Показано с 1 по 12 из 12.

Подозрительная рассылка (заявка № 24348)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    35
    Вес репутации
    58

    Question Подозрительная рассылка

    В последнее время в офисе постоянно появляются рабочие станции, которые рассылают спам.

    На шлюзе видна рассылка по различным адресам прямым перебором данных по протоколу smtp

    Kaspersky 5/6/7 , nod32 - проблему не решают, все чисто говорят.
    При этом рассылка продолжается.
    Базы актуальны.

    Установка Outpost фиксирует отсылку спама процессом "SYSTEM", но не конкретизует что за процессы выполняются.
    Аналогичная ситуация с приложением tcpview

    Данные одной из машин прилагаются.

    Что это может быть?
    В данный момент для машины просто закрыты все порты на выход посредством роутера, но это, понятно, не решение.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Croozy Посмотреть сообщение
    Данные одной из машин прилагаются.
    Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте сделайте лог (только не в терминальной сессии) приложите ...
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');       
    end.
    пришлите карантин согласно приложения 3 правил ...

  5. #4
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    35
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.
    Это сервер.
    С него идет, да. В том числе.

    Добавлено через 1 минуту

    Цитата Сообщение от V_Bond Посмотреть сообщение
    скачайте сделайте лог (только не в терминальной сессии) приложите ...
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');       
    end.
    пришлите карантин согласно приложения 3 правил ...
    при попытке выполнить скрипт

    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys )
    Карантин с использованием прямого чтения - ошибка

    Работать с сервером вне терминального режима не имею возможности

    На данный момент это самая сложная неисправность, с которой мне приходилось сталкиваться за 10 лет.
    Последний раз редактировалось Croozy; 10.06.2008 в 12:39. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните пункт 2 правил (полная проверка CureIt!).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    35
    Вес репутации
    58
    в терминальном режиме сделал лог GMER
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    35
    Вес репутации
    58
    Цитата Сообщение от kps Посмотреть сообщение
    Выполните пункт 2 правил (полная проверка CureIt!).
    Выполнено еще до проверок всех
    Никаких проблем не найдено

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    у вас похоже буткит ...
    нужно запустить CureIt и пролечиться не из терминальной сессии ....

  10. #9
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    35
    Вес репутации
    58
    У меня есть еще рабочие станции с подобной проблемой, сейчас запущу на одной из них - по результатам сообщу

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Croozy Посмотреть сообщение
    Файлы соседней машины с точно теми же проблемами прилагаются
    Вторую машину в новую тему пожалуйста, чтоб путаницы в логах не было.

  12. #11
    Junior Member Репутация
    Регистрация
    10.06.2008
    Сообщений
    35
    Вес репутации
    58
    Создал здесь
    http://virusinfo.info/showthread.php?p=239122
    перенестите пожалуйста логи в ту тему, движок сайта сообщает мне, что я логи эти уже выкладывал и более не могу

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Перенёс.

  • Уважаемый(ая) Croozy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительная клавиатура
      От yuric в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.06.2010, 05:47
    2. Подозрительная программка
      От Nirvandil в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.07.2009, 18:37
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 09:50
    4. Подозрительная сборка
      От remonik в разделе Технические и иные вопросы
      Ответов: 1
      Последнее сообщение: 02.08.2008, 10:38
    5. Подозрительная активность HDD.
      От Палыч в разделе Microsoft Windows
      Ответов: 14
      Последнее сообщение: 03.06.2008, 21:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01533 seconds with 20 queries