Jump to content

не удается обнаружить "rustock spambot"


Recommended Posts

Привет всем!

Нужна помощь.

Ситуация следующая, имеется сервер 2000. Работает исключительно, как вебсервер. Никаких других задач.

В прошлый понедельник стало известно, что письма к пользователям не доходят.

В тех письмах что обратно на сервер вернулись и лежали в папке Бадмаил, внутри сообщения интересная строчка -

Diagnostic-Code: smtp;550 5.7.1 Service unavailable; Client host [62.217.XX.XX] blocked using Spamhaus XBL, mail from IP banned; To request removal from this list see http://www.spamhaus.org/lookup.lasso.

зашел на этот сайт, удалил себя из списка "козлов".

Проверил систему Др-Вебом, все чисто.

Сегдоня опять та же песня. Запустил Kасперского, опять ничего не найдено. Что делать?

Мне нужно срочно письма отправлять дальше. А мой сервак забанен. Где искать этого гада rustock spambot?

Link to comment
Share on other sites

Stanislavus: может стоить спросить у google клац тут, ну и соответственно выполнить правила раздела по лечению, а ? :D

PS Руткит был классифицирован как Virus.Win32.Rustock.a. Именно как вирус — поскольку Rustock является полноценным файловым вирусом, работающим в режиме ядра операционной системы. Процедуры детектирования и лечения зараженных файлов были выпущены «Лабораторией Касперского» 20 мая 2008 года (через 8 дней после начала исследования).

Link to comment
Share on other sites

Касперским я уже проверился. И статью эту читал

Вы имеете ввиду с диска загрузиться?

Задача не простая оданко, писалки нет, сможет ли он получить доступ к раидконотроллеру?

Если ето единственное что осталось, попробую систему из бекапа восстановить.

Link to comment
Share on other sites

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

И сделайте лог Rsit

Link to comment
Share on other sites

Ничего подозрительного в логе нет.

145.253.2.11, 145.253.2.75 - Ваши адреса?

Сами сбрасывали настройки IE?

Автозапуск отключить - как рекомендация.

Link to comment
Share on other sites

Удивляет еще вот какая штука, у меня не этом компе 3 СМТП сервера, с разными портами. Так вот вроде бы IP заблокирован, а 2 мейл сервера пашут и токо последний, на 27 порту который нет. Именно с него выходящие письма банят.

В целом у меня аж 5 IP у компа но врoде все письма идут именно через этот. Ремепинг только же на вход, по-моему.

Мои адреса из етой серии: 62.217.57.XX

Link to comment
Share on other sites

Создайте топик в этом http://www.softboard.ru/index.php?showforum=102 разделе Появятся Timba c Andrey_al и Maikll, дадут более профессиональные советы.

Если эти 145.253.2.11, 145.253.2.75 адреса вам совсем незнакомы пофиксите эти строчки в HJT

O17 - HKLM\System\CCS\Services\Tcpip\..\{E4570BA2-050F-40F4-8623-84CDE937849D}: NameServer = 145.253.2.11,145.253.2.75
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...