НЕпонятный СПАМ червяк

Не могу понять откуда лезет. Вот сообщения с сервера
[QUOTE]10.06.2009 14:30:19 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection- revent [B]mass mailing worms from sending mail[/B] 213.31.225.66:25[/QUOTE][URL="http://virusinfo.info/showthread.php?t=47629"]Предистория[/URL]:

Так как сервер [B]win2008std [/B][B]64bit[/B], то avz4 не выполняется в полном объёме. Т.е., когда выполняешь действие:
[FONT=&quot]"Файл"=>"Стандартные скрипты" и поставьте галку напротив [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B] и нажимаю выполнять, программа аварийно завершается (на 2-м пункте - память)[/FONT]
Поэтому даю то, что смог сделать.

p.s. Прогнал антивирусами(AVPTool и CureIt!) в безопасном режиме. НИЧЕГО НЕ НАШЛИ :(

[QUOTE=millennium;415429]
Так как сервер [B]win2008std [/B][B]64bit[/B], то avz4 не выполняется в полном объёме. [/QUOTE]AVZ не поддерживате 64-битные системы, мы Вам помочь не сможем.

[QUOTE=Rene-gad;415444]AVZ не поддерживате 64-битные системы, мы Вам помочь не сможем.[/QUOTE]
Очень жаль :(
Есть надежда, что будет в ближайшем будущем поддержка 64 bit систем?

[QUOTE=millennium;415589]Есть надежда, что будет в ближайшем будущем поддержка 64 bit систем?[/QUOTE]Надежда умирает последней - обратитесь к разработчику: [url]www.z-oleg.com[/url]

[QUOTE=Rene-gad;415595]Надежда умирает последней - обратитесь к разработчику: [URL="http://www.z-oleg.com"]www.z-oleg.com[/URL][/QUOTE]

Эх молчит разработчик (((

Может есть что-нибудь ещё. Вирус локально сидит. Так как отключал сеть, а сообщения от МАкАфи всё равно идут.

[QUOTE=millennium;417790]Эх молчит разработчик (((
[/QUOTE]А Вы его спрашивали??? :)
Информация от разработчика: поскольку 64-битных руткитов пока не замечено, не будет и поддержки 64-битных систем программой АВЗ.
Против ВИРУСОВ нужно бороться [U]антивирусными[/U] программами, которой АВЗ в сущности не является.

[QUOTE=Rene-gad;417987]А Вы его спрашивали??? :)
Информация от разработчика: поскольку 64-битных руткитов пока не замечено, не будет и поддержки 64-битных систем программой АВЗ.
Против ВИРУСОВ нужно бороться [U]антивирусными[/U] программами, которой АВЗ в сущности не является.[/QUOTE]

Я отправил пиьсмо на электронный адрес, который указ в программе.
Как найти чудо, которое спамит ??? Комп от сети отключён, а сообщение от MacAfee идут:

Exchange почту не отправляет, хотя до появления вируса(Троян?)всё пучком работало. Из вне почта приходит.:furious3:

Уже облазил столько форумов, никто толком помочь не может. А найти этого трояна(? или руткита) не могу. Возможно он имеется не только локально на сервере.

Антивирусы: Касперский, ДрВэБ и МакАфи не находят ничего.
Вчера скачал Касперский Virus Removal Tool (setup_7.0.0.290_16.06.2009_12-52.exe). Так МакАфи там вирусняк нашёл.

is-I8C00.tmp Generic PWS.y (Trojan)

[QUOTE=millennium;418160]Я отправил пиьсмо на электронный адрес, который указ в программе.[/QUOTE]В какой программе?
[QUOTE=millennium;418160]Возможно он имеется не только локально на сервере.[/QUOTE]Возможно.

[QUOTE=Rene-gad;418163]В какой программе?
[/QUOTE]

avz.exe

[email][email protected][/email]

[QUOTE=millennium;418160]
Всера скачал Касперский Virus Removal Tool (setup_7.0.0.290_16.06.2009_12-52.exe). Так МакАфи там вирусняк нашёл.[/QUOTE]
Это нормально.

[QUOTE=Rene-gad;418175]Это нормально.[/QUOTE]
Нормально для МакАфи Или для Касперского ?

[QUOTE=millennium;418180]Нормально для МакАфи Или для Касперского ?[/QUOTE]
Все антивирусы детектят вирус в аналогичных продуктах других производителей.

[QUOTE=Rene-gad;418184]Все антивирусы детектят вирус в аналогичных продуктах других производителей.[/QUOTE]
Ясно :)

Может советом поможете, как выловить этого ТРОЯНЦА. Или мысль подскажите. Опыта у меня мало в борьбе со зверушками. Опыт сисадминства тоже не большой.

Мысль одна: format c:\, установить все сервиспаки, потом активировать файрвол, подключиться в сеть и установить с сервера Microsoft все обновления.

Какой формаТ?????

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Посмотрите через консоль установленные соединения с серваком (netstat -ano). Скорее всего какая-то машина в сети спамит, а не сам сервер.. У Вас же на серваке эксчендж стоит, насколько я понял.

[QUOTE=millennium;418160]Я отправил пиьсмо на электронный адрес, который указ в программе.
Как найти чудо, которое спамит ??? Комп от сети отключён, а сообщение от MacAfee идут ...[/QUOTE]
Письма не приходило ...
В остальном наши хелперы как правило не админы, поэтом не всегда могут сориентироваться в ситуации, связанной с серверной операционкой и специальным ПО. У Вас с вероятностью 99.9% нету на сервере никаких вирусов, а имеется фолса используемого антивируса. Ничего форматировать не надо, причина банальна - на сервере стоит Exchange, он пытается отправлять почты (на то он и Exchange - почтовый сервер как никак). Но антивирус то этого не знает, с его позиций картина такова - "какой-то левый процесс пытается рассылать почту - это наверное почтовый спамбот" ... ответная мера антивируса будет простая - он начнет блокировать Exchange, не давая ему отправлять почту... а вот принимать почту антивиурс не помешает, так как правила детекта спамботов заточены именно на рассылку почты по SMTP
Решение проблемы:
1. Добавить принадлежащие Exchange процессы (или всю его папку, или заданный вид сетевой активности) в исключения антивируса, чтобы устранить этот конфликт
2. Помониторить логи Exchange, дабы понять, не рассылает ли через него какой-то ПК в ЛВ спам. Обнаружить это легко - посчитать по логу кол-во отправленных писем за день по каждому ПК
3. Не насиловать бедный сервер кучей лечебных утилит и антивирусов, пока он еще живой

[QUOTE=ALEX(XX);418215]Какой формаТ?????

[SIZE=1][COLOR=#666686][B][I]Добавлено через 14 минут[/I][/B][/COLOR][/SIZE]

Посмотрите через консоль установленные соединения с серваком (netstat -ano). Скорее всего какая-то машина в сети спамит, а не сам сервер.. У Вас же на серваке эксчендж стоит, насколько я понял.[/QUOTE]

2 сервера.
1) AD
2) Excange 2007. на нём МакАфии всё время пишет, что мол масс СПАМ червяк
Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail


Я взял и просто вытащил сетевые провода, Мак Афии всё равно писал такие же месаги. Значит дрянь как минимум сидит на СЕРВАКЕ №2(Excange )

Как выловить не понимаю :(

команда netstat -ano выдала много чего, если есть время, разъясните мне что там чего значит (сам лог могу предоставить в тегах [CODE /CODE])

[QUOTE=millennium;418299]2 сервера.

Я взял и просто вытащил сетевые провода, Мак Афии всё равно писал такие же месаги. Значит дрянь как минимум сидит на СЕРВАКЕ №2(Excange )
Как выловить не понимаю :(
[/QUOTE]
См. выше - не вирус это, это сервер Exchange :) Пока Exchange будет пытаться отправить то, что стоит у него в очереди, антивиурс будет его давить ...
А кстати - давно McAffee антивирус стоит на этом сервере ?
PS: Это на самом деле хорошо известный баг в антивирусе, он даже в базе знаний MS описан - [url]http://support.microsoft.com/kb/908864[/url] - почитайте, там Ваш случай расписан как по нотам и описано решение (собственно, что я и советовал выше - исключение из проверки, только там советуется выключить детект mass mailing в качестве меры для устранения фолса)

Если Excange 2007 установлен в D:\Exch2007
то D:\Exch2007\Bin\edgetransport.exe - его составляющая.

Соответствено Олег написал, что делать в Вашей ситуации

[url]http://technet.microsoft.com/ru-ru/library/bb124558.aspx[/url]
[url]http://itdoc.com.ua/2009/01/exchange-2007-ocherednost-soobshhenij/[/url]

[QUOTE=Зайцев Олег;418289]Письма не приходило ...
В остальном наши хелперы как правило не админы, поэтом не всегда могут сориентироваться в ситуации, связанной с серверной операционкой и специальным ПО. У Вас с вероятностью 99.9% нету на сервере никаких вирусов, а имеется фолса используемого антивируса. Ничего форматировать не надо, причина банальна - на сервере стоит Exchange, он пытается отправлять почты (на то он и Exchange - почтовый сервер как никак). Но антивирус то этого не знает, с его позиций картина такова - "какой-то левый процесс пытается рассылать почту - это наверное почтовый спамбот" ... ответная мера антивируса будет простая - он начнет блокировать Exchange, не давая ему отправлять почту... а вот принимать почту антивиурс не помешает, так как правила детекта спамботов заточены именно на рассылку почты по SMTP
Решение проблемы:
1. Добавить принадлежащие Exchange процессы (или всю его папку, или заданный вид сетевой активности) в исключения антивируса, чтобы устранить этот конфликт
2. Помониторить логи Exchange, дабы понять, не рассылает ли через него какой-то ПК в ЛВ спам. Обнаружить это легко - посчитать по логу кол-во отправленных писем за день по каждому ПК
3. Не насиловать бедный сервер кучей лечебных утилит и антивирусов, пока он еще живой[/QUOTE]

Спасибо за ответ, письмо посылал. Возможно не дошло. Слал с Гмаил.ком. НЕ суть.

Антивирпус шлёт вот такое(прошу не редактировать модерам, дабы могли просмотреть лог антивиря)
[CODE]17.06.2009 10:26:52 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 65.74.168.215:25
17.06.2009 10:27:54 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 210.143.111.133:25
17.06.2009 10:28:58 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 24.199.5.254:25
[/CODE]

Что это может быть? Почту я всем запретил слать. и в офисе сейчас пусто почти.

Прикрепил картинку. Это просмотр очереди на Exchange2007. Вся это куча повилась в июне. После прочистил в сети много компов(были обнаружены трояны и руткиты)

[QUOTE=millennium;418308]
Что это может быть? Почту я всем запретил слать. и в офисе сейчас пусто почти.

Прикрепил картинку. Это просмотр очереди на Exchange2007. Вся это куча повилась в июне. После прочистил в сети много компов(были обнаружены трояны и руткиты)[/QUOTE]
Повторяю в 3-й раз - [I]это фолса антивируса, хорошо известная и описанная в базе знаний MS[/I], необходимо по инструкции MS настроить антивирус и все будет хорошо. А пока этого не сделано и в очереди на отправку Exchange есть что-то, будет конфликт до бесконечности (Exchange не может отправить и долбит до бесконечности, а антивирус не дает отправить и блокирует до бесконечности). Пошаговое решение проблемы описано вот тут - [url]http://support.microsoft.com/kb/908864[/url]

Похоже спам пытаются слать через вас.
edgetransport - это пограничный транспорт и при неверной настройке будет пересылать чужую почту (open-relay)

[QUOTE=Зайцев Олег;418300]См. выше - не вирус это, это сервер Exchange :) Пока Exchange будет пытаться отправить то, что стоит у него в очереди, антивиурс будет его давить ...
А кстати - давно McAffee антивирус стоит на этом сервере ?
PS: Это на самом деле хорошо известный баг в антивирусе, он даже в базе знаний MS описан - [URL]http://support.microsoft.com/kb/908864[/URL] - почитайте, там Ваш случай расписан как по нотам и описано решение (собственно, что я и советовал выше - исключение из проверки, только там советуется выключить детект mass mailing в качестве меры для устранения фолса)[/QUOTE]

Поставил после того, как нашёлся на флешке 1-й троян(ко мне решили вставить распечатать сотрудник один). Сразу же поставил на сервера МакАфи.

Ссылки посмотрю, Благодарю.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Зайцев Олег;418311]Повторяю в 3-й раз - [I]это фолса антивируса, хорошо известная и описанная в базе знаний MS[/I], необходимо по инструкции MS настроить антивирус и все будет хорошо. А пока этого не сделано и в очереди на отправку Exchange есть что-то, будет конфликт до бесконечности (Exchange не может отправить и долбит до бесконечности, а антивирус не дает отправить и блокирует до бесконечности). Пошаговое решение проблемы описано вот тут - [URL]http://support.microsoft.com/kb/908864[/URL][/QUOTE]
Я понял Олег :-)

Почитаю, Вы отвечаете быстрее меня :-):beer:

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Kuzz;418313]Похоже спам пытаются слать через вас.
edgetransport - это пограничный транспорт и при неверной настройке будет пересылать чужую почту (open-relay)[/QUOTE]

Как этого избежать(по идее вирус(червь) должен быть внутри сети ?)?

[QUOTE=millennium;418314]Как этого избежать(по идее вирус(червь) должен быть внутри сети ?)?[/QUOTE]
Не обязательно, это служба "пограничного транспорта" - т.е. если она что-то рассылает, необходимо разбираться, откуда она это что-то получает ... вариантов два:
1. Зараза внутри ЛВС, и продвинутый спамбот просто шлет почту, исползуя имеющуюся почтовую инраструктуру. Это редкость (обычно боты шлют напрямую), но такое возможно
2. Этот самый "пограничный транспорт" криво настроен и превратился в Open Relay - т.е. почтаря, который берет почту от кого угодно извне и пересылает ее
Лучшее решение проблемы в данной ситуации - не антивирусное, а "пиво-системное" (т.е. купить пива и позвать знакомого системщика с большим опытом мониторинга сетей и настройки почты :) )

[QUOTE=millennium;418314]Как этого избежать(по идее вирус(червь) должен быть внутри сети ?)?[/QUOTE]
При неверной настройке почтового сервера, возможна такая ситуация, когда сервер можно будет использовать извне как релей и пробрасывать через него почту. Единственно возможный правильный вариант избежать такой ситуации - внимательно и грамотно настроить почтовый север

ALEX(XX)
Зайцев Олег

Благодарю за помощь. "пиво-системное" решение не катит, все знакомые юникс-админы :((((

Виндузятников не найти. Буду своими силами и умом искать гадость.
Если есть ссылка по грамотной настройки почтового сервера, чтобы в "Open Relay" не превратилсямой сервер, был бы премного благодарен за неё.

[QUOTE=Kuzz;418304]
[url]http://technet.microsoft.com/ru-ru/library/bb124558.aspx[/url]
[url]http://itdoc.com.ua/2009/01/exchange-2007-ocherednost-soobshhenij/[/url][/QUOTE]

Там посмотрите.
Да и поиском найдется достаточно быстро))

[B]millennium[/B], смотрите ЛС

Kuzz

Посмотрю.
Ещё не добрался до них :)))


ALEX(XX)
Ок ))))

У меня всё началось 3 июня, вот что прочитал [URL="http://soft.compulenta.ru/434752/"]сегодня[/URL]
Всем спасибо. всё настроено и работает. Пока вроде всё нормально.