Elektroda.pl
Elektroda.pl
X
Servizza
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Brak dostępu do skrzynki mailowej na 3 dni, setki wysłanych maili

Ztejstronydiabel 31 Sty 2018 21:16 300 9
  • #1 31 Sty 2018 21:16
    Ztejstronydiabel
    Poziom 3  

    Drodzy Koledzy i Koleżanki,

    Z tej strony Diabeł.

    Jakiś znajomy kiedyś postawił mi maila u jakiegoś hosta na Thunderbirdzie. Ostatnio zaczęły pojawiać się problemy z logowaniem, ale zignorowałem to, bo co chwilę coś dostaje czkawki. Trzy dni temu straciłem jednak w ogóle możliwość logowania się. Nic nie pomagało. Dopiero admin hostingu przywrócił mi dostęp swoją interwencją i resetem hasła. Boję się jednak, że problem nie został rozwiązany i za chwilę się powtórzy.

    Dlatego, zgodnie ze sztuką, przeskanowałem system i załączam logi. Wykryłem kilkadziesiąt zagrożeń. Bardzo proszę o instrukcje - co dalej? Jak to pozabijać i zabezpieczyć się na przyszłość?

    Z góry uprzejmie dziękuję,
    Diabeł.

    Odbiór.

    0 9
  • Servizza
  • #2 31 Sty 2018 21:20
    Kolobos
    Spec od komputerów

    > Trzy dni temu straciłem jednak w ogóle możliwość logowania się.

    Napiszesz cos wiecej?

    Wymagane sa logi z FRST.

    0
  • Servizza
  • #3 01 Lut 2018 15:08
    Ztejstronydiabel
    Poziom 3  

    Szanowny Panie @Kolobos,

    przesyłam logi, o które prosisz. Mam nadzieję, że poprawne. Jeśli potrzebujesz czegoś jeszcze, proszę pisz.

    Przy okazji, przesyłam nowe logi z Dr.Web i Malwarebytes,

    0
  • Pomocny post
    #4 01 Lut 2018 18:48
    Kolobos
    Spec od komputerów

    Nadal nie napisales jak wygladaly te problemy z logowaniem oraz jak straciles calkowicie mozliosc logowania.

    Strona sie nie otwierala? Login nie pasowal? Haslo? Haslo i login pasowal ale strona sie nie otwierala po zalogowaniu czy jeszcze cos innego?

    Zreszta w logach nie ma sladu infekcji.

    Usun to co wykryl mbam.

    Odinstaluj:
    Advanced SystemCare 9
    Agnitum Outpost Firewall Pro 2.0
    IObit Malware Fighter 5
    Driver Booster
    McAfee Internet Security
    McAfee WebAdvisor
    WebStorage

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {8DC9ED87-98C4-400E-AC8D-82370A8C0427} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {F6C27FDE-C92C-4077-9695-B11FB0514685} - System32\Tasks\ASUS\ASUS AiCharger_Desktop Execute => C:\Program Files (x86)\InstallShield Installation Information\{9AF45D7C-34F1-4BA0-B799-825C8C04494C}\AiChargerDT.exe [2013-04-03] (ASUSTek Computer Inc.) <==== UWAGA
    Task: C:\WINDOWS\Tasks\ASC9_SkipUac_Viking.job => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001\...\MountPoints2: {cf045372-b5b7-11e7-9c65-2c56dcecb20e} - "F:\HTC_Sync_Manager_PC.exe"
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347\...\MountPoints2: {cf045372-b5b7-11e7-9c65-2c56dcecb20e} - "F:\HTC_Sync_Manager_PC.exe"
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190\...\MountPoints2: {cf045372-b5b7-11e7-9c65-2c56dcecb20e} - "F:\HTC_Sync_Manager_PC.exe"
    GroupPolicy: Ograniczenia <==== UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-b5400446
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?bcutc=sp-006
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?bcutc=sp-006




    HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?bcutc=sp-006
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKLM -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-b5400446&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001 -> {6fcad291-2f36-47d8-a77e-d4a611fa774a} URL = hxxps://search.gmx.com/web/result?q={searchTerms}&origin=p_jkld_y0_w37&p=jkld&p_brw=ie&p_mkt=es&p_tsrc=101
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-b5400446&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347 -> {6fcad291-2f36-47d8-a77e-d4a611fa774a} URL = hxxps://search.gmx.com/web/result?q={searchTerms}&origin=p_jkld_y0_w37&p=jkld&p_brw=ie&p_mkt=es&p_tsrc=101
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-b5400446&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125129347 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190 -> {6fcad291-2f36-47d8-a77e-d4a611fa774a} URL = hxxps://search.gmx.com/web/result?q={searchTerms}&origin=p_jkld_y0_w37&p=jkld&p_brw=ie&p_mkt=es&p_tsrc=101
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-b5400446&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681935076-327389106-1434314644-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012018125146190 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2016-04-20] (McAfee, Inc.)
    Handler-x32: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2016-04-20] (McAfee, Inc.)
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2016-04-20] (McAfee, Inc.)
    Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2016-04-20] (McAfee, Inc.)
    Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - C:\Program Files\mcafee\msc\MCSNIE~1.DLL [2016-07-07] (McAfee, Inc.)
    Filter-x32: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - C:\Program Files (x86)\McAfee\msc\McSnIePl.dll [2016-07-07] (McAfee, Inc.)
    FF user.js: detected! => C:\Users\Viking\AppData\Roaming\Mozilla\Firefox\Profiles\u03mq5s9.default\user.js [2018-01-09]
    FF Homepage: Mozilla\Firefox\Profiles\u03mq5s9.default -> hxxps://www.vikingtenerife.com/
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S3 rtop; "C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe" [X]
    2018-01-09 16:29 - 2018-01-25 09:21 - 000002374 _____ C:\Users\Public\Desktop\Driver Booster 5.lnk
    2018-01-09 16:29 - 2018-01-09 16:29 - 000001265 _____ C:\Users\Public\Desktop\IObit Malware Fighter.lnk
    2018-01-09 16:29 - 2018-01-09 16:29 - 000000000 ____D C:\WINDOWS\IObit
    2018-01-09 16:29 - 2018-01-09 16:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Malware Fighter
    2018-01-09 16:29 - 2018-01-09 16:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 5
    2018-01-09 16:29 - 2017-04-06 10:23 - 000044096 _____ (IObit.com) C:\WINDOWS\system32\Drivers\IMFCameraProtect.sys
    2018-01-09 15:58 - 2018-01-09 15:58 - 000000000 ____D C:\Users\Viking\Downloads\IObit Advanced System Care Pro v9.4.0.1131 Setup + Serial
    2018-01-09 15:56 - 2018-01-09 16:29 - 000000000 ____D C:\Users\Viking\AppData\LocalLow\IObit
    2018-01-09 15:56 - 2018-01-09 15:56 - 000000272 _____ C:\WINDOWS\Tasks\ASC9_SkipUac_Viking.job
    2018-01-09 15:56 - 2018-01-09 15:56 - 000000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
    2018-01-09 15:56 - 2018-01-09 15:56 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare
    2018-01-09 15:48 - 2018-01-09 15:50 - 045884068 ____R C:\Users\Viking\Downloads\IObit Advanced System Care Pro v9.4.0.1131 Setup + Serial.zip
    2018-01-09 15:37 - 2018-01-09 15:37 - 006974584 _____ (ESET spol. s r.o.) C:\Users\Viking\Downloads\esetonlinescanner_plk(1).exe
    2017-12-21 13:02 - 2017-12-21 13:02 - 006974584 _____ (ESET spol. s r.o.) C:\Users\Viking\Downloads\esetonlinescanner_plk.exe
    2017-12-21 12:35 - 2017-12-21 12:35 - 006654960 _____ (AVAST Software) C:\Users\Viking\Downloads\avast_free_antivirus_setup_online(1).exe

    W FRST wybierz Napraw.


    Zamiesc screen calego okna z CrystalDiskInfo:
    http://portableapps.com/apps/utilities/crystaldiskinfo_portable

    0
  • #5 02 Lut 2018 13:44
    Ztejstronydiabel
    Poziom 3  

    Dzień dobry,

    Już opisuję:
    * Początkowo nie można było wysłać wiadomości, ani żadne nie przychodziły
    * Wkrótce pojawił się taki komunikat:
    Brak dostępu do skrzynki mailowej na 3 dni, setki wysłanych maili
    * Końcowo logowanie było niemożliwe

    Dziękuję za instrukcję. Zastosuję się.

    Za 3-4 godziny uzupełnię wątek o screen z CrystalDiskInfo.

    0
  • Pomocny post
    #6 02 Lut 2018 14:51
    Kolobos
    Spec od komputerów

    To zwykly problem z serwerem poczty, nie ma to zwiazku z tematyka tego dzialu.

    Infekcji tez nie masz, tylko pare zbednych programow + wpisy widoczne w FRST.

    0
  • #7 02 Lut 2018 20:07
    Ztejstronydiabel
    Poziom 3  

    Brak dostępu do skrzynki mailowej na 3 dni, setki wysłanych maili

    To dobra wiadomość. Wyglądało mi to na uprowadzenie konta. Tym bardziej, że serwer zarejestrował te wspomniane wysyłki.

    Wdrożyłem Twoje polecenia. Dziękuję. Powiedz, po usunięciu tych różnych defenderów, jak teraz bronić system przed infekcjami? Coś zainstalować w zamian?

    0
  • Pomocny post
    #8 02 Lut 2018 21:52
    Kolobos
    Spec od komputerów

    Przeciez masz dalej Avast i Mbam.

    0
  • #9 07 Lut 2018 16:13
    Ztejstronydiabel
    Poziom 3  

    Wobec tego bardzo dziękuję za poświęcony czas!

    Pozdrawiam,
    Diabeł

    0
  • #10 07 Lut 2018 16:16
    Ztejstronydiabel
    Poziom 3  

    Postępując zgodnie z instrukcjami doświadczonego forumowicza, przeskanowałem system, wkleiłem przygotowany przez niego skrypt do odpowiedniego programu i usunąłem zbędne programy.

    0