Rozsyłanie spamu z mojego adresu e-mail

**Posty:** 10264 · przez **Mike** 27 Mar 2013, 09:40

Witam,

Ostatnio dostaję zwrotki o niemożności dostarczenia wiadomości, które były niby wysłane z mojego adresu - to jest jakiś ruski spam.
Proszę o zerknięcie w logi, czy nie mam jakiegoś bota, który rozsyła spam, czy innego syfa.
Pzdr,
Mike

**Posty:** 4765 · przez **ordynat** 27 Mar 2013, 11:21

Nie widzę tu żadnej infekcji.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ax3ibbcg)
[2013-01-30 08:31:05 | 000,002,203 | ---- | M] () -- C:\Users\Mike\AppData\Roaming\mozilla\firefox\profiles\z9bjgs3c.default\searchplugins\MyStart Search.xml
[2013-01-18 08:26:57 | 000,003,915 | ---- | M] () -- C:\Users\Mike\AppData\Roaming\mozilla\firefox\profiles\z9bjgs3c.default\searchplugins\sweetim.xml
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe File not found
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found
O4 - HKU\S-1-5-21-403830732-2344068200-2669195169-1000..\Run: [] File not found

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.com/"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Na wszelki wypadek:
Użyj > MBAM http://www.programosy.pl/program,malwarebytes-anti-malware.html
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
.

**Posty:** 10264 · przez **Mike** 27 Mar 2013, 12:58

Raport z MBAM:

Kod: Zaznacz wszystko: Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Wersja bazy: v2013.03.27.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Mike :: MIKE013 [administrator] 2013-03-27 10:51:24 mbam-log-2013-03-27 (10-51-24).txt Typ skanowania: Szybkie skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 196703 Upłynęło: 22 minut(y), 17 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 0 (Nie znaleziono zagrożeń) (zakończone)

Raport po skanie z OTLa

Kod: Zaznacz wszystko: All processes killed ========== OTL ========== Service VGPU stopped successfully! Service VGPU deleted successfully! File System32\drivers\rdvgkmd.sys not found. Error: No service named ax3ibbcg was found to stop! Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ax3ibbcg deleted successfully. C:\Users\Mike\AppData\Roaming\mozilla\firefox\profiles\z9bjgs3c.default\searchplugins\MyStart Search.xml moved successfully. C:\Users\Mike\AppData\Roaming\mozilla\firefox\profiles\z9bjgs3c.default\searchplugins\sweetim.xml moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SweetIM deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Sweetpacks Communicator deleted successfully. Registry value HKEY_USERS\S-1-5-21-403830732-2344068200-2669195169-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"http://www.google.com/" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Mike ->Temp folder emptied: 26195778 bytes ->Temporary Internet Files folder emptied: 39109148 bytes ->FireFox cache emptied: 433779625 bytes ->Flash cache emptied: 11439 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 960 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50541 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 554 bytes RecycleBin emptied: 10401016 bytes Total Files Cleaned = 486,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 03272013_103351 Files\Folders moved on Reboot... File move failed. C:\Windows\temp\atchksrv.log scheduled to be moved on reboot. PendingFileRenameOperations files... Registry entries deleted on Reboot...

**Posty:** 4765 · przez **ordynat** 27 Mar 2013, 13:28

Raport z MBAM potwierdza, że nie masz żadnej infekcji.
.

Autor postu otrzymał pochwałę

**Posty:** 10264 · przez **Mike** 27 Mar 2013, 14:21

Dzięki za pomoc.