[ Azzrael @ 14.08.2012. 08:09 ] @
Pozdrav,
Imam 2 mailboxa u Outlooku, i na oba stiže po 5-6 mailova sedmično sa sledećom sadržinom:

Subject:
Mail Delivery (failure [email protected])

Body:
If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
www.arpel.rs/inbox/dejan/read.php?sessionid-7409.

Naravno da ovakav link ne postoji, a inače vodi ka cid:031401Mfdab4$3f3dL780$73387018@57W81fa70Re, ne klikćem naravno, pojma nemam šta je iza

Ono što je zajedničko za sve mailove ovog tipa je da stižu sa postojećih adresa koje nemam u kontaktima i sa kojima nikada nisam kontaktirao. Mailbox je kod Euneta, savetuju da promenim AV i kontaktiram Telekom. U Telekomu savetuju da resetujem modem . Još nisam pokušao da promenim šifre naloga...

Ima li neko ideju kako je došlo do ovoga i čime tretirati?

Unapred hvala!
[ Vodomar @ 14.08.2012. 13:36 ] @
Pa ja bi skenirao sa Malwarebyte's-om i Kaspersky Virus Removal Tool (u podesavanjima stikliraj i opciju da skenira Computer a ostalo ne diraj)
Istovremeno gotovo uvek kada imas ove poruke o neisporučenom mailu a pri tom znaš da nisi slao na te adrese to je znak da ti je nalog kompromitovan -odmah menjaj lozinku!
I to:promeni je sa drugog kompa npr. kod druga,sa sledećim karakteristikama:min.15 karaktera(u Outlooku je max. svega 16) mala i velika slova,brojevi,posebni znaci(!@#$%^&*_+-/) i te kombinacije ne smeju da podsećaju ni na jedan pojam iz bilo kog jezika-bez p1r0t umesto pirot npr.Lozinke jednostavno zapisi negde.
primer:do $%24aWi @6dER
U svaki nalog u kontakte ubaci svoju test adresu sa laznim domenom npr. test_alert@d10x##.com kad god ti se pojavi u inboxu poruka da je neki mail neuspesno isporucen na tu adresu to ce biti znak da ti je hakovan nalog.
Ako se otkrije da imas nesto na kompu bolje se obrati ovde pa će ti biti savetovana dijagnostika i dalji koraci.Ako koristis nelegalan AV molim te odmah to deinstaliraj i instaliraj besplatan avast,aviru ili ZoneAlarm FREE AV+Firewall i odradi full skeniranje.

Da dodam:svi online nalozi(facebook,twitter,gmail,yahoo,aol...) koje si registrovao sa ovim dvema adresama su takodje kompromitovani -i njima zameni lozinke.Takodje napravi tajni mail nalog koji ce se koristiti iskljucivo kao alternativna adresa za reset lozinki drugih naloga i koja ce imati identifikaciju u 2 koraka npr gmail (potvrda putem koda sa mobilnog telefona)

[Ovu poruku je menjao Vodomar dana 14.08.2012. u 16:41 GMT+1]
[ superbaka @ 14.08.2012. 19:12 ] @
sve ovo sto je rekao Vodomar stoji, samo bih dodao da proveris da li ne saljes mejlove na vise adresa, mejl liste, grupe i slicno, jer moze da se desi da je neka adresa iz te grupe nefunkcionalna (nepostojeca, prebukiran inbox, ne prima mejlove sa odredjenom ekstenzijom i slicno), pa ti stize obavestenje da mejl nije isporucen, a ti ne mozes da prepoznas po adresi o kome se radi... nekad ta obavestenja mogu i da kasne po dan dva, ali ako nadjes uzrocno posledicnu vezu da kad posaljes mejl, a posle izvesnog vremena dobijes obavestenje da nije isporucen, moguce je da nemas virus ili kompromitovan nalog, vec da se radi o ovome o cemu pricam... a pricam iz iskustva...
[ Azzrael @ 16.08.2012. 17:29 ] @
Puno hvala na savetima,
Ne šaljem nikada mail na više od dve adrese, tako da nije to u pitanju. Lozinke ću promeniti (malo mi je smor ovo sa hijeroglifima i papirićima al' 'ajde, što se mora - nije teško). Ovaj hint sa fake test adresom je cool... AV je totalno legalan - Avast za dž. Ovo su isključivo biz nalozi, tako da sa njih ništa FB i to, za to služi gmail... Što se skeniranja tiče, u toku je Malwarebyte's, posle ću pustiti i Kaspersky pa ću javiti rezultate.

Pozdrav,
[ Azzrael @ 16.08.2012. 21:54 ] @
Evo kako stoje stvari:

Malwarebyte's se 2-3 puta zakucao posle 3-4 minuta, a Kaspersky je radio 3 sata i onda se zakucao. Malwarebyte's je našao 35 objekata, a Kaspersky 34 koje je obrisao. Nisam napomenuo da je OS W7-64...

Restartovao sam i jedva uspeo iz više puta da podignem user (pocrni ekran, nema ništa, kao da je puk'o explorer). Čak nema ni opcija: Last known good configuration...

Pozdrav

[Ovu poruku je menjao Azzrael dana 16.08.2012. u 23:12 GMT+1]
[ Vodomar @ 17.08.2012. 10:53 ] @
ok.Kako se sada ponasa komp?
da li mozes uci u safe mod?
kada udjes u user da li je i dalje sve crno ili explorer radi i mozes li na internet?
[ Azzrael @ 17.08.2012. 17:07 ] @
Sada je sve OK, mislim kao i pre. Nisam više pokretao Kaspersky ni Malwarebytes, u haosu sam od posla, juče kad je pocrneo nije mi bilo dobro! Narednih dana sam na godišnjem, kada se vratim pokušaću ponovo.
Još jednom, puno hvala na podršci!

P.S: Internet radi, u safe mode nisam išao više, user deluje kao da je OK...
[ Vodomar @ 17.08.2012. 18:15 ] @
Ok,prijatan odmor.Nešto se gadno zapatilo na tvom kompu tako da postoji šansa da nije sve uklonjeno.Kada se vratiš obrati se ovde pa će ti biti savetovana dijagnostika kako bi se sprečile negativne posledice po sistem - tipa ovoga od juče.Alternativno, na sopstveni rizik mogao bi da skeniraš komp dok je Windows isključen tj. pomoću Rescue Diska od Kasperskog ili Bitdefendera ili Avire.Medjutim tu postoji opasnost da se obriše legitiman fajl.Tu moraš imati spreman instalacioni cd(sa licencom) ili Windowsov Repair disk.Šta god radio prvo kreiraj System Restore tačku i backup podataka na neki usb,dvd ,spoljni disk ili neki cloud servis.

Tvoj komp je i dalje sumnjiv te ako si na njemu uradio promene lozinki( ili si se opet sa njega logovao u te naloge) one se mogu smatrati i dalje kompromitovanim.Legitimne su one lozinke koje su postavljene na "čistom" sistemu.Naravno ako radiš na iranskom nuklearnom programu onda ni ovo nije neka uzdanica:D
Pozz

[Ovu poruku je menjao Vodomar dana 17.08.2012. u 19:26 GMT+1]