Показано с 1 по 12 из 12.

Подозрительная рассылка (заявка № 24348)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    30
    Вес репутации
    32

    Question Подозрительная рассылка

    В последнее время в офисе постоянно появляются рабочие станции, которые рассылают спам.

    На шлюзе видна рассылка по различным адресам прямым перебором данных по протоколу smtp

    Kaspersky 5/6/7 , nod32 - проблему не решают, все чисто говорят.
    При этом рассылка продолжается.
    Базы актуальны.

    Установка Outpost фиксирует отсылку спама процессом "SYSTEM", но не конкретизует что за процессы выполняются.
    Аналогичная ситуация с приложением tcpview

    Данные одной из машин прилагаются.

    Что это может быть?
    В данный момент для машины просто закрыты все порты на выход посредством роутера, но это, понятно, не решение.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Croozy Посмотреть сообщение
    Данные одной из машин прилагаются.
    Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте сделайте лог (только не в терминальной сессии) приложите ...
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');       
    end.
    пришлите карантин согласно приложения 3 правил ...

  5. #4
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    30
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.
    Это сервер.
    С него идет, да. В том числе.

    Добавлено через 1 минуту

    Цитата Сообщение от V_Bond Посмотреть сообщение
    скачайте сделайте лог (только не в терминальной сессии) приложите ...
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');       
    end.
    пришлите карантин согласно приложения 3 правил ...
    при попытке выполнить скрипт

    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys )
    Карантин с использованием прямого чтения - ошибка

    Работать с сервером вне терминального режима не имею возможности

    На данный момент это самая сложная неисправность, с которой мне приходилось сталкиваться за 10 лет.
    Последний раз редактировалось Croozy; 10.06.2008 в 12:39. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните пункт 2 правил (полная проверка CureIt!).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    30
    Вес репутации
    32
    в терминальном режиме сделал лог GMER
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    30
    Вес репутации
    32
    Цитата Сообщение от kps Посмотреть сообщение
    Выполните пункт 2 правил (полная проверка CureIt!).
    Выполнено еще до проверок всех
    Никаких проблем не найдено

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    у вас похоже буткит ...
    нужно запустить CureIt и пролечиться не из терминальной сессии ....

  10. #9
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    30
    Вес репутации
    32
    У меня есть еще рабочие станции с подобной проблемой, сейчас запущу на одной из них - по результатам сообщу

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от Croozy Посмотреть сообщение
    Файлы соседней машины с точно теми же проблемами прилагаются
    Вторую машину в новую тему пожалуйста, чтоб путаницы в логах не было.

  12. #11
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    30
    Вес репутации
    32
    Создал здесь
    http://virusinfo.info/showthread.php?p=239122
    перенестите пожалуйста логи в ту тему, движок сайта сообщает мне, что я логи эти уже выкладывал и более не могу

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Перенёс.

  • Уважаемый(ая) Croozy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрительная клавиатура
      От yuric в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.06.2010, 05:47
    2. Подозрительная программка
      От Nirvandil в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.07.2009, 18:37
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 09:50
    4. Подозрительная сборка
      От remonik в разделе Технические и иные вопросы
      Ответов: 1
      Последнее сообщение: 02.08.2008, 10:38
    5. Подозрительная активность HDD.
      От Палыч в разделе Microsoft Windows
      Ответов: 14
      Последнее сообщение: 03.06.2008, 21:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01053 seconds with 23 queries