Не могу понять откуда лезет. Вот сообщения с сервера
10.06.2009 14:30:19 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection- revent mass mailing worms from sending mail 213.31.225.66:25
Так как сервер win2008std 64bit, то avz4 не выполняется в полном объёме. Т.е., когда выполняешь действие: "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и нажимаю выполнять, программа аварийно завершается (на 2-м пункте - память)
Поэтому даю то, что смог сделать.
p.s. Прогнал антивирусами(AVPTool и CureIt!) в безопасном режиме. НИЧЕГО НЕ НАШЛИ
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А Вы его спрашивали???
Информация от разработчика: поскольку 64-битных руткитов пока не замечено, не будет и поддержки 64-битных систем программой АВЗ.
Против ВИРУСОВ нужно бороться антивирусными программами, которой АВЗ в сущности не является.
А Вы его спрашивали???
Информация от разработчика: поскольку 64-битных руткитов пока не замечено, не будет и поддержки 64-битных систем программой АВЗ.
Против ВИРУСОВ нужно бороться антивирусными программами, которой АВЗ в сущности не является.
Я отправил пиьсмо на электронный адрес, который указ в программе.
Как найти чудо, которое спамит ??? Комп от сети отключён, а сообщение от MacAfee идут:
Exchange почту не отправляет, хотя до появления вируса(Троян?)всё пучком работало. Из вне почта приходит.
Уже облазил столько форумов, никто толком помочь не может. А найти этого трояна(? или руткита) не могу. Возможно он имеется не только локально на сервере.
Антивирусы: Касперский, ДрВэБ и МакАфи не находят ничего.
Вчера скачал Касперский Virus Removal Tool (setup_7.0.0.290_16.06.2009_12-52.exe). Так МакАфи там вирусняк нашёл.
is-I8C00.tmp Generic PWS.y (Trojan)
Последний раз редактировалось millennium; 17.06.2009 в 11:09.
Причина: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.
Посмотрите через консоль установленные соединения с серваком (netstat -ano). Скорее всего какая-то машина в сети спамит, а не сам сервер.. У Вас же на серваке эксчендж стоит, насколько я понял.
Последний раз редактировалось ALEX(XX); 17.06.2009 в 12:11.
Причина: Добавлено
Я отправил пиьсмо на электронный адрес, который указ в программе.
Как найти чудо, которое спамит ??? Комп от сети отключён, а сообщение от MacAfee идут ...
Письма не приходило ...
В остальном наши хелперы как правило не админы, поэтом не всегда могут сориентироваться в ситуации, связанной с серверной операционкой и специальным ПО. У Вас с вероятностью 99.9% нету на сервере никаких вирусов, а имеется фолса используемого антивируса. Ничего форматировать не надо, причина банальна - на сервере стоит Exchange, он пытается отправлять почты (на то он и Exchange - почтовый сервер как никак). Но антивирус то этого не знает, с его позиций картина такова - "какой-то левый процесс пытается рассылать почту - это наверное почтовый спамбот" ... ответная мера антивируса будет простая - он начнет блокировать Exchange, не давая ему отправлять почту... а вот принимать почту антивиурс не помешает, так как правила детекта спамботов заточены именно на рассылку почты по SMTP
Решение проблемы:
1. Добавить принадлежащие Exchange процессы (или всю его папку, или заданный вид сетевой активности) в исключения антивируса, чтобы устранить этот конфликт
2. Помониторить логи Exchange, дабы понять, не рассылает ли через него какой-то ПК в ЛВ спам. Обнаружить это легко - посчитать по логу кол-во отправленных писем за день по каждому ПК
3. Не насиловать бедный сервер кучей лечебных утилит и антивирусов, пока он еще живой
Посмотрите через консоль установленные соединения с серваком (netstat -ano). Скорее всего какая-то машина в сети спамит, а не сам сервер.. У Вас же на серваке эксчендж стоит, насколько я понял.
2 сервера.
1) AD
2) Excange 2007. на нём МакАфии всё время пишет, что мол масс СПАМ червяк
Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protectionrevent mass mailing worms from sending mail
Я взял и просто вытащил сетевые провода, Мак Афии всё равно писал такие же месаги. Значит дрянь как минимум сидит на СЕРВАКЕ №2(Excange )
Как выловить не понимаю
команда netstat -ano выдала много чего, если есть время, разъясните мне что там чего значит (сам лог могу предоставить в тегах [CODE /CODE])
Я взял и просто вытащил сетевые провода, Мак Афии всё равно писал такие же месаги. Значит дрянь как минимум сидит на СЕРВАКЕ №2(Excange )
Как выловить не понимаю
См. выше - не вирус это, это сервер Exchange Пока Exchange будет пытаться отправить то, что стоит у него в очереди, антивиурс будет его давить ...
А кстати - давно McAffee антивирус стоит на этом сервере ?
PS: Это на самом деле хорошо известный баг в антивирусе, он даже в базе знаний MS описан - http://support.microsoft.com/kb/908864 - почитайте, там Ваш случай расписан как по нотам и описано решение (собственно, что я и советовал выше - исключение из проверки, только там советуется выключить детект mass mailing в качестве меры для устранения фолса)
Последний раз редактировалось Зайцев Олег; 17.06.2009 в 14:55.
Письма не приходило ...
В остальном наши хелперы как правило не админы, поэтом не всегда могут сориентироваться в ситуации, связанной с серверной операционкой и специальным ПО. У Вас с вероятностью 99.9% нету на сервере никаких вирусов, а имеется фолса используемого антивируса. Ничего форматировать не надо, причина банальна - на сервере стоит Exchange, он пытается отправлять почты (на то он и Exchange - почтовый сервер как никак). Но антивирус то этого не знает, с его позиций картина такова - "какой-то левый процесс пытается рассылать почту - это наверное почтовый спамбот" ... ответная мера антивируса будет простая - он начнет блокировать Exchange, не давая ему отправлять почту... а вот принимать почту антивиурс не помешает, так как правила детекта спамботов заточены именно на рассылку почты по SMTP
Решение проблемы:
1. Добавить принадлежащие Exchange процессы (или всю его папку, или заданный вид сетевой активности) в исключения антивируса, чтобы устранить этот конфликт
2. Помониторить логи Exchange, дабы понять, не рассылает ли через него какой-то ПК в ЛВ спам. Обнаружить это легко - посчитать по логу кол-во отправленных писем за день по каждому ПК
3. Не насиловать бедный сервер кучей лечебных утилит и антивирусов, пока он еще живой
Спасибо за ответ, письмо посылал. Возможно не дошло. Слал с Гмаил.ком. НЕ суть.
Антивирпус шлёт вот такое(прошу не редактировать модерам, дабы могли просмотреть лог антивиря)
Код:
17.06.2009 10:26:52 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 65.74.168.215:25
17.06.2009 10:27:54 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 210.143.111.133:25
17.06.2009 10:28:58 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 24.199.5.254:25
Что это может быть? Почту я всем запретил слать. и в офисе сейчас пусто почти.
Прикрепил картинку. Это просмотр очереди на Exchange2007. Вся это куча повилась в июне. После прочистил в сети много компов(были обнаружены трояны и руткиты)
Уважаемый(ая) millennium, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: