Outlook wysyłający maile (sprawdzenie logów)

[TrevorGryffits]

Witam wszystkim forumowiczów.
Ojciec zgłosił się do mnie z następującym problemem: na jego skrzynkę (obsługiwaną przez Outlooka) zaczęły przychodzić maile w ilościach hmm... sporych (kilka tysięcy). Okazało się, ze wszystkie wiadomości to informacje zwrotne, ze jakiś wysłany mail (w guście typowego spamu) nie został dostarczony. Skanowanie Malwarebytes i avastem nic nie wykazało (chociaż oba były na skanowaniu szybkim). Przy okazji okazalo sie, ze komputer jest ogólnie w nie najlepszej kondycji. Więc prosiłbym o sprawdzenie poniższych logów i doradzenie jakiś kroków.
GMER
OTL
OTL Extras
TDSSKiller
Z góry dzięki:)

[kominekl]

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{670A2206-F20A-490C-8C13-25EA88BF8E53}_is1" = e-pity 2010
"{670A2206-F20A-490C-8C13-25EA88BF8E54}_is1" = e-pity 2011
"{549197A2-8484-426C-814F-81A6535A24D6}" = Foxit Reader
"ABBYY FineReader 4.0 Sprint" = ABBYY FineReader 4.0 Sprint

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\JZEF~1\USTAWI~1\Temp\pxtdipow.sys -- (pxtdipow)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
IE - HKLM\..\SearchScopes,DefaultScope = {AD2B9F91-1679-4323-AEF4-606F30382A70}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{AD2B9F91-1679-4323-AEF4-606F30382A70}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-1214440339-1078081533-682003330-1003\..\SearchScopes,DefaultScope = {AD2B9F91-1679-4323-AEF4-606F30382A70}
IE - HKU\S-1-5-21-1214440339-1078081533-682003330-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1214440339-1078081533-682003330-1003\..\SearchScopes\{AD2B9F91-1679-4323-AEF4-606F30382A70}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADFA_plPL451
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)

:Files
C:\DOCUME~1\JZEF~1\USTAWI~1\Temp
C:\Program Files\Google\Update
C:\WINDOWS\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

[TrevorGryffits]

Ok, dzięki za odpowiedź.
Nie za bardzo mogę odinstalować wszystkie powyższe programy (są używane) - jeśli byłoby to absolutnie koniecznie, to daj znać.
Logi:
Log z usuwania
Nowy log OTL
Now log OTL Extras
Log z autoruns(*.txt)
Log z Autoruns(*.arn)

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Alcmtr
NvCplDaemon
NvMediaCenter
nwiz
RTHDCPL
SkyTel
SunJavaUpdateSched

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

Aktywacja Testera.lnk
Ulead Photo Express 4.0 SE Calendar Checker .lnk

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Książka adresowa 6
Microsoft Outlook Express 6

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MSMSGS

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

0

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Windows Messenger

HKLM\System\CurrentControlSet\Services

gupdate
gupdatem
JavaQuickStarterService
NVSvc
ose
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Changer
i2omgmt
lbrtfdc
PCIDump
PDCOMP
PDFRAME
PDRELI
PDRFRAME
WDICA

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

HPLJ1018LM

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O3 - HKU\S-1-5-21-1214440339-1078081533-682003330-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

:Services
gupdate
gupdatem

:Files
C:\Documents and Settings\Józef\Pulpit\avast_free_antivirus_setup.exe

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[TrevorGryffits]

Ok, z Autoruns usunęło się wszystko poza:
- zawartością klucza HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- zawartością klucza HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Logi:
Log z usuwania
Log OT
Log OTL Extras

[kominekl]

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29

Odinstaluj i zainstaluj najnowszą wersję http://www.instalki.pl/programy/downloa ... /Java.html.

"{549197A2-8484-426C-814F-81A6535A24D6}" = Foxit Reader
"ABBYY FineReader 4.0 Sprint" = ABBYY FineReader 4.0 Sprint

Odinstaluj, bo masz już nowsze wersję.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

[TrevorGryffits]

Usunąłem co trzeba, przeskanowałem CCleanerem, Anti-Malware nic nie znalazł.
Log z wykonania skryptu

[kominekl]

Usunąłem co trzeba, przeskanowałem CCleanerem, Anti-Malware nic nie znalazł.
Log z wykonania skryptu

Jak wygląda sytuacja?

[TrevorGryffits]

Na razie ciężko stwierdzić. Ciągle przychodzą maile zwrotne (UNDELIVERED MAIL) do wiadomości wysłanych jeszcze na początku sierpnia. Można je liczyć w tysiącach, więc jest to dosyć uciążliwe. Jeśli zaczną przychodzić maile do wiadomości wysłanych ewidentnie* po porządkach to dam znać.

*Sytuacja wygląda tak, że teraz pewna niewielka część tych zwrotów odnosi się do maili wysłanych już po naprawie, ale w przeważającej części są to godziny, kiedy komputer nie pracował. Więc albo to nie Outlook wysyła maile, tylko zostało wykradzione hasło, albo to automatyczne powtórne wysłanie maila przez serwer w odpowiedzi na porażkę.

[kominekl]

A sprawdź, jak będzie wyglądać sytuacja po zreinstalowaniu Podstawowych Programów Usługi Windows Live za pomocą Revo Uninstaller`a w trybie zaawansowanym.