В последнее время в офисе постоянно появляются рабочие станции, которые рассылают спам.
На шлюзе видна рассылка по различным адресам прямым перебором данных по протоколу smtp
Kaspersky 5/6/7 , nod32 - проблему не решают, все чисто говорят.
При этом рассылка продолжается.
Базы актуальны.
Установка Outpost фиксирует отсылку спама процессом "SYSTEM", но не конкретизует что за процессы выполняются.
Аналогичная ситуация с приложением tcpview
Данные одной из машин прилагаются.
Что это может быть?
В данный момент для машины просто закрыты все порты на выход посредством роутера, но это, понятно, не решение.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.
Это сервер.
С него идет, да. В том числе.
Добавлено через 1 минуту
Сообщение от V_Bond
скачайте сделайте лог (только не в терминальной сессии) приложите ...
выполните скрипт ...
Код:
begin
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');
end.
пришлите карантин согласно приложения 3 правил ...
при попытке выполнить скрипт
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys )
Карантин с использованием прямого чтения - ошибка
Работать с сервером вне терминального режима не имею возможности
На данный момент это самая сложная неисправность, с которой мне приходилось сталкиваться за 10 лет.
Последний раз редактировалось Croozy; 10.06.2008 в 12:39.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: