Показано с 1 по 9 из 9.

Постоянно приходят отчеты с почтового сервера о недоставленном письме (письма не отправлялись на самом деле) (заявка № 198539)

  1. #1
    Junior Member Репутация
    Регистрация
    17.03.2016
    Сообщений
    6
    Вес репутации
    7

    Постоянно приходят отчеты с почтового сервера о недоставленном письме (письма не отправлялись на самом деле)

    Добрый день.
    Знакомая жалуется на то, что ей часто стали последнее время приходить отчеты от почтовой системы о недоставленнных письмах.
    При это она утверждает, что письма она не отправляла.
    В почтовой программе их действительно нет.
    Запросил логи у администратора почтового сервера (это рабочая почта, которая крутится на своем домене).
    Прислали.
    Отправка писем на указанные дату и время действительно была.
    Просканировал компьютер с помощью cureit. Что-то он нашел, поудалял.
    Поменял пароль на почту, сгенерировав достаточно сложный.
    Через некоторое время снова стали падать отчеты о недоставленных письмах.
    Причем происходит это достаточно редко, но это раздражает. Да и хочется разобраться, в чем же все же дело.

    Письма от почтового сервера приходят вида:

    This message was created automatically by mail delivery software.
    A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
    C@rian.com.ua
    retry timeout exceeded



    This message was created automatically by mail delivery software.
    A message that you sent has not yet been delivered to one or more of its recipients after more than 48 hours on the queue on relaysrv.wplus.net.
    The message identifier is: 1agRHM-0003lj-U7
    The subject of the message is:
    =?windows-1251?B?zeUg7/Du9/Ll7e46IM7y4uXy8fLi5e3t7vHy/CDv7iAyNzUg1Mc=?=
    The date of the message is: Thu, 17 Mar 2016 09:19:38 +0300
    The address to which the message has not yet been delivered is:
    zAq@rian.com.ua
    No action is required on your part. Delivery attempts will continue for some time, and this warning may be repeated at intervals if the message remains undelivered. Eventually the mail delivery software will give up, and when that happens, the message will be returned to you.


    Решил обратится за помощью сюда, собранные логи прикладываю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) shwedd, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Боюсь, тут больше вопросов к администратору корпоративного почтового сервера.

    Программы от Mail.Ru нужны?

    Сделайте лог AdwCleaner (by Xplode).

    Сделайте лог Check Browsers' LNK by Dragokas & regist.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    17.03.2016
    Сообщений
    6
    Вес репутации
    7
    Там небольшой офис, собственного постоянного системного администратора нет.
    Почтовый сервер от провайдера.
    Проблема на одном компьютере.
    Что то явно рассылает письма.

    При этом в отчете почтового сервера фигурирует версия почтовой программы и она явно совпадает с установленной на компьютере.
    Странно.
    Получается, вирус (если это вирус), отправляет письмо через аутлук, а затем его в аутлуке удаляет?
    Можно ли поставить какую-либо программу для записи в лог действий аутлука?

    - - - - -Добавлено - - - - -

    Есть ли нормальный декодер с base64?
    Просто есть пара почтовых отчетов, в которых фигурирует текст исходного письма.
    Хотелось бы понять, что там написано.
    Попробовал http://base64.ru/ и http://foxtools.ru/Base64 - очень многое осталось недекодированным.
    Последний раз редактировалось shwedd; 21.03.2016 в 12:58.

  6. #5
    Junior Member Репутация
    Регистрация
    17.03.2016
    Сообщений
    6
    Вес репутации
    7
    Есть ли нормальный декодер с base64?
    Просто есть пара почтовых отчетов, в которых фигурирует текст исходного письма.
    Хотелось бы понять, что там написано.
    Попробовал http://base64.ru/ и http://foxtools.ru/Base64 - очень многое осталось недекодированным.

  7. #6
    Junior Member Репутация
    Регистрация
    17.03.2016
    Сообщений
    6
    Вес репутации
    7
    Тут речь идет о небольшой организации.
    Своего постоянного системного администратора у них нет.
    Но при этом проблема только на этом компьютере.
    Я не знаю, что может сделать администратор почтового сервера.
    Но в одном из отчетов почтового сервера фигурирует версия почтовой программы на данном компьютере - и она совпадает.
    Такое ощущение, что вирус (если это вирус) отравляет письма через аутлук и тут же их удаляет.
    Можно как то журналировать действия аутлук по отправке/приему сообщений?

    Также может ли кто то подсказать нормальный декодер с base64?
    ПРосто в паре писем есть текст оригинального рассылаемого письма, хотелось бы понять, что там внутри.
    Пробовал http://base64.ru/ и http://foxtools.ru/Base64 - остается куча закорючек и толком не понятно, что же было написано.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    В base64 почтовый сервер при отлупе отсылает часть текста закодированного письма, его декодирование мало что даст. Попробуйте https://www.base64decode.org/
    Отправить письмо от имени пользователя есть множество способов - и не через Outlook, и с другого компьютера, и вовсе даже с любого места из интернета. Зависит от настроек почтового сервера той организации.
    И более того, можно отправить письмо от имени того пользователя вовсе не зная его пароля, через совершенно другой почтовый сервер, который позволяет такое. А отлупы будут приходить, опять же, этому как бы отправителю. Поэтому я и написал, что без сисадмина тут проблему не решить, скорее всего.

    Пользователь может сменить свой пароль на почту? Если да - пусть так и сделает, если проблема не исчезнет, это хотя бы сузит круг поиска.

    Сделайте лог сканирования МВАМ.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    17.03.2016
    Сообщений
    6
    Вес репутации
    7
    Хорошо, лог сделаю.
    Пароль на почту меняли.
    Насчет того, что по сути любой может отправить электронное письмо от чьего-либо имени - прекрасно понимаю.
    Но дело то в том, что:
    1. Указан ip-адрес правильный, т.е. письмо действительно уходит с компьютера, принадлежащего организации.
    2. В служебной информации указана версия outlook, через которое письмо было отправлено, и она совпадает с установленной на компьютере пользователя (2007)

    - - - - -Добавлено - - - - -

    Прикрепляю лог.
    Вложения Вложения
    • Тип файла: txt mamh.txt (3.3 Кб, 1 просмотров)

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Удалите в MBAM (переместите в карантин) всё, кроме:
    Код:
    PUP.Optional.BrowserHijack.ShrtCln, C:\Program Files\Google\Chrome\chrome.bat, Хорошо: (), Плохо: (http://celisearch.ru), ,[ee7a5b2fa1f891a5de4f054b09fcbb45]
    PUP.Optional.BrowserHijack.ShrtCln, C:\Program Files\Internet Explorer\iexplore.bat, Хорошо: (), Плохо: (http://celisearch.ru), ,[4f195535594086b0f93591bf63a2f10f]
    Сделайте лог Check Browsers' LNK by Dragokas & regist.
    WBR,
    Vadim

Похожие темы

  1. Ответов: 15
    Последнее сообщение: 17.05.2013, 18:43
  2. Сколько ядер процессора нужно на самом деле?
    От ALEX(XX) в разделе Новости аппаратного обеспечения
    Ответов: 4
    Последнее сообщение: 04.05.2009, 13:06
  3. Разводят на деньги или в самом деле рабочий сервис?
    От ISO в разделе Спам и мошенничество в сети
    Ответов: 2
    Последнее сообщение: 01.02.2009, 03:26
  4. Ответов: 0
    Последнее сообщение: 02.04.2008, 10:44
  5. Ответов: 3
    Последнее сообщение: 27.06.2005, 20:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00363 seconds with 17 queries