Провайдер стал жаловаться что с моего IP идёт спам-рассылка, вот логи:
Printable View
Провайдер стал жаловаться что с моего IP идёт спам-рассылка, вот логи:
Уважаемый(ая) [B]patzjyk[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe');
TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe');
QuarantineFile('C:\Users\Администратор\Documents\Client\client.exe', '');
QuarantineFile('C:\Users\RDP1\Documents\Client\client.exe', '');
QuarantineFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe', '');
QuarantineFile('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe', '');
DeleteFile('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe', '32');
DeleteFile('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe', '32');
DeleteFileMask('C:\Program Files (x86)\AskPartnerNetwork', '*', true);
DeleteDirectory('C:\Program Files (x86)\AskPartnerNetwork');
ExecuteSysClean;
ExecuteRepair(9);
end.[/code]
Перезагрузите сервер.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
[B]Карантин:[/B]
Файл сохранён как 150330_161235_2015-03-30_55193db3e2650.zip
Размер файла 9417923
MD5 292c13cac1ba287eeb18ec669aa804c0
Обновите Java 8 до [URL="http://www.java.com/ru/download/manual.jsp"]Java 8 Update 40[/URL].
С этого ip-адреса только этот сервер работает?
Обновил Java.
C этого IP работают 2 компьютера и 1 ноутбук. Если мы данный компьютер исключаем, остаются ещё 2 устройства.
но на данный компьютер подключаются по rdp 9 человек - это может быть причиной?
Вообще, хотелось бы от провайдера конкретику, т. е. логи, из которых видно, как и через что спам шлётся.
Давайте такой ещё лог, если не даст ясности - перейдём к проверке других в отдельных темах.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).
Провайдер пока логи не предоставил. Отправляю результат сканирования [B]Farbar Recovery Scan Tool[/B]
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
CHR Extension: (Ask Search) - C:\Users\e.voronyuk\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2015-03-28]
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-02-14]
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-02-14]
2015-03-13 18:14 - 2015-03-18 12:42 - 00300032 _____ (OpenCandy, Inc.) C:\2995491.tmp.old
2015-01-31 13:58 - 2015-01-31 13:58 - 00000000 ____D () C:\Users\RDP8\AppData\Local\AskPartnerNetwork
2015-01-31 13:58 - 2015-01-31 13:58 - 00000000 ____D () C:\Users\fmzone\AppData\Local\AskPartnerNetwork
2015-01-31 13:58 - 2015-01-31 13:58 - 00000000 ____D () C:\Users\anton\AppData\Local\AskPartnerNetwork[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите.
[NOTICE]Когда появится окно с предупреждением о необходимости перезагрузки, не нажимайте Ok[/NOTICE]
В диспетчере задач завершите процессы FRST64.exe, их может быть два.
Программа создаст в папке, где она находится, лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
В общем, ничего особо страшного не видно на сервере.
Сделал
У провайдера есть всё ещё претензии? Уточните, если можно, логи стребуйте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]