Skocz do zawartości
naekana

Spam rozsyłany z mojego konta e-mail

Rekomendowane odpowiedzi

Cześć,

 

jakiś czas temu kolega poinformował mnie, że z mojego konta e-mail na wp rozsyłany jest spam (załączam screen, jak taki mail wyglądał). W związku z tym zmieniłam hasło na koncie pocztowym na wp. Dzisiaj okazało się, że przy próbie wysyłania wiadomości z innego konta na onecie na niektóre adresy e-mail, otrzymuję zwrotkę o treści:  "550-Sophos Anti Spam, Engine has blocked this Email because the sender IP 550 Address is blacklisted. (in reply to RCPT TO command)". Sprawdziłam, czy mój IP figuruje na innych blacklistach i faktycznie na kilku jest (dołączam screena ze strony).

 

Co już zrobiłam:

  • zaktualizowałam Win 7 do Win 10, wykonując instalację "na czysto", bez zachowania plików osobistych, a jednak finalnie okazało się, że niektóre się zachowały...
  • pobrałam wszystkie dostępne aktualizacje,
  • zmieniłam ponownie hasło na kontach pocztowych na silne,
  • wyłączyłam zapamiętywanie hasła do poczty w przeglądarce,
  • ustawiłam dwuetapową weryfikację logowania na konta e-mail za pomocą aplikacji mobilnej,
  • przeskanowałam system wbudowanym narzędziem Windows Defender - nie znalazł żadnych zagrożeń,

 

Przed aktualizacją do Win 10 próbowałam uzyskać miejsce na ten system na dysku C. Jednak mimo usunięcia niepotrzebnych programów i plików, zwolniło się bardzo niewiele miejsca, tak jakby coś tam jeszcze uparcie siedziało.

 

Załączam wymagane logi.

 

 

spam.png blacklist.png

Addition.txt FRST.txt Shortcut.txt

blacklist.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach nie ma niczego podejrzanego.

Prawdopodobnie Twoje IP zostało przejęte na serwerze, więc nic na to nie poradzisz.

Teoretycznie najlepszym wyjściem byłoby przeniesienie się do innego miasta z jednoczesną zmianą dostawcy internetu - ale w polskich warunkach raczej nikt sobie nie może pozwolić na taki krok.

Jeśli możesz, to zlikwiduj swoje konta e-mail, bo po co wszyscy mają oskarżać Cię o spam?

 

jessi

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W mojej ocenie na windows 7 miałaś infekcję, która przejęła hasło do poczty wp i z niej rozsyłała automatycznie spam, co doprowadziło do wpisania IP na black listy. Dlatego na innych pocztach też blokuje IP, ale nie świadczy to o wycieku danych poczty onet. Po prostu inne poczty wspierają się tymi samymi blacklistami.

Po czystej instalacji do windows 10 infekcje są usuwane. Mogą zostać jedynie pliki nie związane z systemem, ale o infekcji można już zapomnieć. Podjęłaś dobre kroki z reinstalacją,  zmianą haseł i weryfikację dwu etapową. Kolejnym krokiem będzie wypisanie się blacklist. Można to zrobić przez dostawcę poczty wp, która była przyczyną blokady. Opisać im przypadek tak jak tu to zrobiłaś, że był zarażony system, ale już podjęłaś kroki, opisz jakie, że już jest w porządku i aby interweniowali do blacklisty w Twojej sprawie. Całkiem możliwe, że to jest blok czasowy i samo ustąpi.

 

Jeśli chcesz wcześniej korzystać z poczty to możesz użyć zmiany IP na zasadzie np. VPN. Ewentualnie prosić dostawcę internetu o przydzielenie nowego IP, co może wiązać się z rekonfiguracją sieci i routera.

 

@jessica Nie przesadzasz? :) Przecież to nie jej wina, że spam został wysyłany, jest ofiarą ataku. Dlaczego ma się zachowywać jak bohater scenariusza kryminału zacierając za sobą ślady, likwidując skrzynki pocztowe i wyprowadzać się do innego miasta po nową tożsamość IP :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

@giyefiki

Kiedyś (jeszcze na innym forum) próbowałam pomóc jednemu forumowiczowi, który miał identyczny problem.

Zastosował wszystkie sposoby wymienione przez Ciebie, w tym także zmiana dostawcy internetu, a tym samym zmiana IP.

Efekt: żaden!

Dalej był problem.

Po kilku miesiącach napisał do mnie, że przeniósł się do innego miasta.

Problem znikł.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

@jessica Mimo abstrakcyjnej sytuacji jaką przytaczasz, której ciężko dać wiarę, warto zacząć od podstaw i zastosować rozwiązania, które pomagają znakomitej większości przypadków.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
W dniu 31.03.2020 o 19:20, giyefiki napisał:

Kolejnym krokiem będzie wypisanie się blacklist. Można to zrobić przez dostawcę poczty wp, która była przyczyną blokady. Opisać im przypadek tak jak tu to zrobiłaś, że był zarażony system, ale już podjęłaś kroki, opisz jakie, że już jest w porządku i aby interweniowali do blacklisty w Twojej sprawie.

Dziękuję bardzo. Tak zrobiłam.

Tymczasem pojawił się kolejny problem. Poinformowano mnie w pracy, że antywirus wykrywa wirusa w przesyłanych przeze mnie plikach. Pracuję zdalnie, na plikach znajdujących się na kilku pendrivach. Mam zainstalowany program, który chroni mój komputer przed instalowaniem się wirusów z pendriva, ale odbiorców maili on niestety nie chroni. Zatem, w jaki sposób przygotować do weryfikacji logi z pen'ów?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Puściłam jeszcze dla pewności przez Eset Online Scaner i znalazł trzy trojany (raport w załączeniu). Czy komunikat "wyleczony przez usunięcie" oznacza, że faktycznie pozbyłam się infekcji?

dziennik.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie zauważyłam, że na "H" jest ukryty folder bez żadnej nazwy.

I to właśnie w nim ESET wykrył te "rzeczy".

Cytat

[03/06/2013 - 15:09:42 | SHD] - 

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

CMD: attrib /d /s -s -h H:\*

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Jeszcze raz użyj USBFix, ale tym razem z opcji USUŃ.

 

EDIT:

Zapomniałam, że nowe wersje USBFixa nie mają wersji USUŃ, to teraz tylko zabawka, a nie narzędzie usuwające.

 

Ściągnij starszą wersję stąd http://www.mediafire.com/file/kqbuu17k266ey14/UsbFix_9.067.exe

W nim jest opcja CLEAN (Usuń).

 

jessi

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To normalne, że program ochronny wykrywa USBFix jako zagrożenie - trzeba po prostu wyłączyć ten program ochronny.

 

jessi

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Poproszę o podanie linka do innego programu w wersji najnowszej, który mogę bezpiecznie pobrać i zainstalować ze strony producenta.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skopiuj wszystkie rzeczy z pendriva na dysk, zrób pełne formatowanie pendriva, to usunie wszytko, nawet ukryte foldery.

 

Co do załączników w mailach, spróbuj przeskanować je multiskanerem online virustotal.com czy faktycznie były zainfekowane.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

@naekana

 

W raportach brak śladów aktywnej infekcji i nie wiadomo jaka infekcja była w Windows 7. Zawartość pendrive wygląda na niepowiązaną z problemem zbanowania IP, gdyż widoczne tylko nieaktywne szczątki po infekcji Gamarue. Ukryty folder bez nazwy to jedynie skutek tej infekcji ( Gamarue przesuwa tam dane użytkownika, by upozorować ich brak). ESET w tym folderze wykrył kolejne szczątki (skróty LNK, ale brak plików EXE bądź INI do których linkowały) i nie mogły one brać udziału w infekcji w czasie bieżącym. Ogólnie, to te obiekty wyglądają na odpadki po infekcji Gamarue, a daty plików wskazują, że to jakaś historyczna sprawa:

 

[10/07/2014 - 16:14:12 | RASH | 3 Ko] - desktop.ini
[08/05/2013 - 23:00:40 | H | 0 Ko] - AUTORUN.INF
[10/07/2014 - 16:14:12 | RASH | 248 Ko] - Thumbs.db
[03/06/2013 - 15:09:42 | SHD] -  

[Podobne zerowe pliki autorun.inf są na innych urządzeniach]

 

W kwestii IP umieszczonego na blacklistach, @giyefiki udzielił odpowiedzi. Nie ma innych możliwości.

 

 

W dniu 8.04.2020 o 12:07, naekana napisał:

Tymczasem pojawił się kolejny problem. Poinformowano mnie w pracy, że antywirus wykrywa wirusa w przesyłanych przeze mnie plikach.

 

Pytaniem tutaj jest czy na pewno to pliki zostały wykryte jako zainfekowane, czy może sam e-mail jako taki ze względu na ban IP.

 

 

W dniu 31.03.2020 o 16:30, naekana napisał:
  • zaktualizowałam Win 7 do Win 10, wykonując instalację "na czysto", bez zachowania plików osobistych, a jednak finalnie okazało się, że niektóre się zachowały...

Przed aktualizacją do Win 10 próbowałam uzyskać miejsce na ten system na dysku C. Jednak mimo usunięcia niepotrzebnych programów i plików, zwolniło się bardzo niewiele miejsca, tak jakby coś tam jeszcze uparcie siedziało.

 

1. Podaj jakie dane się zachowały.

2. Nie widzę nic niepokojącego w statystykach:

 

==================== Dyski ================================

Drive c: () (Fixed) (Total:97 GB) (Free:57.8 GB) NTFS

 

~40GB zajętego dla Windows 10 to nie jest dużo. Dla porównania mój Windows 10 z zaledwie kilkoma zainstalowanymi programami zajmuje ~60GB. Do dokładnej analizy zajętego miejsca możesz skorzystać z programu SpaceSniffer.
 

 

 

W dniu 9.04.2020 o 07:54, naekana napisał:

Niestety Windows Defender krzyczy, że w nim jest również wirus...

 

W dniu 9.04.2020 o 10:34, naekana napisał:

Poproszę o podanie linka do innego programu w wersji najnowszej, który mogę bezpiecznie pobrać i zainstalować ze strony producenta.

 

Strona domowa narzędzia dostarcza najnowszą wersję 11.029 (na uprzednio podanym Fosshub stara wersja). Należy wyłączyć adblock, by strona się pokazała (obecnie mają filtr anti-adblock) i klik w Descargar USBFix. Nastąpi przekierowanie do pobierania pliku z Dropbox. Aczkolwiek nie sądzę, by używanie USBFix miało tu obecnie sens. Już wszystko jest wiadome na podstawie poprzednio dostarczonej listy obiektów na dyskach.

 

Windows Defender wykrywa USBFix (i wiele innych narzędzi usuwających) od dawna. Wynika to z budowy narzędzia i użytych w nich technik. Została podana stara wersja narzędzia, którą Windows Defender klasyfikuje inaczej. Najnowsza wersja jest wykrywana w inny sposób:

 

usbfixdetection2.png

 

usbfixdetection.png

 

Po uruchomieniu pliku nie ma żadnej reakcji, gdyż Windows Defender natychmiast blokuje UsbFix.exe i UsbFixMonitor.exe. Przed uruchomieniem należy dodać wykluczenie folderów C:\ProgramData\SosVirus\UsbFix i C:\ProgramData\SosVirus\UsbFix\Modules.

 

 

 

@jessica

 

W dniu 31.03.2020 o 19:41, jessica napisał:

Kiedyś (jeszcze na innym forum) próbowałam pomóc jednemu forumowiczowi, który miał identyczny problem.

Zastosował wszystkie sposoby wymienione przez Ciebie, w tym także zmiana dostawcy internetu, a tym samym zmiana IP.

Efekt: żaden!

Dalej był problem.

Po kilku miesiącach napisał do mnie, że przeniósł się do innego miasta.

Problem znikł.

 

Sytuacja kuriozalna. Jeśli problem nie ustąpił, to nie widzę innych możliwości niż: "zmieniony dostawca" był także na czarnej liście (niewykluczone, że nowe IP zostało zbanowane ponownie, bo użytkownik nadal roznosił jakąś infekcję poprzez urządzenia które wcale nie zostały sprawdzone) lub problemem wcale nie było IP. Zbyt mało danych, by ocenić co się konkretnie stało, słowa użytkownika to nie dowód.

 

 

W dniu 8.04.2020 o 22:28, jessica napisał:

Zapomniałam, że nowe wersje USBFixa nie mają wersji USUŃ, to teraz tylko zabawka, a nie narzędzie usuwające.

 

Proszę nie podawaj linków do przestarzałych wersji narzędzia. Nowsze mają nowe detekcje dodane.

 

Opcja nadal jest, tylko teraz działa jak powinno to być od początku, tzn. niewidoczna dopóki nie zrobi się skanu (Run an Analysis) i skan czegoś nie wykryje. Wykryte obiekty mają pola do zaznaczenia, które z obiektów mają zostać usunięte, co pozwala wykluczyć fałszywe alarmy (przykład nieprawidłowej detekcji poniżej na obrazku). Jeśli nic nie zostanie wykryte, opcja "usuń" nie ma sensu.

 

usbfixclean.png

 

 

W dniu 9.04.2020 o 10:58, jessica napisał:

Nie ma innego, podobnego do USBFix, programu.

 

Jeśli mam być szczera, to USBFix jest stosowany na forum ze względu na wygodę połączenia kilku prostych opcji w całość i bez narzędzia można się obyć. Opcje narzędzia można zastąpić:

 

- Opcja listowania obiektów: komendy cmd lub PowerShell w trybie nierekursywnym lub rekursywnym. Na małych pendrive dyrektywa Folder: LiteraDysku:\ w FRST - działa rekursywnie więc unikać na dużych dyskach.

- Opcja detekcji infekcji i jej usuwania: dowolny skaner antywirusowy.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
W dniu 10.04.2020 o 17:20, picasso napisał:

W kwestii IP umieszczonego na blacklistach, @giyefiki udzielił odpowiedzi. Nie ma innych możliwości.

Zgodnie ze wskazówką giyefiki zgłosiłam się do supportu wp.pl. Otrzymałam odpowiedź z automatu, która nijak ma się do mojej sytuacji...
 

Cytat

Dzień dobry,

wskazane w zgłoszeniu konto jest aktywne. Nasz system wykrył na Państwa koncie pocztowym niepożądane działania. Dotychczasowe hasło zostało przechwycone najprawdopodobniej przez WIRUSA, który może znajdować się na Państwa komputerze, laptopie, tablecie, smartfonie lub innym urządzeniu, z którego korzystają Państwo do logowania na konto pocztowe.

W tej sytuacji sugerujemy:

- przeskanowanie wszystkich urządzeń, na których korzystali Państwo z poczty oprogramowaniem antywirusowym,
- natychmiastową zmianę hasła,
- UWAGA! nowe hasło do konta pocztowego nie powinno być wykorzystywane w innych stronach/serwisach,
- UWAGA! nowe hasło nie powinno być podobne do aktualnego hasła
- UWAGA! hasła do konta pocztowego nie powinno się zapisywać ani nikomu udostępniać,

Z naszej strony zapewniamy w pełni bezpieczne usługi. Nie mamy jednak wpływu na sposób korzystania z nich przez Użytkownika. Wirtualna Polska Media S.A. nie ponosi odpowiedzialności za poziom bezpieczeństwa urządzeń oraz systemów wykorzystywanych przez Użytkownika do obsługi konta pocztowego.

W celu odblokowania możliwości wysyłania maili należy zalogować się do poczty poprzez komputer stacjonarny bądź laptop, zalogować się poprzez stronę poczta.wp.pl oraz przejść weryfikację, która pokazuje się przy utworzeniu nowego maila. Jeśli captcha nie ładuje się poprawnie należy wyczyścić pamięć podręczną przeglądarki internetowej, pliki ciasteczek oraz zaktualizować przeglądarkę do najnowszej wersji.

Pozdrawiamy,
Anna Niezawodna
Specjalista ds. Obsługi Klienta

 

W dniu 10.04.2020 o 17:20, picasso napisał:

Pytaniem tutaj jest czy na pewno to pliki zostały wykryte jako zainfekowane, czy może sam e-mail jako taki ze względu na ban IP.

Pliki przesyłałam pośrednio za pomocą narzędzia wetransfer za każdym razem do współpracowników pracujących stacjonarnie, na komputerach służbowych. Ponieważ od jakiegoś czasu maile z wetransfer wpadają do spamu, a w pracy nie mamy dostępu do zawartości foldera spamowego, przesyłałam pliki przez wetransfer do siebie na konto prywatne, aby w mailu otrzymanym z wetransfer uzyskać link do downloadu plików. Następnie ten link wklejałam w treść maila służbowego (pracuję zdalnie na koncie służbowym, nie wysyłam nic do współpracowników z moich kont prywatnych). Zrobiłam tak kilka razy. Tylko w jednym przypadku koleżanka zgłosiła mi, że nie może otworzyć plików z linku, ponieważ antywirus zainstalowany na jej komputerze służbowym zgłosił, że w plikach znajduje się wirus i usunął całe archiwum. I tu pojawia się problem, ponieważ pracodawca zezwala na pracę zdalną na komputerze prywatnym pod warunkiem spełnienia przez ten komputer warunków bezpieczeństwa. W innym przypadku komputer zostanie permanentnie zablokowany i praca zdalna nie będzie możliwa.

Dodam jeszcze, że pliki, które przesyłałam, znajdują się na innym pendrivie niż ten, na którym widać pozostałości po infekcji.

 

W dniu 10.04.2020 o 17:20, picasso napisał:

1. Podaj jakie dane się zachowały.

Niestety nie umiem powiedzieć dokładnie. Natomiast zdziwiło mnie, że zachowały się jakiekolwiek pliki na dysku D i foldery i/lub pliki aplikacji, które nie są wbudowane w Win 10 a które gdzieś tam po drodze zainstalowałam, pracując jeszcze na Win 7.

 

Dołączam raport z USBFix (opcja "Scan usb discs"). Które z wymienionych plików mam zaznaczyć do usunięcia?

 

W dniu 10.04.2020 o 17:20, picasso napisał:

Do dokładnej analizy zajętego miejsca możesz skorzystać z programu SpaceSniffer.
 

Czy przedstawić z tego programu jakieś screeny, logi, informacje?

 

UsbFix-Report-01.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...