Провайдер стал жаловаться что с моего IP идёт спам-рассылка, вот логи:
Провайдер стал жаловаться что с моего IP идёт спам-рассылка, вот логи:
Уважаемый(ая) patzjyk, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe'); TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe'); QuarantineFile('C:\Users\Администратор\Documents\Client\client.exe', ''); QuarantineFile('C:\Users\RDP1\Documents\Client\client.exe', ''); QuarantineFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe', ''); QuarantineFile('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe', ''); DeleteFile('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe', '32'); DeleteFile('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe', '32'); DeleteFileMask('C:\Program Files (x86)\AskPartnerNetwork', '*', true); DeleteDirectory('C:\Program Files (x86)\AskPartnerNetwork'); ExecuteSysClean; ExecuteRepair(9); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Карантин:
Файл сохранён как 150330_161235_2015-03-30_55193db3e2650.zip
Размер файла 9417923
MD5 292c13cac1ba287eeb18ec669aa804c0
Обновите Java 8 до Java 8 Update 40.
С этого ip-адреса только этот сервер работает?
WBR,
Vadim
Обновил Java.
C этого IP работают 2 компьютера и 1 ноутбук. Если мы данный компьютер исключаем, остаются ещё 2 устройства.
но на данный компьютер подключаются по rdp 9 человек - это может быть причиной?
Последний раз редактировалось patzjyk; 30.03.2015 в 17:56.
Вообще, хотелось бы от провайдера конкретику, т. е. логи, из которых видно, как и через что спам шлётся.
Давайте такой ещё лог, если не даст ясности - перейдём к проверке других в отдельных темах.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Провайдер пока логи не предоставил. Отправляю результат сканирования Farbar Recovery Scan Tool
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} CHR Extension: (Ask Search) - C:\Users\e.voronyuk\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2015-03-28] CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-02-14] CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-02-14] 2015-03-13 18:14 - 2015-03-18 12:42 - 00300032 _____ (OpenCandy, Inc.) C:\2995491.tmp.old 2015-01-31 13:58 - 2015-01-31 13:58 - 00000000 ____D () C:\Users\RDP8\AppData\Local\AskPartnerNetwork 2015-01-31 13:58 - 2015-01-31 13:58 - 00000000 ____D () C:\Users\fmzone\AppData\Local\AskPartnerNetwork 2015-01-31 13:58 - 2015-01-31 13:58 - 00000000 ____D () C:\Users\anton\AppData\Local\AskPartnerNetwork
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
Уведомление
Когда появится окно с предупреждением о необходимости перезагрузки, не нажимайте Ok
В диспетчере задач завершите процессы FRST64.exe, их может быть два.
Программа создаст в папке, где она находится, лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
В общем, ничего особо страшного не видно на сервере.
WBR,
Vadim
Сделал
У провайдера есть всё ещё претензии? Уточните, если можно, логи стребуйте.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) patzjyk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.