Wolniej działający internet + spam wysyłany z mojej poczty

[Blajo]

Witam,

 

Dziś ktoś sobie rozsyłał z mojej skrzynki spam - hasło do poczty już zmienione, ale obawiam się że hasło zostało wykradzione z kompa... chociaż nie było aż takie trudne i może było do zgadnięcia przez bota.

 

Dodatkowo od paru dni wolniej działa mi internet.

 

Win 7 64-bit.

 

Przesyłam logi.

 

Z góry dziękuję za pomoc.

 

Edit: Nie wiem czy to przez to ale zresetował jakby się TB i musiałem od nowa pocztę ustawiać.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Brak oznak czynnej infekcji. Jedyne co tu sugeruje, iż infekcja była, to te autoryzacje w Zaporze systemu Windows:

 

FirewallRules: [TCP Query User{42EDCBCC-0923-4B95-9224-BCD7AF9A5FF2}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe

FirewallRules: [uDP Query User{42553257-DC2B-4478-971F-ED1E1B86C74B}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe

 

Folder nadal widzę na dysku i będę sprawdzać co w nim jest.

 

 

Tylko kosmetyczne działania do przeprowadzenia, czyli usunięcie wpisów pustych i czyszczenie Tempów:

 

1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR , Java 8 Update 45 (64-bit), Java 8 Update 45, MyFreeCodec (Samsunga).

 

2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
Task: {36A37E29-380F-4500-A031-D1FD984D8162} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000Core => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {36B87246-4C68-42E8-A8F8-2BBC1778402A} - System32\Tasks\{2427C378-ACFA-482C-980A-C45639FF938D} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(3).exe -d C:\Users\BM\Downloads
Task: {3BB0515B-0D40-4DEF-B30C-3950F51E3670} - System32\Tasks\{D2DEBA73-4DDE-4B27-A5AE-D0CD4FCB13FE} => pcalua.exe -a C:\Users\BM\Downloads\irfanview_plugins_433_setup.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {402076D7-30B3-4036-B446-888B8AC648E0} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000UA => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {40FD1B00-D5DA-477A-B8A1-3D2C522C8F08} - System32\Tasks\{F02A48C8-95BA-4638-8442-3A514452DA07} => pcalua.exe -a C:\TEMP\GTAINSTALLER\SETUP.EXE -d C:\TEMP\GTAINSTALLER
Task: {5538D342-15A1-45F5-9EE0-953D79052132} - System32\Tasks\{11F22A97-0946-4B63-8053-4C67FA6A3F68} => pcalua.exe -a "C:\Program Files (x86)\XFastUsb\Uninstall.exe"
Task: {57EE4030-D9C5-44B8-A721-622AD663C4C3} - System32\Tasks\Paragon Archive name arc_030413000426092 => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe
Task: {6A654567-D747-4F86-B2BC-E6B92FCFF42E} - System32\Tasks\{D21F9D2B-A2EA-43E9-BEBA-71F8A3E3D51E} => pcalua.exe -a C:\Users\BM\Downloads\googlemon.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {9D860236-C50F-4264-BF00-FB5BE8567999} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe
Task: {DA1FFED2-3F6C-47A1-83FC-854D51D899F0} - System32\Tasks\{809CE9AB-A60E-454E-A562-8A1D1ABE9F75} => pcalua.exe -a C:\Users\BM\Documents\dav2avimon-1.0\dav2avi\dhplayer.exe -d C:\Users\BM\Documents\dav2avimon-1.0\dav2avi
Task: {EB253384-11D9-4157-B749-9C147F8BFD0F} - System32\Tasks\{B178E1C2-8559-4568-866E-4691DDD60A34} => pcalua.exe -a "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222\SetUp.exe" -d "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222"
Task: {FD685241-F150-417E-9EE3-E4D05E6F18D9} - System32\Tasks\{A1626C9E-D588-4B84-ADD0-6EE42FAF1B4B} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(1).exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: C:\Windows\Tasks\Paragon Archive name arc_030413000426092.job => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe-Wno --alternate --graph --multiple C:/Program Files (x86)/Paragon Software/Hard Disk Manager 12 Professional/scripts/scr_030413000704947.psl
C:\Program Files (x86)\mozilla firefox\plugins
C:\Users\BM\AppData\Local\134e6589520e51682091c0.32666518
C:\Users\BM\AppData\Local\69ff07055291669bb2b218.72821112
Folder: C:\temp
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

 

4. Za to na wszelki wypadek dorzuć szukanie rejestru na w/w delikwenta. Uruchom FRST, w polu Szukaj wklej co niżej podane, klik w Szukaj w rejestrze i dostarcz wynikowy log.

 

update manager.exe

[Blajo]

Witam,

 

Raporty w załączniku. Chyba nic w rejestrze nie wyszukał - wkleiłem w pole szukaj update manager.exe i wybrałem szukaj w rejestrze - nic innego nie zmieniałem.

 

Po restarcie po FRST zapora poprosiła o dostęp dla Skype i Dropboxa.

 

Na przyszłość jakimś softem warto się zabezpieczyć? Mam tylko Avasta.

 

Dziękuję za pomoc.

Search.txt

Fixlog.txt

[picasso]

Po restarcie po FRST zapora poprosiła o dostęp dla Skype i Dropboxa.

 

Tak, ponieważ resetowałam reguły Zapory poleceniem netsh advfirewall reset.

 

 

Na przyszłość jakimś softem warto się zabezpieczyć? Mam tylko Avasta.

 

Do Avast można dołożyć Malwarebytes Anti-Exploit.

 

 

 

Pobór zawartości folderu C:\Temp wskazuje, że ten podejrzany plik autoryzowany w Zaporze to jednak nie jest infekcja. Plik ten pochodzi od konkretnego legalnego producenta. Wszystko OK. Czyli w podsumowaniu tu w ogóle nie było żadnych oznak infekcji.

 

2015-06-18 22:41 - 2011-06-21 17:58 - 0018528 _____ (M-Photo Ltd.) C:\temp\Update Manager.exe

 

 

Zanim skończymy, jeszcze usuńmy szczątki po odinstalowanym Paragon. W pierwszym logu FRST były dwa sterowniki odpadkowe po tym sofcie, a nie wykluczone że jest więcej (FRST ma bardzo silne filtrowanie):

 

S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-12-20] (Windows ® 2000 DDK provider)

S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633680 2012-12-20] (Paragon)

 

Akcje do przeprowadzenia:

 

1. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych urządzeń. Znajdź obiekty Paragon, powinny być widoczne pod nazwami Universal Image Mounter, Universal Image Mounter Controller. Znalezione podświetl i odinstaluj. Zresetuj system.

 

2. Zrób rozszerzony log FRST: odznacz pola Filtrowanie dla Usług i Sterowników, klik w Skanuj.

[Blajo]

Niestety nie mogę odszukać Universal Image Mounter, Universal Image Mounter Controller na liście - zrzuty w załączniku. Rozumiem, że skoro nie znalazłem to nie robić tego raportu?

[picasso]

Urządzeń nie ma, ale są usługi (i tymi zajmę się ręcznie). Raport z FRST nadal aktualny, bo chcę sprawdzić czy jest więcej usług odpadkowych po Paragonie.

[Blajo]

Witam,

 

Przesyłam logi. I proszę o dalsze info.

 

Pozdrawiam

FRST.txt

[picasso]

Chodziło tylko o log główny FRST.txt, resztę usuwam (nie jest potrzebna). Nic więcej od Paragona nie ma, poza wyliczonymi już usługami. Czyli do usunięcia te dwa sterowniki oraz odpadki po świeżo deinstalowanym Ad-aware:

 

Otwórz Notatnik i wklej w nim:

 

S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-12-20] (Windows ® 2000 DDK provider)
S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633680 2012-12-20] (Paragon)
C:\Program Files\Common Files\Lavasoft
C:\ProgramData\Lavasoft
C:\Users\BM\AppData\Roaming\LavasoftStatistics
C:\Windows\System32\Drivers\Uim_IMx64.sys
C:\Windows\System32\DRIVERS\uimx64.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Blajo]

Przesyłam loga.

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Na koniec:

 

Skasuj pobrane narzędzia i ich logi z D:\Downloads\vir. Popraw jeszcze narzędziem DelFix oraz wyczyść foldery Przuwracania systemu: KLIK.

[Blajo]

Oki folder vir wywalony. DelFix zrobiony. Na dole raport. Więc chyba ktoś zgadł hasło do poczty... Dziękuję za pomoc.

[picasso]

"Na dole raport" - nie widzę...

 

 

Dziś ktoś sobie rozsyłał z mojej skrzynki spam (...)Więc chyba ktoś zgadł hasło do poczty...

Nie zapytałam o zacytowanie przykładowego mejla, ale czy na pewno to był spam "z Twojej skrzynki", nie była to aby prosta manipulacja pól adresowych?

[Blajo]

Sorry, już jest raport.

 

Treść maila:

"Tu system pocztowy IQ PL / This is IQ PL mail system at smtp23.iq.pl.
Obawiam sie ze wiadomosc nie zostala dostarczona. /I couldn't deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

W celu skontaktowania sie z nami prosze skorzystac ze strony:
http://www.iq.pl/kontakt/  lub wyslac maila:bok@iq.pl

You can contact us at:http://www.iq.pl/kontakt/  or via email:bok@iq.pl

<davidmurray09@live.com>:
65.54.188.126 does not like recipient.
Remote host said: 550 Requested action not taken: mailbox unavailable
Giving up on 65.54.188.126.
STARTTLS proto=TLSv1.2; cipher=ECDHE-RSA-AES256-SHA384; subject=/CN=*.hotmail.com; issuer=/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2;

--- Below this line is a copy of the message.

Return-Path:<moj@adres.mail>
Received: (qmail 31606 invoked from network); 20 Oct 2015 12:33:02 -0000
Received: from unknown (HELO hycyful) (moj@adres.mail@[185.91.178.175])
          (envelope-sender<moj@adres.mail>)
          by smtp22.iq.pl with SMTP
          for<davidmurray09@live.com>; 20 Oct 2015 12:33:02 -0000
Message-ID: <ECE261F33FD5BD2CA827B333AE01660E@hycyful>
From: Anna<moj@adres.mail>
Reply-To: Anna<erisnert@gmail.com>
To:<davidmurray09@live.com>
Subject: Hey  It's Anna 
Date: Tue, 20 Oct 2015 12:30:33 -0700
MIME-Version: 1.0
Content-Type: text/plain;
    format=flowed;
    charset="utf-8";
    reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 15.4.3555.308
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3555.308
Content-Transfer-Encoding: quoted-printable

Hi  It's Anna  I'm from Russian Federation! I'm very goodness woman and trying to find safe Man 
Hope You are interested! reply me,
I'll send You my picture  have a nice time)"

Firma hostingowa twierdziła, że poczta była wysłana przez moje konto.

DelFix.txt

[picasso]

Nic więcej tu już nie wymyślę. Skoro firma hostingowa potwierdziła ruch, to najwyraźniej doszło do przejęcia konta, tylko nadal źródło problemu jest nieznane. Nic tu nie wskazywało, by w systemie była jakaś infekcja.

 

A DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

[Blajo]

Dziękuję za pomoc!