Лечение спам Rootkit в winserver2003
 

Доброго времени суток форумчане! Создавал тему по этой проблеме в другой ветке, но там вопрос был в другом. Сейчас я точно знаю в чём причина, но как лечить.. Вот это вопрос!
Ситуация такая, в сети компании есть почтовый сервер и контроллер домена, с контроллера домена по 25 порту отправляется спам на различные ip адреса. В результате этого наш внешний ip отправляют в спам список CBL по нему сверяются провайдеры на которых почта разных компаний, в результате мы не можем отправлять почту (ну с этим ладно, я периодически контролирую список). Я точно выяснил, что спамят с DC, netstat показала что простой системы гуляет по 25 порту на разные ip. 25 порт отключали, в спам не попадали, но увы до меня криво сделали так, что части почтового сервера на dc и без него почта вообще не пашет.
В прошлой ветке камрад сказал что это руткит. Пробовал лечить комп Nod32 со свежими базами не помогло. На сайте DCL указали что причина в zbot.
Как лечил: avg_remover_zbot, zbotkiller (касперский) - они инфицированных объектов не нашли.
Стал искать на руткиты, вот тут сложно....

Перейду к вопросам:
1)Не боятся ли запускать AVZ на сервере? Она много что блокирует, например автозапук, боюсь навредит обычным программам.

АВЗ блокирует в том случае если будет дана команда на выполнение. Если переживаете сделайте бэкап и давайте логи.
Выложите логи в соответствии с этими инструкциями.

Спасибо вам за совет! Ещё хотел узнать, могут ли руткиты в jpg и png документах скрываться?))) Это не шутка, один из разрекламированных анти-руткитов SOPHOS ANTI-ROOTKIT навыдавал мне элементы на удаление с этими расширениями.

Существуют вирусы которые заражают эти форматы.

Наконец вернулся к этой теме. Увы но жёстко не было времени. Всё это время удалял ip ручками из cbl))) Сейчас решил вернуться. Сетевая активность руткита не постоянна. Нужно угадать момент. Решил не стандартными explorer и netstat воспользоваться а сторонними утилитками.
Заметил странность процес inetinfo ходит на адрес 60.246.222.160, адрес голландский, dns совсем странный n246z222l160.broadband.ctm.net , это происходит чаще чем pid 0 )) ходит на разные IP

Вот какая есть инфа по процессу ( IIS есть на машине):
Windows Ошибки , связанные с inetinfo.exe ?
inetinfo.exe используется в основном для отладки Microsoft Windows Server Internet Information Services . Эта программа имеет важное значение для стабильного и безопасного функционирования вашего компьютера и не должна быть прекращена .

Примечание: inetinfo.exe это процесс, который зарегистрирован в качестве IIS Admin Service Helper. Этот вирус распространяется через Интернет с помощью электронной почты и поставляется в виде сообщения электронной почты , в надежде, что вы открываете свою враждебную вложение. Червь имеет свой собственный SMTP движок, который означает, что он собирает электронные письма с локального компьютера и повторно распределяется . В худшем случае этот червь может позволить злоумышленникам получить доступ к компьютеру , кража паролей и персональных данных . Этот процесс представляет собой угрозу безопасности и должны быть удалены из вашей системы.

Определение inetinfo.exe , является ли вирус или законным процесс Окна зависит от местоположения каталогов он выполняет или бежит от . Мы настоятельно рекомендуем Вам запустить бесплатную проверку реестра идентифицировать. Processlibrary ошибки, связанные с .

Теперь inetinfo.exe и в Индонезию ходит.

Определение файла вирусный он или нет при совпадении имет с легитимным это нужно обратить внимание на его местоположение. К примеру касательно вашего файла.

http://www.systemlookup.com/search.p...h=inetinfo.exe

Обращайте внимание на его место и сравните где должен находится настоящий файл.