Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

НЕпонятный СПАМ червяк (заявка № 47724)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32

    Thumbs down НЕпонятный СПАМ червяк

    Не могу понять откуда лезет. Вот сообщения с сервера
    10.06.2009 14:30:19 Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protection- revent mass mailing worms from sending mail 213.31.225.66:25
    Предистория:

    Так как сервер win2008std 64bit, то avz4 не выполняется в полном объёме. Т.е., когда выполняешь действие:
    "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и нажимаю выполнять, программа аварийно завершается (на 2-м пункте - память)
    Поэтому даю то, что смог сделать.

    p.s. Прогнал антивирусами(AVPTool и CureIt!) в безопасном режиме. НИЧЕГО НЕ НАШЛИ
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от millennium Посмотреть сообщение
    Так как сервер win2008std 64bit, то avz4 не выполняется в полном объёме.
    AVZ не поддерживате 64-битные системы, мы Вам помочь не сможем.

  4. #3
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    AVZ не поддерживате 64-битные системы, мы Вам помочь не сможем.
    Очень жаль
    Есть надежда, что будет в ближайшем будущем поддержка 64 bit систем?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от millennium Посмотреть сообщение
    Есть надежда, что будет в ближайшем будущем поддержка 64 bit систем?
    Надежда умирает последней - обратитесь к разработчику: www.z-oleg.com

  6. #5
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Надежда умирает последней - обратитесь к разработчику: www.z-oleg.com
    Эх молчит разработчик (((

    Может есть что-нибудь ещё. Вирус локально сидит. Так как отключал сеть, а сообщения от МАкАфи всё равно идут.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от millennium Посмотреть сообщение
    Эх молчит разработчик (((
    А Вы его спрашивали???
    Информация от разработчика: поскольку 64-битных руткитов пока не замечено, не будет и поддержки 64-битных систем программой АВЗ.
    Против ВИРУСОВ нужно бороться антивирусными программами, которой АВЗ в сущности не является.

  8. #7
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А Вы его спрашивали???
    Информация от разработчика: поскольку 64-битных руткитов пока не замечено, не будет и поддержки 64-битных систем программой АВЗ.
    Против ВИРУСОВ нужно бороться антивирусными программами, которой АВЗ в сущности не является.
    Я отправил пиьсмо на электронный адрес, который указ в программе.
    Как найти чудо, которое спамит ??? Комп от сети отключён, а сообщение от MacAfee идут:

    Exchange почту не отправляет, хотя до появления вируса(Троян?)всё пучком работало. Из вне почта приходит.

    Уже облазил столько форумов, никто толком помочь не может. А найти этого трояна(? или руткита) не могу. Возможно он имеется не только локально на сервере.

    Антивирусы: Касперский, ДрВэБ и МакАфи не находят ничего.
    Вчера скачал Касперский Virus Removal Tool (setup_7.0.0.290_16.06.2009_12-52.exe). Так МакАфи там вирусняк нашёл.

    is-I8C00.tmp Generic PWS.y (Trojan)
    Последний раз редактировалось millennium; 17.06.2009 в 10:09. Причина: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от millennium Посмотреть сообщение
    Я отправил пиьсмо на электронный адрес, который указ в программе.
    В какой программе?
    Цитата Сообщение от millennium Посмотреть сообщение
    Возможно он имеется не только локально на сервере.
    Возможно.

  10. #9
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В какой программе?
    avz.exe

    avz@z-oleg.com

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от millennium Посмотреть сообщение
    Всера скачал Касперский Virus Removal Tool (setup_7.0.0.290_16.06.2009_12-52.exe). Так МакАфи там вирусняк нашёл.
    Это нормально.

  12. #11
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это нормально.
    Нормально для МакАфи Или для Касперского ?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от millennium Посмотреть сообщение
    Нормально для МакАфи Или для Касперского ?
    Все антивирусы детектят вирус в аналогичных продуктах других производителей.

  14. #13
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Все антивирусы детектят вирус в аналогичных продуктах других производителей.
    Ясно

    Может советом поможете, как выловить этого ТРОЯНЦА. Или мысль подскажите. Опыта у меня мало в борьбе со зверушками. Опыт сисадминства тоже не большой.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Мысль одна: format c:\, установить все сервиспаки, потом активировать файрвол, подключиться в сеть и установить с сервера Microsoft все обновления.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Какой формаТ?????

    Добавлено через 14 минут

    Посмотрите через консоль установленные соединения с серваком (netstat -ano). Скорее всего какая-то машина в сети спамит, а не сам сервер.. У Вас же на серваке эксчендж стоит, насколько я понял.
    Последний раз редактировалось ALEX(XX); 17.06.2009 в 11:11. Причина: Добавлено
    Left home for a few days and look what happens...

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от millennium Посмотреть сообщение
    Я отправил пиьсмо на электронный адрес, который указ в программе.
    Как найти чудо, которое спамит ??? Комп от сети отключён, а сообщение от MacAfee идут ...
    Письма не приходило ...
    В остальном наши хелперы как правило не админы, поэтом не всегда могут сориентироваться в ситуации, связанной с серверной операционкой и специальным ПО. У Вас с вероятностью 99.9% нету на сервере никаких вирусов, а имеется фолса используемого антивируса. Ничего форматировать не надо, причина банальна - на сервере стоит Exchange, он пытается отправлять почты (на то он и Exchange - почтовый сервер как никак). Но антивирус то этого не знает, с его позиций картина такова - "какой-то левый процесс пытается рассылать почту - это наверное почтовый спамбот" ... ответная мера антивируса будет простая - он начнет блокировать Exchange, не давая ему отправлять почту... а вот принимать почту антивиурс не помешает, так как правила детекта спамботов заточены именно на рассылку почты по SMTP
    Решение проблемы:
    1. Добавить принадлежащие Exchange процессы (или всю его папку, или заданный вид сетевой активности) в исключения антивируса, чтобы устранить этот конфликт
    2. Помониторить логи Exchange, дабы понять, не рассылает ли через него какой-то ПК в ЛВ спам. Обнаружить это легко - посчитать по логу кол-во отправленных писем за день по каждому ПК
    3. Не насиловать бедный сервер кучей лечебных утилит и антивирусов, пока он еще живой

  18. #17
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Какой формаТ?????

    Добавлено через 14 минут

    Посмотрите через консоль установленные соединения с серваком (netstat -ano). Скорее всего какая-то машина в сети спамит, а не сам сервер.. У Вас же на серваке эксчендж стоит, насколько я понял.
    2 сервера.
    1) AD
    2) Excange 2007. на нём МакАфии всё время пишет, что мол масс СПАМ червяк
    Blocked by port blocking rule D:\Exch2007\Bin\edgetransport.exe Anti-virus Standard Protectionrevent mass mailing worms from sending mail


    Я взял и просто вытащил сетевые провода, Мак Афии всё равно писал такие же месаги. Значит дрянь как минимум сидит на СЕРВАКЕ №2(Excange )

    Как выловить не понимаю

    команда netstat -ano выдала много чего, если есть время, разъясните мне что там чего значит (сам лог могу предоставить в тегах [CODE /CODE])

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от millennium Посмотреть сообщение
    2 сервера.

    Я взял и просто вытащил сетевые провода, Мак Афии всё равно писал такие же месаги. Значит дрянь как минимум сидит на СЕРВАКЕ №2(Excange )
    Как выловить не понимаю
    См. выше - не вирус это, это сервер Exchange Пока Exchange будет пытаться отправить то, что стоит у него в очереди, антивиурс будет его давить ...
    А кстати - давно McAffee антивирус стоит на этом сервере ?
    PS: Это на самом деле хорошо известный баг в антивирусе, он даже в базе знаний MS описан - http://support.microsoft.com/kb/908864 - почитайте, там Ваш случай расписан как по нотам и описано решение (собственно, что я и советовал выше - исключение из проверки, только там советуется выключить детект mass mailing в качестве меры для устранения фолса)
    Последний раз редактировалось Зайцев Олег; 17.06.2009 в 13:55.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Если Excange 2007 установлен в D:\Exch2007
    то D:\Exch2007\Bin\edgetransport.exe - его составляющая.

    Соответствено Олег написал, что делать в Вашей ситуации

    http://technet.microsoft.com/ru-ru/l.../bb124558.aspx
    http://itdoc.com.ua/2009/01/exchange...t-soobshhenij/
    The worst foe lies within the self...

  21. #20
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Письма не приходило ...
    В остальном наши хелперы как правило не админы, поэтом не всегда могут сориентироваться в ситуации, связанной с серверной операционкой и специальным ПО. У Вас с вероятностью 99.9% нету на сервере никаких вирусов, а имеется фолса используемого антивируса. Ничего форматировать не надо, причина банальна - на сервере стоит Exchange, он пытается отправлять почты (на то он и Exchange - почтовый сервер как никак). Но антивирус то этого не знает, с его позиций картина такова - "какой-то левый процесс пытается рассылать почту - это наверное почтовый спамбот" ... ответная мера антивируса будет простая - он начнет блокировать Exchange, не давая ему отправлять почту... а вот принимать почту антивиурс не помешает, так как правила детекта спамботов заточены именно на рассылку почты по SMTP
    Решение проблемы:
    1. Добавить принадлежащие Exchange процессы (или всю его папку, или заданный вид сетевой активности) в исключения антивируса, чтобы устранить этот конфликт
    2. Помониторить логи Exchange, дабы понять, не рассылает ли через него какой-то ПК в ЛВ спам. Обнаружить это легко - посчитать по логу кол-во отправленных писем за день по каждому ПК
    3. Не насиловать бедный сервер кучей лечебных утилит и антивирусов, пока он еще живой
    Спасибо за ответ, письмо посылал. Возможно не дошло. Слал с Гмаил.ком. НЕ суть.

    Антивирпус шлёт вот такое(прошу не редактировать модерам, дабы могли просмотреть лог антивиря)
    Код:
    17.06.2009    10:26:52    Blocked by port blocking rule     D:\Exch2007\Bin\edgetransport.exe    Anti-virus Standard Protection:Prevent mass mailing worms from sending mail    65.74.168.215:25
    17.06.2009    10:27:54    Blocked by port blocking rule     D:\Exch2007\Bin\edgetransport.exe    Anti-virus Standard Protection:Prevent mass mailing worms from sending mail    210.143.111.133:25
    17.06.2009    10:28:58    Blocked by port blocking rule     D:\Exch2007\Bin\edgetransport.exe    Anti-virus Standard Protection:Prevent mass mailing worms from sending mail    24.199.5.254:25
    Что это может быть? Почту я всем запретил слать. и в офисе сейчас пусто почти.

    Прикрепил картинку. Это просмотр очереди на Exchange2007. Вся это куча повилась в июне. После прочистил в сети много компов(были обнаружены трояны и руткиты)
    Изображения Изображения

  • Уважаемый(ая) millennium, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Червяк?
      От Ir4i в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.09.2009, 13:14
    2. червяк
      От IceK в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 08:13
    3. спам и непонятный траффик на 80 порт
      От Glip в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.02.2009, 18:03
    4. vb.njo червяк
      От sakhalin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.06.2008, 12:56
    5. Непонятный спам
      От ВодкуГлыть в разделе Антиспам
      Ответов: 8
      Последнее сообщение: 16.03.2007, 16:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00949 seconds with 17 queries