SebastianT Opublikowano 22 Października 2017 Zgłoś Udostępnij Opublikowano 22 Października 2017 Od kilku dni zauważyłem, że mój (?) komputer rozsyła jakiś spam. Zacząłem dostawać zwrotne maile w stylu:This message was created automatically by mail delivery software.A message that you sent could not be delivered to one or more of itsrecipients. This is a permanent error. The following address(es) failed: stephieneenee@gmail.com host gmail-smtp-in.l.google.com [74.125.71.27] SMTP error from remote mail server after RCPT TO:<stephieneenee@gmail.com>: 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient's email address for typos or 550-5.1.1 unnecessary spaces. Learn more at 550 5.1.1 https://support.google.com/mail/?p=NoSuchUser n4si4325984wra.206 - gsmtp Odbiorca - to różne adresy, nie te same. Nadawca - rzekomo ja. Korzystam z MS Outlook. Czasem z przeglądarki (Mozilla Firefox), ale nie zapamiętuję w niej haseł. Te same konta pocztowe mam podpięte pod BlueMail na telefonie (Android, z zainstalowanym Norton Mobile, nic nie pokazuje). Sprawdziłem w pierwszej kolejności zainstalowanym Norton 360 i Malwarebytes (Premium). Nic, zero, null. Sprawdziłem AdwCleaner, znalazł mi jedną pozycję i usunął (ale nic poważnego, z tego co wyszukałem w necie, jakaś ponoć "reklamówka"). Pozmieniałem hasła na kontach pocztowych. Problem pozostaje niezmienny - dziennie po kilkanaście takich zwrotek, jak powyżej. RACZEJ nic ostatnio nie było instalowane... (za stary człowiek już jestem, pracuję stukając w klawisze [teksty], nie bawię się, nie ściągam nic, bo nie mam na to czasu ;-) ) - piszę "raczej", bo może coś samo, nic świadomie. Sprawdziłem FRST, załączam logi. Dla mnie to czarna magia... Czy to ja coś rozsyłam, czy mój adres gdzieś do kogoś trafił (tzn. ktoś ma zainfekowany komputer, a mnie np. w kontaktach), ten ktoś wysyła podstawiając mój jako zwrotny? Pierwszy raz się z czymś takim spotykam (jestem dość ostrożny w necie ;-) ), i pierwszy raz szukam pomocy, więc jeśli naruszyłem jakieś zasady, to przepraszam, nie krzyczcie, tylko pokażcie palcem, to się poprawię ;-) Dziękuję z góry za rzucenie okiem.SebastianT FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Października 2017 Zgłoś Udostępnij Opublikowano 23 Października 2017 Sprawdziłem adres IP, z którego logujesz się do Nas na forum, czyli 79.xxx.xxx.248 (adres zamazałem ze względów Twojego bezpieczeństwa - pełny masz na PW). Ten adres IP jest notowany w bazie DNSBL jako adres wykorzystywany w atakach spamowych. Rozwiązanie jest następujące: poproś operatora o przydzielenie Ci nowego adresu IP lub po prostu spróbuj zresetować router (w niektórych przypadkach nowe IP przydzielane jest właśnie wtedy). Po otrzymaniu nowego adresu IP zmień hasło do konta Gmail. Teoretycznie mógłbyś zgłosić prośbę o usunięcie tego IP z baz antyspamowych, ale to raczej mozolne zadanie i mogąca nie przynieść skutków. W raptach zaś brak oznak infekcji i w spoilerze zadaję tylko kosmetykę systemową (kasacja martwych wpisów / resztek po wcześniej odinstalowanych programach) Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4131232690-2797771133-1915362173-1000\...\Run: [AdobeBridge] => [X] Toolbar: HKU\S-1-5-21-4131232690-2797771133-1915362173-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku CHR DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?q={searchTerms}&li=ff S3 NvStreamNetworkSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe" [X] S2 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X] R3 ALSysIO; \??\D:\TMP\ALSysIO64.sys [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton 360\NortonData\22.6.0.142\Definitions\SDSDefs\20160705.020\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton 360\NortonData\22.6.0.142\Definitions\SDSDefs\20160705.020\EX64.SYS [X] S3 PCASp60; System32\Drivers\PCASp60.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {1953F001-C3F0-4CC3-995D-3DAC0594A796} - \AutoPico Daily Restart -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype для бизнеса 2016.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gigabyte\Smart Recovery 2 B15.0128.1 (x64)\Launch RescueDisk.exe.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton\Pliki instalacyjne Norton.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\DivX Configuration.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\GSpot Codec Information.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\Uninstall.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\XviD AviC FOURCC Changer.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\XviD MiniCalc.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\XviD OGMCalc.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\XviD Stats Reader.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\D-i-v-X - AVI Codec Pack Pro\Helpful Resources\How to play unusual files.lnk C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\OpiekunNet Konsola Administracyjna.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
SebastianT Opublikowano 24 Października 2017 Autor Zgłoś Udostępnij Opublikowano 24 Października 2017 Dobra, miałem to zrobić po południu, jak pisałem na privie, ale jeszcze szybko przed wyjściem zapuściłem ;-) Załączam fixlog. Dziękuję :-) SebastianT Fixlog.txt Odnośnik do komentarza
YouCanCallMeAl Opublikowano 25 Października 2017 Zgłoś Udostępnij Opublikowano 25 Października 2017 Masz skonfigurowane w Outlooku szyfrowanie przy połączeniu z serwerem? Przeglądarkowa strona logowania obsługuje https? W sieci lokalnej są jakieś inne osoby? Odnośnik do komentarza
SebastianT Opublikowano 25 Października 2017 Autor Zgłoś Udostępnij Opublikowano 25 Października 2017 Dla wszystkich kont mam SSL/TLS. Gmail/Onet - przez przeglądarkę https. Inne konto pocztowe (na linuxpl) - też pokazuje https. Więcej nic nie mam. W sieci jest żona ;-) I dwoje dzieci. Dzieci w wieku takim, co to jeszcze same niczego nie ściągają, poza tym też mają Malwarebytes Premium i Nortona (nic pirackiego) zainstalowane u siebie. Żona praktycznie nie korzysta z laptopa w domu, od wielkiego dzwonu, tylko Office i Outlook, poczta na gmail. Nie potrafię niczego podejrzanego znaleźć. W dniu czyszczenia wg instrukcji powyżej pozmieniałem też hasła na wszystkich pocztach i usunąłem zapamiętane hasła w przeglądarkach (ale poczty akurat zapamiętanej nie miałem). Problem chyba się zatrzymał. Odnośnik do komentarza
YouCanCallMeAl Opublikowano 25 Października 2017 Zgłoś Udostępnij Opublikowano 25 Października 2017 Jeżeli w zwrotce jest załącznik: Undelivered Message.eml to otworz go w notatniku i poszukaj linii zaczynających się od Received From (nazwa i adres serwera z którego nadeszła wiadomość), User-Agent (program użytkownika) i Subject (temat - można wywnioskować czy ktoś rozsyła spam pod Twoim szyldem) Z tego co widze to gmail jednak bardzo zdawkowe info o nadawcy w zwrotce pokazuje. Z jakiej domeny przychodzą zwrotki? Odnośnik do komentarza
Miszel03 Opublikowano 25 Października 2017 Zgłoś Udostępnij Opublikowano 25 Października 2017 Akcja pomyślnie wykonana. To tyle z mojej strony. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Temat zostawiam Wam do dyskusji, ale proszę pamiętać o regulaminie tego działu. Odnośnik do komentarza
SebastianT Opublikowano 25 Października 2017 Autor Zgłoś Udostępnij Opublikowano 25 Października 2017 Jeżeli w zwrotce jest załącznik: Undelivered Message.eml to otworz go w notatniku i poszukaj linii zaczynających się od Received From (nazwa i adres serwera z którego nadeszła wiadomość), User-Agent (program użytkownika) i Subject (temat - można wywnioskować czy ktoś rozsyła spam pod Twoim szyldem) Z tego co widze to gmail jednak bardzo zdawkowe info o nadawcy w zwrotce pokazuje. Z jakiej domeny przychodzą zwrotki? To przychodzi z gmailowych adresów na mój onetowy. W zwrotce mam "body.txt" z treści maila (typu "Hi, it's my new site, look, [i jakiś link]"), oraz "plik1" o treści (na przykład, bo różne adresy są): Reporting-MTA: dns; udl.pl Action: failed Final-Recipient: rfc822;l037950@gmail.com Status: 5.0.0 Remote-MTA: dns; gmail-smtp-in.l.google.com Diagnostic-Code: smtp; 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient's email address for typos or 550-5.1.1 unnecessary spaces. Learn more at 550 5.1.1 https://support.google.com/mail/?p=NoSuchUser u26si1320002wru.419 - gsmtp Na udl.pl mam jeden adres (linuxpl), przez www logowanie https (ale nie korzystam), w outlooku tls/ssl. Ale jak pisałem, od przeprowadzenia opisanej naprawy i zmiany haseł problem na chwilę obecną ustał. Odnośnik do komentarza
SebastianT Opublikowano 25 Października 2017 Autor Zgłoś Udostępnij Opublikowano 25 Października 2017 Akcja pomyślnie wykonana. To tyle z mojej strony. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Temat zostawiam Wam do dyskusji, ale proszę pamiętać o regulaminie tego działu. Miszel, bardzo dziękuję. Odnośnik do komentarza
YouCanCallMeAl Opublikowano 25 Października 2017 Zgłoś Udostępnij Opublikowano 25 Października 2017 (edytowane) Tak wiem czytałem regulamin, ale takie zwrotki nie muszą mieć związku z malwarem. Panuje niska świadomość, że poczta elektroniczna przez niedoskonałości protokołów zabezpieczających i konfiguracje serwerów pocztowych, nie jest medium godnym zaufania i należy mieć wyostrzoną czujność przy korzystaniu z niej. Trochę bystrzejszy gimnazjalista jest w stanie obejść takie zabezpieczenia i wysyłać spam "z naszego" adresu. Żle skonfigurowany serwer pocztowy naraża wszystkich jego użytkowników na ataki przez podszywanie się pod kogoś innego. EDIT: To przychodzi z gmailowych adresów na mój onetowy. Ale nie chodzi mi o konta do których nie jest dostarczona wiadomość tylko system który wysyła zwrotki (w polu od). Zwykle się zaczyna do mailer-daemon np. dla gmaila: mailer-daemon@googlemail.com. Zmiana haseł nic nie da jeżeli ktoś sie podszywa pod nasz adres. Edytowane 25 Października 2017 przez Miszel03 Posty łącze. //Miszel03 Odnośnik do komentarza
SebastianT Opublikowano 25 Października 2017 Autor Zgłoś Udostępnij Opublikowano 25 Października 2017 (edytowane) Ale nie chodzi mi o konta do których nie jest dostarczona wiadomość tylko system który wysyła zwrotki (w polu od). Zwykle się zaczyna do mailer-daemon np. dla gmaila: mailer-daemon@googlemail.com. Zmiana haseł nic nie da jeżeli ktoś sie podszywa pod nasz adres. Mailer-Daemon@s6.linuxpl.com Edytowane 27 Października 2017 przez Miszel03 Poprawiam formatowanie posta. //Miszel03 Odnośnik do komentarza
YouCanCallMeAl Opublikowano 25 Października 2017 Zgłoś Udostępnij Opublikowano 25 Października 2017 To warto napisać na postmaster@linuxpl.com albo abuse@linuxpl.com, zgłosic im taki przypadek, podać date kiedy zwrotka przyszła i poprosić żeby sprawdzili z jakiego adresu było połączenie w tym czasie. Wtedy można wykluczyć/potwierdzić podszywanie się z innej sieci i rozpocząć poszukiwania malware w swojej sieci. Z tym że jeżeli to malware z naszego adresu to mogą zablokować (i pewnie zablokują) konto. Ktoś z domeny linuxpl rozsyła (prawdopodobnie hurtowo) maile na gmaila, z adresem zwrotnym na Twoje konto onetowe. Ciekawa sprawa, podawałeś swój adres na onecie jako pomocniczy w trakcie rejestracji na linuxpl? Odnośnik do komentarza
SebastianT Opublikowano 25 Października 2017 Autor Zgłoś Udostępnij Opublikowano 25 Października 2017 To warto napisać na postmaster@linuxpl.com albo abuse@linuxpl.com, zgłosic im taki przypadek, podać date kiedy zwrotka przyszła i poprosić żeby sprawdzili z jakiego adresu było połączenie w tym czasie. Wtedy można wykluczyć/potwierdzić podszywanie się z innej sieci i rozpocząć poszukiwania malware w swojej sieci. Z tym że jeżeli to malware z naszego adresu to mogą zablokować (i pewnie zablokują) konto. Ktoś z domeny linuxpl rozsyła (prawdopodobnie hurtowo) maile na gmaila, z adresem zwrotnym na Twoje konto onetowe. Ciekawa sprawa, podawałeś swój adres na onecie jako pomocniczy w trakcie rejestracji na linuxpl? Sprawdziłem, faktycznie w panelu mam onetowy adres podany jako pomocniczy. Dziękuję za jeszcze jeden trop. Napiszę do adminów linuxpl. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się