Просмотр полной версии : С компа уходит спам, антивирусы не помогают.
mishaProgr
04.07.2007, 09:23
Прошу помочь советом в одной небольшой, но неприятной проблеме.
Есть небольшая контора - 8 машин. Многие работают по электронной почте через Bat и/или web-интерфейс. Но с машины директора постоянно уходит спам! Причем только при работе с bat'ом, точнее по 25 порту. Почта настоена на mail.ru, но как тока дирик отправляет письмо - звонит провайдер и говорит - у Вас по 25 порту массовая спам рассылка - более 1500 писем по разным адресам. И отключает им 25 порт. Если же дирик работает с майл.ру по веб-интерфейсу, то све ОК. А 25 порт нужен - т.к. стоит несколько программ отправки налоговой и еще какой-то отчетности.
На всех компах в сети антивирус Касперский(лицензионный, обновление каждый день). Проверил комп дирика и каспером и Ad-aware(нашел 2 проги - одна траян, другая еще что-то), проверил автозагрузочные области, проверял SpyRemover. Вроде вычещено все. Левых процессов нету, а спам уходит!...
Прошу помочь умными мыслями. Но предложение переустановить систему пока не рассматриваю - дирик поставил кучу прог, игр, а дистрибутивов нету, да и свои настройки не хочет терять.
Чем еще можно поискать?
mishaProgr, посмотри как я избавился от этого http://www.nowa.cc/showthread.php?t=66213#14
mishaProgr
04.07.2007, 14:54
Спасибо, попробую. А что же каспер то ни черта не видит - видать вирус был до его установки...
Лучший способ просмотреть активности вируса установив какой нибудь Firewall. К примеру тот же Outpost Firewall. Была такая же проблема и Каспер стоял. Не справляется он один.
Nikolay6
26.08.2007, 13:08
Проверь систему с помощью AVZ.Скорей всего у тебя троян или червь возможно прикрыт руткитом.Если не поможет -снимай винт,ставь вторым на другую изначально чистую машину с полностью рабочим и обновлённым антивирусом.И прогоняй полную проверку.Должно помочь.
еще простой вариант - бесплатный Comodo Firewall
KIS7 + Outpost + ProcessExplorer : нужно видеть, какие ресурсы в момент отправки писем задействованы... Потом всё лишнее просто убиваеш через запрет в файере - "Запретить этому приложению любую активность"
THunderHead
26.09.2007, 10:37
Согласен по поводу фаервола и просмотра сетевой активности :) сам пользуюсь Аутпостом.
ПроцесЭксплорер тоже хорошая вещь, ещё есть неплохой аналог PCView.
А по поводу снимать хард, если червь прикрыт руткитом ... можно попробовать использовать какие-нибудь BootCD например Hiren's.
Grigory_Ivus
26.09.2007, 16:22
Ну и на самый худой конец - переставлять винду, ставить все обновления, антивирус, файервол и поднимать базу БАТ-а из архива.
P.S. А директора депремировать, чтобы порнушку в рабочее время не качал (гы-гы-гы).
еще один вариант - попробовать бробить чем-нибудь портабельным, а хоть бы и NODom
KIS7 + Outpost
В KIS есть свой Firewall
два файрвола на одной машине? это новаторство
leocool2000
05.03.2008, 12:15
скорее всего в кис фаер вырублен, и он юзается как антивирь
rustecho
11.03.2008, 11:08
1. Смотрим настройки KIS, где чё поотключено.
2. Смотрим что делает шеф, когда отправляет почту. может он несознательно отрубает KIS с его фаером, и паралельно шастает по сомнительным сайтам.
3. Не помогает? Копаем глубже - Ставим альтернативу текущему защитному пакету, можно тот самый НОД с аутпостом врубить на всю катушку.. и смотреть логи что куда и зачем.
А бэкапить TheBAT нада будет аккуратно, так как вирь может нажодиться и в самой проге и в её базе(в приладе к письму)...
И советую от ящика на mail.ru отказаться :)
StHidden
19.03.2008, 20:35
Вчера тож трабла случилась:
На ноуте стоит NOD32 и Outpost. Сжу вечерком, чаи гоняю смотрю в монитор, а в верхнем углу окошко DUmeter ну все зелено-желтое. Отрубаю фаерволом связь с нетом и заодно см. что за процесс устроил такой беспредел, оказалось на вид безобидный w32tm.exe Полез в нет искать противоядие (nod ничего не видит)...
Вот здесь: _http://forum.kryto.net/index.php?showtopic=51&pid=765&st=0&#entry765 есть упоминание об этом вирусе, но оно датировано 5.11.2007 Найти все атрибуты описаные в сообщении не удалось. Но спам прекратился после выключения "функции востановления системы". Видимо там была запускалка этой дряни!
Отправил файл на проверку в есет и макаффи - результат 0 - файл чистый. Но как он может быть "чистый" если его размер в 10раз больше настоящего w32tm.exe 52,0 КБ (53*248 байт)...
Еще. Система была проверена NOD_ом из под доса, никаких подозрительных файлов не выявлено. Есть у кого какие соображения на этот счет? Думаю всетаки вирус еще даст о себе знать, при определенных обстоятельствах - уж больно сильно он хитровы...й!
На ноуте стоит NOD32 и Outpost. Сжу вечерком, чаи гоняю смотрю в монитор, а в верхнем углу окошко DUmeter ну все зелено-желтое. Отрубаю фаерволом связь с нетом и заодно см. что за процесс устроил такой беспредел, оказалось на вид безобидный w32tm.exe Полез в нет искать противоядие (nod ничего не видит)...
Может ЭТО (http://www.securitystronghold.com/gates/haxdoor.d.html) Вам поможет...
StHidden
19.03.2008, 22:33
Это я в перву-голову нашел... Хотел было уже клацнуть, да тамошних два комента насторожили..., полез дальше, почитал на имхе или еще где про этот True Sword - отзывы очень неприятные... Решил с "клацаньем повременить" - на ноуте получить BSOD..., а потом опять мытариться ставить XP - совсем НЕ охота!
Братья, а как на счет альтернативного порта для mail.ru, тобеш - 2525??? На кой пердос 25 порт использовать???
Отправил файл на проверку в есет и макаффи - результат 0 - файл чистый. Но как он может быть "чистый" если его размер в 10раз больше настоящего w32tm.exe 52,0 КБ (53*248 байт)...
Проверь файл тут http://www.virustotal.com/, сразу всеми известными антивирями просканит.
не факт что вирус был до установки антивируса, но в любом случае он его не видит, даже если видит то простым удалением вряд ли проблему решить. Вирус наверняка уже изменил системные файлы. Советую переустоновить систему. хорошо если есть образ. если нет то сделай после переустановки
georgy_n
02.08.2008, 22:37
вирус был до установки антивируса, но в любом случае он его не видит Какой вирус, о чем Вы говорите?! w32tm.exe - майкрософтовский процесс - синхронизатор времени, и, McAfee, обозвав его чистым, нисколько не ошиблась. А вообще, вопрос, пожалуй, уже давно утратил свою актуальность для автора поста ;-)
jafar1972
10.08.2008, 22:44
Лучше следить за сетевой активностью....
vBulletin® v3.8.9, Copyright ©2000-2026, vBulletin Solutions, Inc.