[Butunin Klim]

в нутри сети зараженная машина или сам почтарь заражен

[exo]

Цитата Butunin Klim:

в нутри сети зараженная машина »

это врядли, netstat не показывает обращения к серверу от других машин.

Цитата Butunin Klim:

сам почтарь заражен »

возможно. прошёл Каспером 6 для серверов - 0.
Есть подозрения на процесс inetinfo.exe. Он нужен для IIS, для OWA. Никак не могу найти, где одну OWA остановить.
Остановка сервиса SMTP - и нет спама... Но нам то почта нужна...

[Severny]

exo, Хотя программы исследования предназначены для ХР, но все ж логи желательно.

[exo]

странно, отключил World Wide Web Publishing Service и почта перестала ходить... Как они связанны? кроме OWA.

Цитата Severny:

но все ж логи желательно. »

попробую.
и так - сервер перезагружать нет возможности - с ним работают круглосуточно (из разных регионов).
А все утилиты требуют перезагрузки.
А что, виндовых логов не достаточно? Нет виндовых инструментов поиска сетевой активности?

[exo]

вот логи, гляньте, пожалуйтса.
virusinfo_cure.zip - пустой.

[Severny]

[44616] \??\c:\windows\system32\winlogon.exe
Вроде бы не должен он порт открывать? Хотя на сервере...
Сейчас посмотрим.
А ты уверен, что траф идет от сервера, а не сквозь?
Ты CureIt можешь запустить просканировать?

[exo]

Цитата Severny:

А ты уверен, что траф идет от сервера, а не сквозь? »

уверен, netstat -a не показывает соеденения с другими компами.

[exo]

вот какие логи SMTP:

читать дальше »

Код:

2008-08-19 17:04:19 70.77.142.65 S01060050ba4fbd7a.ca.shawcable.net SMTPSVC2 INFO4 192.168.0.223 0 MAIL - +From:<contamaribel@infasa.net> 454 0 74 35 0 SMTP - - - -
2008-08-19 17:04:19 70.77.142.65 S01060050ba4fbd7a.ca.shawcable.net SMTPSVC2 INFO4 192.168.0.223 0 QUIT - S01060050ba4fbd7a.ca.shawcable.net 240 500 74 35 0 SMTP - - - -
2008-08-19 17:04:21 78.145.42.240 [78.145.42.240] SMTPSVC2 INFO4 192.168.0.223 0 EHLO - +[78.145.42.240] 250 0 309 20 2282 SMTP - - - -
2008-08-19 17:04:21 78.145.42.240 [78.145.42.240] SMTPSVC2 INFO4 192.168.0.223 0 MAIL - +FROM:<Sanford-handener@shadyneighbor.com> 454 0 74 56 0 SMTP - - - -
2008-08-19 17:04:21 78.145.42.240 [78.145.42.240] SMTPSVC2 INFO4 192.168.0.223 0 QUIT - [78.145.42.240] 240 2468 74 56 0 SMTP - - - -
2008-08-19 17:04:23 71.85.119.3 71-85-119-003.dhcp.spbg.sc.charter.com SMTPSVC2 INFO4 192.168.0.223 0 EHLO - +71-85-119-003.dhcp.spbg.sc.charter.com 250 0 307 43 172 SMTP - - - -
2008-08-19 17:04:23 71.85.119.3 71-85-119-003.dhcp.spbg.sc.charter.com SMTPSVC2 INFO4 192.168.0.223 0 MAIL - +FROM:<lucho-rehef@ifn.nl> 454 0 74 40 0 SMTP - - - -
2008-08-19 17:04:23 71.85.119.3 71-85-119-003.dhcp.spbg.sc.charter.com SMTPSVC2 INFO4 192.168.0.223 0 QUIT - 71-85-119-003.dhcp.spbg.sc.charter.com 240 516 74 40 0 SMTP - - - -

явно Релей работает!!! но он отключён!!!

[Delirium]

exo, выложите скрины свойства default smtp server - access - relay. Так, чтобы уже быть твердо уверенными.
Что за IP 192.168.0.223 ? и 85.21.99.202 ?