Блокировка POP/SMTP-протоколов при работе с электронной почтой

[zyablik]

Хороший комп в учреждении: KIS 9.0.0.736 лиц., базы свежие. Хотя полную проверку не делали полную месяц или два, откровенной заразы не замечено. И вот: 2 недели как глюканул Outlook. Почту с ящиков родного провайдера (Рязанский филиал ЦентрТелеком) перестал принимать, равно как и отправлять. Всё это творится и при применении The Bat. Причем подозрительно быстро отбивает. Как будто дело не доходит до POP или SMTP-серверов.

Сегодня на другом компе наладил те же учетные записи: как в Outlook'е, так и в The_Bat!'е всё отлично работает. Значит, дело в компьютере — подумалось тут мне.

ComboFix'ом прогнал. Кучу малу поудалял, кажется. Даже что-то по реестру не понравилось: мол, infected, ё-моё. Лог тут:

AVZ 4.35 со свежей базой. Лог по 7-му пункту стандартных скриптов:

---

С forum.kaspersky.com, где создавал эту же тему, прогнали шваброй.

Буду осваиваться у Вас. Раньше обходился упомянутым форумом (около 200, кажется, постов), где помогали здорово.

Теперь надежда на Вас. Помогите кто может!

Заранее благодарны.

Изменено 15 января, 2011 пользователем zyablik

[Roman_Five]

zyablik

С forum.kaspersky.com, где создавал эту же тему, прогнали шваброй.

ну зачем же перевирать? никто Вас не гнал.

Вам предложили 2 варианта,где можно получить помощь.

http://forum.kaspersky.com/index.php?showt...t&p=1574119

 

ждите.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
DelAutorunByFileName('C:\Program Files\pchd\PCHDPlayer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (если не стоит)

- все обновления на Windows XP

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

Изменено 15 января, 2011 пользователем Roman_Five

[zyablik]

Спасибо.

...никто Вас не гнал...

Да? А я уж, растроенный/потерянный, перысыл принял за посыл...

 

...Выполните...

Всё выполним. // Разве что "...все обновления на Windows XP..." (?)

Но в понедельник — с Вашего позволения.

 

Извините за предыдущий выпад. Я, подумал было, что Дом Советов закрылся / Свет потух.

Нет, и слава Богу и ...Касперскому.

Изменено 15 января, 2011 пользователем zyablik

[zyablik]

Скрипт первый выполнили. Перезагрузка.

 

...обновить Internet Explorer до версии 8.0 (если не стоит)...

Обновить IE 8 по той ссылке никак не удается, увы.

 

Скрипт из ScanVuln.txt выполнили. Лог был такой:

---------------------

Поиск критических уязвимостей

Уязвимость службы сервера делает возможным удаленное выполнение кода

http://www.microsoft.com/downloads/details...76-2067B73D6A03

 

Уязвимости в протоколе SMB делают возможным удаленное выполнение кода

http://www.microsoft.com/downloads/details...98-8417A6BFD4D8

 

Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода

http://www.microsoft.com/downloads/details...bc-3ed41d8736ff

 

[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

...

>>>>>>+еще несколько таких строк (тут было выполнять нечего)

 

Накопительное обновление безопасности для браузера Internet Explorer

http://www.microsoft.com/downloads/details...f7-c64e976e3513

 

Уязвимость в Центре справки и поддержки Windows

http://www.microsoft.com/downloads/details...BA-6FB862F603C5

 

Уязвимость оболочки Windows делает возможным удаленное выполнение кода

http://www.microsoft.com/downloads/details...2B-90F2727894FD

 

Уязвимость в службе диспетчера очереди печати делает возможным удаленное выполнение кода

http://www.microsoft.com/downloads/details...27-A012BBF56B13

 

Уязвимости в Adobe Flash Player для Internet Explorer

http://fpdownload.macromedia.com/get/flash...10_active_x.exe

 

Установлен Adobe Reader версии 9.2.0. Необходимо обновить его до версии 9.4

>>>>>>>>>>Самостоятельно обновили

 

Множественные уязвимости в Sun Java JDK и JRE. Деинсталлируйте старую версию и установите новую:

http://www.java.com/ru/download/manual.jsp

 

Обнаружено уязвимостей: 10

----------

 

Всё скачали, всё установили, кроме одного::::::

Накопительное обновление безопасности для браузера Internet Explorer

http://www.microsoft.com/downloads/details...f7-c64e976e3513

 

Честно говоря, IE вообще не запускается (как до, так и после этих процедур)

При этом же обновлении обновлятель сообщает, что версия не та. Хотя она 7-я (судя по отчету Everesta, например).

 

В итоге в avz_log.txt'е осталось:

---------------

Поиск критических уязвимостей

Накопительное обновление безопасности для браузера Internet Explorer

http://www.microsoft.com/downloads/details...f7-c64e976e3513

 

Удаление файла:C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll

Обнаружено уязвимостей: 1

---------------

 

Два лога AVZ здесь:

Лог HiJackThis:

Лог GSI: , ссылка на отчет GSI: http://www.getsysteminfo.com/read.php?file=a464f8806d18ee719e7f3481e6c34b0f ://http://www.getsysteminfo.com/read.p...7f3481e6c34b0f

 

Почта, как не работала, так и не работает пока.

 

Спасибо. Будем надеяться на дальнейшие советы. Где бы скачать IE 8 нормальный?

[Roman_Five]

При этом же обновлении обновлятель сообщает, что версия не та. Хотя она 7-я (судя по отчету Everesta, например).

судя по отчётам - она 8-я.

вот прямая ссылка - http://download.microsoft.com/download/D/6...sXP-x86-RUS.exe

- все обновления на Windows XP

это выполняли?

 

 

Установите свежие драйверы на сетевую Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC

http://www.realtek.com.tw/downloads/downlo...;DownTypeID=3#1

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте лог утилитой из этой статьи

http://support.kaspersky.ru/faq/?qid=208639606

полученный лог из корня диска С: приложите.

Файл C:\Program Files\SizeExplorer Pro 3.7.6\SEPCM.dll

проверьте на http://virustotal.com

ссылку на результат приложите

 

 

в консоли введите

telnet relay.ryazan.ru 110

(ваш pop3 сервер?)

что пишет?

[zyablik]

Спасибо за ссылку на IE8 — встала, пошла.

Драйвер сетевой так же обновили.

 

Malwarebytes' Anti-Malware установили (обновление при установке автоматом, вроде). Просканировали. Лог:

TDSSKiller'ом прогнали. Лог:

 

Файл C:\Program Files\SizeExplorer Pro 3.7.6\SEPCM.dll на вирустотал проверили.

Всё чисто, кроме одной строки

AhnLab-V3 2011.01.18.00 2011.01.17 Win-AppCare/Xema.57856.D

File name: SEPCM.dll

Submission date: 2011-01-18 06:25:39 (UTC)

Current status: finished

Result: 1/ 43 (2.3%)

--

Где взять какую-то ссылку, о которой Вы пишете?

 

 

Консоль telnet relay.ryazan.ru 110 выдал:

Подключение к relay.ryazan.ru...Не удалось открыть подключение к этому узлу, на порт 110: сбой подключения

 

---

Извиняемся, а что это за "2х?" рядом с нашей темой?

 

Добавление к открытию страницы провайдера (www.ryazan.ru = http://ryazan.domolink.ru/ ):

на данном компьютере страница не открывается, хотя на других компах недалеко всё Ok (впрочем, как и заданная Вами команда telnet выполняется успешно: +Ok).

Причем адреса типа www.user.ryazan.ru доступны и на исследуемом компе.

Изменено 18 января, 2011 пользователем zyablik

[Roman_Five]

удалите в MBAM:

Заражённые файлы:
c:\program files\alcohol soft\alcohol 120\Plugins\Helper\AlSrvN.exe (Backdoor.Agent) -> No action taken.
c:\program files\фотодекор\photodecor.2.xx-patch.exe (Trojan.Agent) -> No action taken.
...
d:\ddistrib25\alcohol 120% v.1.9.8.7612 ru-en\alcohol1201.9.8.7612ml.rus\Plugins\Helper\AlSrvN.exe (Backdoor.Agent) -> No action taken.
d:\ddistrib25\thebat.4.2.36.4.rus + keygen\keygen-fff\Keygen.exe (Malware.Packer) -> No action taken.
d:\ddistrib25\calendar builder\_calendar_builder_3.45\keygen.exe (Malware.Packer.Gen) -> No action taken.
d:\ddistrib25\everest corporate.edition\lavalys.everest.corporate.edition.v5.00.1650.winall.incl.keygen-crd\KGN\crd.exe (TheftMarker.Crude) -> No action taken.
d:\ddistrib25\фотодекор\fotodecor_rus_help_patch_v.2.81\#Patch#\photodecor.2.xx-patch.exe (Trojan.Agent) -> No action taken.
d:\ddistrib25\photowatermark_prof_v7.052\_photowatermark_prof_v7.052 - crack\watermark.exe (Malware.NSPack) -> No action taken.
c:\documents and settings\all users\firefox.exe (Rootkit.Dropper) -> No action taken.

 

проверьте на virustotal.com

c:\WINDOWS\innounp.exe 
c:\WINDOWS.0\innounp.exe

 

установите все обновления (может потребоваться активация).

 

проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

запустите для него дефрагментацию.

пуск-выполнить-defrag C: /v

 

проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

 

НАНОВО Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Извиняемся, а что это за "2х?" рядом с нашей темой?

два человека в чём-то в этой жизни сомневаются.

Причем адреса типа

есть подозрение, что Ваши проблемы не связаны с вирусным заражением.

ещё один лог - и, видимо, пойдёте в ветку "Компьютерная помощь"

[zyablik]

Спасибо. Сегодня уже не получится — завтра.

Удалять в MBAM пока не знаем, но научимся.

----

Такие коренные перетряски из-за несчастной почты, что впору подумать: "А не снести ли нам систему? " А то их там как бы уже две (+ в Program Files'е каша)...

[Roman_Five]

Удалять в MBAM пока не знаем, но научимся.

зарускаем, сканируем по полной, ставим галки - удалить

А не снести ли

Вам решать.

[zyablik]

...проверьте системный раздел скандиском. пуск-выполнить-chkdsk C: /v /f /r /x нажать Y перезагрузиться. подождать...

Сделали только это: все 5 этапов прочекил. И...Outlook и TheBat! работают, как ни странно... В смысле ящиков...

Изменено 31 января, 2011 пользователем zyablik

[Roman_Five]

И...Outlook и TheBat! работают, как ни странно... В смысле ящиков...

вот и славно