Пользователь\Главное меню\Программы\Mail.Ru\Удалить Mail.Ru Агент.lnk
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

По проблеме с SSL лучше разбираться на каком-то специализированном админском форуме, здесь это оффтопик.

[Sparq]

Изменений нет.
Создал аналогичную тему на http://sysadmins.ru/post13070545.html#13070545, но там не особо торопятся с помощью

Может тут помогут: http://www.bleepingcomputer.com/foru...emote-machine/


Может как-то можно удалить ComboFix? Или по удалёнке это опасно делать?

[Vvvyg]

Может как-то можно удалить ComboFix? Или по удалёнке это опасно делать?

Утилитой DelFix попробуйте.

По почтовым серверам на форуме ixbt.com в админском спросите, там обычно быстро отвечают и люди грамотные.

[Sparq]

Спасибо за совет!
на ixbt помогли
http://www.cisco.com/c/en/us/support...qa-esa-00.html

[Vvvyg]

Я же говорил

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.