Здравствуйте! Помогите пожалуйста
Avast периодически ругается на "Win32:Warezov-BDL [Wrm]" перехватывает отправляемые якобы мной письма с исполняемыми вложениями, адресаты похоже из адресной книги оутлука.
Сообщение Avast:
Подозрительные расширения вложения
* foxitreader_setup.exe
Отправитель: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGAINCi0LXRgNC10L3RgtGM0L XQsg==?= <web@***.ru>
Получатель: =?utf-8?B?0JTQuNC90LDRgNCwINCgLiDQodGD0L3QsNGA0YfQuNC90L A=?= <dinara@***.ru>
Тема: Emailing: foxitreader_setup.exe
Avast при сканировании системы ничего не находит, CureIt тоже.
результаты работы скриптов приложу в следующем сообщении
а вот и логи
файл хост оказался изменён, исправил, дав права на запись только SYSTEM
Последний раз редактировалось Rene-gad; 27.07.2009 в 10:07.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Результат загрузки
Файл сохранён как 090727_125603_virus_4a6d6ba374506.zip
Размер файла 1025151
MD5 2d027bae07fb0d64938a996a0338b9fe
Файл закачан, спасибо!
Почтовый антивирус проверяет входящие сообщения на порте 110, исходящие - на порте 25, посему сомневаться в правильности определения им, входящее это сообщение или исходящее тут не приходится.
То, что там стоит Ваш адрес, как адрес отправителя, говорите о том, что у кого-то из Ваших респондентов, имеющих Ваш адрес, есть проблемка с вирусами, которые рассылают спам и прочие нехороше приложения ОТ ИМЕНИ тех людей, которые записаны в адресную книгу.
Если Ваш адрес имеется где-то в фидо, группах новостей и т.д., то доступ к нему запросто получает любой нехороший человек.
хорошо если так, но как объяснить следующее:
1. что поле от и кому два моих разных ящика?
2. в поле от указан ящик существовавшего ранее домена, в данный момент такого сервера не существует, просто некому обработать почту?
Успокоит Вас тот факт, что я тоже почту от самого себя получаю?
Сообщение от tr0y
в поле от указан ящик существовавшего ранее домена, в данный момент такого сервера не существует
Адрес отправителя в таких случях просто сфальсифицирован. Какая у Вaс почтовая программа? Разрешите 1 сообщению пройти, удалите аттач!!!, смените Вид так, чтобы были видны заголовки (headers) и посмотрите трейсинг.
вообщем вылезло сообщение, нажал пропустить в почтовый клиент ничего не упало.
предысторией к написанию первого поста было явное вирусное заражение
проявлялось в невозможности запуска таск менеджера и любых исполняемых файлов кроме тех что были уже открыты. предшествовало этому появление таких же окон как и на приведённых выше скриншотах.
я воспользовался точкой восстановления созданной днём ранее.
на данный момент, сообщения как на скриншотах, не появляются
признаков вирусной активности не замечено
спасибо
Уважаемый(ая) tr0y, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: