не удается обнаружить "rustock spambot"

[Stanislavus]

Привет всем!

Нужна помощь.

Ситуация следующая, имеется сервер 2000. Работает исключительно, как вебсервер. Никаких других задач.

В прошлый понедельник стало известно, что письма к пользователям не доходят.

В тех письмах что обратно на сервер вернулись и лежали в папке Бадмаил, внутри сообщения интересная строчка -

Diagnostic-Code: smtp;550 5.7.1 Service unavailable; Client host [62.217.XX.XX] blocked using Spamhaus XBL, mail from IP banned; To request removal from this list see http://www.spamhaus.org/lookup.lasso.

зашел на этот сайт, удалил себя из списка "козлов".

Проверил систему Др-Вебом, все чисто.

Сегдоня опять та же песня. Запустил Kасперского, опять ничего не найдено. Что делать?

Мне нужно срочно письма отправлять дальше. А мой сервак забанен. Где искать этого гада rustock spambot?

[Форматцевт]

Stanislavus: может стоить спросить у google клац тут, ну и соответственно выполнить правила раздела по лечению, а ? :D

PS Руткит был классифицирован как Virus.Win32.Rustock.a. Именно как вирус — поскольку Rustock является полноценным файловым вирусом, работающим в режиме ядра операционной системы. Процедуры детектирования и лечения зараженных файлов были выпущены «Лабораторией Касперского» 20 мая 2008 года (через 8 дней после начала исследования).

[Stanislavus]

Касперским я уже проверился. И статью эту читал

Вы имеете ввиду с диска загрузиться?

Задача не простая оданко, писалки нет, сможет ли он получить доступ к раидконотроллеру?

Если ето единственное что осталось, попробую систему из бекапа восстановить.

[edde]

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

И сделайте лог Rsit

[Stanislavus]

Вот лог гмер.

Я в процессах некие незнакомые мне веши увидел, но почему каспер на них не ругается?

gmer_28_06_10.log

gmer_28_06_10.log

[edde]

В лог не попало ничего подозрительного, лог RSIT где?

[Stanislavus]

Вешает комп наглухо ;(

[Stanislavus]

Причина зависания найдена и устранена, ошибка на диске была.

Вот лог

log.txt

log.txt

[edde]

Ничего подозрительного в логе нет.

145.253.2.11, 145.253.2.75 - Ваши адреса?

Сами сбрасывали настройки IE?

Автозапуск отключить - как рекомендация.

[Stanislavus]

Удивляет еще вот какая штука, у меня не этом компе 3 СМТП сервера, с разными портами. Так вот вроде бы IP заблокирован, а 2 мейл сервера пашут и токо последний, на 27 порту который нет. Именно с него выходящие письма банят.

В целом у меня аж 5 IP у компа но врoде все письма идут именно через этот. Ремепинг только же на вход, по-моему.

Мои адреса из етой серии: 62.217.57.XX

[edde]

Создайте топик в этом http://www.softboard.ru/index.php?showforum=102 разделе Появятся Timba c Andrey_al и Maikll, дадут более профессиональные советы.

Если эти 145.253.2.11, 145.253.2.75 адреса вам совсем незнакомы пофиксите эти строчки в HJT

O17 - HKLM\System\CCS\Services\Tcpip\..\{E4570BA2-050F-40F4-8623-84CDE937849D}: NameServer = 145.253.2.11,145.253.2.75

[Stanislavus]

Это ДНС старый. Пофиг, там все равно в инет никто не ходит.

[edde]

Тогда с нашей антивирусной стороны больше не к чему придраться. Будьте здоровы. :)