Поймал вирус

[BHyK]

Подцепил где - то какашку.... от меня письма шлёт со всякой хренью. Не удобно перед людьми.

[hide auth=1" nick="idTails]

Sorry, we were unable to deliver your message to the following address.

 

<sarka.bouchalova@miratour.cz>:

Remote host said: 550 Requested action not taken: mailbox unavailable [DATA]

 

--- Below this line is a copy of the message.

 

Received: from [98.139.91.67] by nm7.bullet.mail.sp2.yahoo.com with NNFMP; 20 Oct 2011 05:44:03 -0000

Received: from [98.139.91.41] by tm7.bullet.mail.sp2.yahoo.com with NNFMP; 20 Oct 2011 05:44:03 -0000

Received: from [127.0.0.1] by omp1041.mail.sp2.yahoo.com with NNFMP; 20 Oct 2011 05:44:03 -0000

X-Yahoo-Newman-Property: ymail-3

X-Yahoo-Newman-Id: 798009.96054.bm@omp1041.mail.sp2.yahoo.com

Received: (qmail 78511 invoked by uid 60001); 20 Oct 2011 05:44:03 -0000

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1319089443; bh=Czkkvc1mixdmXCsCLsDNrhbXJlcPiOoH+94ei277cgA=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:To:MIME-Version:Content-Type; b=WeqMTem0q9B698Mfb5oy4HxvB+nmQSaWcUCqdisyQ/CdNBeOprPBKcY8RwvfosWDx4HlpHygEnfMx5xO9Ap+yy5B2Q2grCVkvS9y9h3vEhOW3w9njlm0yMgBa1qzoWM26gC4bu5F860uJLwc/m9itZBStFrReijui16zm3iJiBI=

DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;

s=s1024; d=yahoo.com;

h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:To:MIME-Version:Content-Type;

b=qHI0UwBXK+ob1pNOie6ckGZ0sXrPRYqq2gyXBgSXgReRbjW2YYvcfF5PUDji2/fIr6Rq/tD8HWxwLuSe3QrvbvFnRBiyYv5SJmyf9RXCCqOLAJ/8N5LJ1NQ2h94T+R4jMyuyv5vQM7It+eFgtNwZiL1ngax0/XripAHx78XlJkw=;

X-YMail-OSG: V8_BNqgVM1m92ckUgSXv5uM5IELaOG6EDip6ISXgXwHS29D

8XTMKPuL_8ye5QO2anPeqXqo4mUQ10snGq_j3rXqkDLEqgeNNGdTBh0n0VXI

jfQB1vAL07rrdD1TADZpuAEdrZS9EOIoN_4YVwaR6x_9No4N9uWNYFk0nNio

TGCBmQJlj_KzCbJ5vPFqGYh59d6TV6Y5BNX0xc9Xznps4QEttVQzUoS34rxg

CnqZlsQgaifippcWNB5t5t81vay_sU5sHt.XFglPTXSug2Qz4JPU8j7AWW0j

l_vI2JfW.gzBGk1yG2lYx8Ml2lgZTlJACc8UPTtgpq2W9L6SuCAYGfm5rEm8

SMFpo4fo5lag2qT2pgecZnP07m5np7oA2FSITH8ve0Ds6QQTwbA7PB7TwaZr

7dgM1VaEgXiYmQHaZLG9NzijucSCabwwxsr8K5IP9bMBFuqhU4GNKAA2Sujn

vWl1hOclhodfK13eDkjocZ9syD2R5sQL5sY9eLKtZekR1qB4T69YRI550UL_

3P04-

Received: from [46.35.143.173] by web112008.mail.gq1.yahoo.com via HTTP; Wed, 19 Oct 2011 22:44:03 PDT

X-Mailer: YahooMailWebService/0.8.114.317681

Message-ID: <1319089443.77333.YahooMailMobile@web112008.mail.gq1.yahoo.com>

Date: Wed, 19 Oct 2011 22:44:03 -0700 (PDT)

[/hide]

Стоит KiS 11 - убивать жалко, годовая лицензия.

[WereWolf]

попробовать CureIt сначала... Дальше смотреть...

Поставить, наконец-то нормальный firewall (Тот же Outpost)- а не <ВЦ> от кошмарского!

[seitrol]

А они точно уходят с вашего компа?

Из скрытого текста это не очевидно.

[BHyK]

А они точно уходят с вашего компа?

вероятно... уже много друзей мне на меня жаловались :(

Из скрытого текста это не очевидно.

Это то что пришло отказом MAILER-DAEMON@yahoo.com ;от одной девочки ( она этот ящик убила) или почтовая не пропустила.

 

Поставить, наконец-то нормальный firewall (Тот же Outpost)- а не <ВЦ> от кошмарского!

Спасибо! Есть и такая коробочка...

А как Каспера удалять под чистую?

[seitrol]

вероятно... уже много друзей мне на меня жаловались

Пользуетесь Outlook? Как доступ к базе адресов ваших друзей мог быть получен?

 

Это то что пришло отказом MAILER-DAEMON@yahoo.com ;от одной девочки ( она этот ящик убила) или почтовая не пропустила.

Ага, либо айпишники у вас из боснии-герцеговины, либо у нее.

[seitrol]

По сути: я бы начал со смены пароля в почте с потенциально чистого компа на достаточно хороший. Во избежание.

Потом бы с liveCD с антивиром со свежими базами загрузился и искал заразу.

 

Для компа с которого массово рассылается почта характерны куча приблизительно одинаковых файлов во временной папке, вроде /Temp/. По крайней мере когда в последний раз сталкивался - пару лет назад - было именно так. Это не гарантированно последствия зловреда, но все же с большей уверенностью можно утверждать, что дело в самом компе.

 

PS По заголовкам письма больше похоже, что дело не в компе, а в пароле к почте. Хотя, конечно могу и ошибаться.

 

PPS Если уж решитесь удалять касперского, хотя зачем, то инструкция здесь:

http://support.kaspersky.ru/faq/?qid=208635705

[WereWolf]

так смысл весь антивирь кашмарского убивать, просто отрубить сетевой экран и вместо поставить оутпост

И вполне может оказаться, что была украдена сама база данных адресов... Такое тоже бывает!

[Rumlin]

Скорее рассылается не с.этого компа. Менять пароли на почте срочно.

[ratibor]

Rumlin, +1

похоже просто спиздили пароль с почты, касперский может и не при делах, могли подобрать

попробовать сменить пароль

если нет - писать в абуз тим чтобы заблокировали

[seitrol]

Смотря какой пароль был. Если типа:

!e=o#EKY7U5U7Y4
JI9agAKAsa(y^Up
XaBaMomu$AQE(O-
Y8yQaQAsE~awU%a
,equ3ufU.yLiKAw
WITu1ozU$I9A-y&

то скорее увели трояном, чем подобрали.

 

Хотя иногда ставят очевидный ответ на вопрос в "Забыли пароль"...

[Rumlin]

Интересный троян. Проявляется в встраивании видеорекламы перед онлайнвидео.

Некоторые сайты не открываются. Касперский ничего не видит. ДрВеб находит троян.

[1attachment=51411:1.png]

[Инквизитор]

во всех браузерах?

[Rumlin]

да, все браузеры. Снес браузеры с удалением личных данных , поставил - нет рекламы. Перегрузка - всё сначала. Оказалось эта штука драйвером в системе становится, и закачивает скрипты в браузеры после их установки.

Название не запомнил, что- то вроде Trojan.Zlovred