-
Вложений: 2
помогите разобраться
Ситуация следующая:
ОС: Win2003 SP2 R1
На ней установлены: Kerio Winroute Firewall -- выводит организацию в инет.
Kerio Mailserver - корпоративный почтарь.
Все было отлично, но 8 дней назад наш IP начал попадать в различные спам-базы в числе которых [url]http://www.spamhaus.org/[/url] и
[url]http://www.spamcop.net/[/url].
Проверка этого сервера на вирусы AVZ дала следующие результаты:
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=2860, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2860)
Маскировка процесса с PID=748, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 748)
Маскировка процесса с PID=1560, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1560)
Маскировка процесса с PID=1728, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1728)
Маскировка процесса с PID=3728, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3728)
Маскировка процесса с PID=3364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3364)
Маскировка процесса с PID=3716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3716)
Маскировка процесса с PID=4044, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4044)
Маскировка процесса с PID=3868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3868)
Маскировка процесса с PID=2900, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2900)
Маскировка процесса с PID=2632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2632)
Маскировка процесса с PID=3568, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3568)
Маскировка процесса с PID=2152, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2152)
Маскировка процесса с PID=3908, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3908)
Маскировка процесса с PID=2292, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2292)
Маскировка процесса с PID=1832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=3100, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3100)
Маскировка процесса с PID=2372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2372)
Маскировка процесса с PID=2900, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2900)
Маскировка процесса с PID=1836, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1836)
Маскировка процесса с PID=3828, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3828)
Маскировка процесса с PID=1716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1716)
Вирусов как-таковых не нашлось.
Что делать с маскировкой процессов? Что посоветуете делать?!
В аттаче полные логи AVZ и Hijackthis.
-
лог avz так не делают, читайте в правилах ;)это должен быть htm в zip ;)
напоминаю, запускать под локальным админом
Page generated in 0.01157 seconds with 10 queries