рассылка спама

Printable View

06.08.2008, 14:56
regina_r

Вложений: 2

рассылка спама

Локальная сеть 15 машин WinXP SP2 и сервер WinServer2000 SP4, провайдер блокирует 25 порт за рассылку спама. Все проверялось несколькими антивирусами (AVP, Nod, CureIt), кое-что нашлось, удалили. Блокировки не прекратились. На все ПК поставили NetStat, никаких "левых" соединений. С сервера (при остальных отключенных ПК) периодически процесс system (netstat показал что это запрос от kernel32.dll) отправляет запросы на 25 порт провайдера, локальные порты меняются (например начинается с 4145, потом открывается 4146, потом 4147 и т.д.). И еще, после перезагрузки сервера на запускается internet explorer, process explorer.
Логи прилагаются
[COLOR="Red"]moderated:::читаем правила и оттуда узнаем, как присылать карантин и какие логи нужно прикреплять к сообщению. В тех же правилах указана необходимость обновления баз АВЗ и скачивания последней версии Hijackthis.[/COLOR]
06.08.2008, 15:06
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\WINNT\system32\drivers\raidsrc.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27630[/url] ).

У Вас файрволл Kerio установлен?
06.08.2008, 15:29
regina_r

файрволл BlackICE Server Protection, а Керио - майл-сервер. Карантин отправлен
07.08.2008, 08:01
regina_r

Проблема - не запускается AVZ. IceSword показывает что avz завершается процессом system. Что делать? Помогите.
07.08.2008, 09:20
V_Bond

[URL="http://depositfiles.com/en/switch_lang.php?return_url=/en/files/6501498&not_store&lang=ru"]этот авз[/URL] скачайте и сделайте логи ...
raidsrc.sys - Вредоносный код в файле не обнаружен...
07.08.2008, 12:21
regina_r

Вложений: 3

Новые логи и карантин
07.08.2008, 12:49
Rene-gad

В логах ничего плохого, только ИЕ нужно до версии IE6 SP1a обновить - он еще есть на сайте Микрософта.
Выполните скрипт
[CODE]begin
executerepair(1);
rebootwindows(true);
end.[/CODE]
После перезагрузки попробуйте запустить нормальный АВЗ, обновить базы и повторить логи по правилам.
07.08.2008, 13:08
regina_r

Новые логи сделаны нормальным avz, с новыми базами. Проверка карантина на virustotal показываетWebwasher-Gateway6.6.22008.08.07Worm.Win32.Malware.gen (suspicious)
07.08.2008, 13:26
Rene-gad

[QUOTE=regina_r;264706]Новые логи сделаны нормальным avz, с новыми базами. [/QUOTE]Точно. Я посмотрел на Ваше сообщение о невозможности запустить АВЗ и рекомендацию коллеги :)
[QUOTE=regina_r;264706]
Проверка карантина на virustotal показываетWebwasher-Gateway6.6.22008.08.07Worm.Win32.Malware.gen (suspicious)[/QUOTE]
Ну и что? :D Проверьте там же Hijackthis или Combofix - тоже получите пару детектов.
22.02.2009, 06:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]