Søg
Avatar billede ellac Nybegynder
20. september 2003 - 11:18 Der er 10 kommentarer og
1 løsning

Hvordan stopper vi,Win 2000 exchage server som sender spam mails

Hjælp !!! vi har fået en virus ind som sender ca. 200.000 - 300.000 spam mails ud i døgnet, vi har fået stoppet den. Men kan ikke med vores virusscanner finde den fil som generer disse mails. De ligger i "Mailroot... VSI1...Badmail... Queue.... Pickup....
Vi har stoppet det pt. ved at stoppe forskellige programmer i "services" Men virusen ligger der endnu.
??? Hvordan finder vi den fil der laver dette rod.
Nej vi er ikke uden sikkerhed!!! der er både firewall, norton antiviruserver, m.m.... vi tror vi har fået den som online opdatering af win 2000 server tirsdag eller onsdag i denne uge.  MVH calle
Avatar billede arlet Juniormester
20. september 2003 - 11:23 #1
http://www.spywarefri.dk/virus.htm#Gibe
Avatar billede arlet Juniormester
20. september 2003 - 11:24 #2
Direkt link til stinger som fjerner den http://vil.nai.com/vil/stinger/
Avatar billede ellac Nybegynder
20. september 2003 - 14:02 #3
Jeg har prøver med "Stinger" men den finder ikke noget.

Jeg kan se at der er en fil som generer alle mails når server startes op fra ny, den "bat fil" starter hvis "workstations" er sat til start.
Den laver en sti " mailroot... vsi1 med under biblioteker.

Den kan så mauelt stoppes, og derefter kan der slettes, men alle mailfiler ligger i et bibliotek der hedder C:\recycles\????? dette bibliotek kan ikke ses af stifinder men af "stinger"
Avatar billede jpvj Nybegynder
20. september 2003 - 14:09 #4
Hej Ellac,

Første trin er, at du afbruder Internet forbindelsen fra serveren til Internettet MED DET SAMME, og du slutter den først til når du er SIKKERT på, at du IKKE har virus mere.

Derefter må du finde ud af, hvilken maskine der er inficeret. Start med at lukke alle klienter ned. Hvis det fortsætter, ligger den på serveren.

Nu har du nok gjort det, men hvis ikke ville næste trin have været at installere alle sikkerhedsopdateringer fra MS (til W2K, Exch, IIS) samt opdatere dit antivirus program.

Når du er SIKKER på, at din server er renset og sikkerheds opdateret fortsætter du med dine klienter.

Mit bud er, at det nok er en klient der er inficeret med mindre du har haft din Exch. server direkte exponeret til Internettet.
Avatar billede ellac Nybegynder
20. september 2003 - 14:19 #5
Server er koblet fra "alt", og det er vores exchange mailserver som sidder lige efter vores firewall, der norton antivirus server på og den er opdateret.
der er ingen klienter på.
Win 2000 SBS ver. 5.0.2195 SP 4 Build 2195
Avatar billede jpvj Nybegynder
20. september 2003 - 14:32 #6
Du burde kunne finde virussen som en process, der kører på serveren så...

Hent PSTools fra Sysinternals (en række command line tools) og installer dem på serveren.

De kan hentes herfra: http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

De laver INGEN ændringer på systemet, men er virkelige nice to have i mange situationer.

Kør PSList > list.txt

Så har du en liste over processer på maskinen. List den her - så kigger vi på hvilken virus du kunne være inficeret med...
Avatar billede jpvj Nybegynder
20. september 2003 - 14:32 #7
PS: De skal forresten ikke installeres, men blot udpakkes til en folder
Avatar billede ellac Nybegynder
20. september 2003 - 17:07 #8
Her er listen


PsList 1.23 - Process Information Lister
Copyright (C) 1999-2002 Mark Russinovich
Sysinternals - www.sysinternals.com

Process information for MAILSERVER:

Name          Pid Pri Thd  Hnd    Mem    User Time  Kernel Time  Elapsed Time
Idle            0  0  1    0    16  0:00:00.000  0:04:03.765    0:04:27.468
System          8  8  51  148    212  0:00:00.000  0:00:05.015    0:04:27.468
SMSS          172  11  6  36    344  0:00:00.015  0:00:00.468    0:04:27.468
CSRSS        200  13  11  969  2184  0:00:00.078  0:00:01.093    0:04:00.265
WINLOGON      224  13  19  423    932  0:00:00.312  0:00:00.546    0:03:58.531
SERVICES      252  9  81 1017  9104  0:00:00.703  0:00:01.265    0:03:56.859
LSASS        264  9  40  902  18648  0:00:02.484  0:00:01.171    0:03:56.843
termsrv      376  10  14  105  3264  0:00:00.046  0:00:00.015    0:03:55.703
svchost      516  8  10  289  3636  0:00:00.171  0:00:00.156    0:03:52.625
spoolsv      544  8  17  228  9784  0:00:00.109  0:00:00.234    0:03:52.265
msdtc        696  8  22  196  5436  0:00:00.078  0:00:00.046    0:02:57.015
DefWatch      904  8  3  33  1344  0:00:00.015  0:00:00.000    0:02:55.609
dfssvc        920  8  7  112  3272  0:00:00.046  0:00:00.031    0:02:55.546
tcpsvcs      940  8  16  233  6456  0:00:00.140  0:00:00.125    0:02:55.453
svchost      964  8  24  349  6000  0:00:00.109  0:00:00.359    0:02:55.375
pds          980  8  5  102  3216  0:00:00.046  0:00:00.015    0:02:54.859
LLSSRV      1008  9  10  78  2108  0:00:00.015  0:00:00.046    0:02:54.531
NHOSTSVC    1096  8  3  67  1940  0:00:00.046  0:00:00.031    0:02:53.984
Rtvscan      1116  8  44  332  9432  0:00:00.156  0:00:00.609    0:02:53.765
Nhstw32      1140  8  12  135  5912  0:00:00.312  0:00:00.734    0:02:52.765
NscTop      1172  8  23  243  4792  0:00:00.031  0:00:00.046    0:02:51.156
regsvc      1288  8  3  32  1100  0:00:00.015  0:00:00.000    0:02:49.250
Nldrw32      1296  8  2  20  1276  0:00:00.046  0:00:00.031    0:02:49.078
LOCATOR      1308  8  3  41  1776  0:00:00.015  0:00:00.000    0:02:48.640
mstask      1328  8  7  119  3144  0:00:00.031  0:00:00.015    0:02:48.312
svchost      1364  8  13  182  3432  0:00:00.046  0:00:00.078    0:02:47.500
WinMgmt      1448  8  31  954  4688  0:00:02.906  0:00:01.609    0:02:46.890
WINS        1492  8  20  300  4260  0:00:00.046  0:00:00.046    0:02:45.968
DNS          1508  8  14  166  4568  0:00:00.015  0:00:00.109    0:02:45.812
inetinfo    1540  8 101 2246  38152  0:00:02.093  0:00:01.437    0:02:45.531
HNDLRSVC    1584  8  5  69  2900  0:00:00.015  0:00:00.046    0:02:44.750
MSGSYS      1604  8  13  138  3396  0:00:00.015  0:00:00.015    0:02:44.015
IAO          1700  8  7  108  3360  0:00:00.046  0:00:00.062    0:02:43.296
XFR          1720  8  6  70  1996  0:00:00.031  0:00:00.000    0:02:42.796
modemshr    1800  8  6  50  1376  0:00:00.031  0:00:00.000    0:02:41.531
EXMGMT      1836  8  3  91  6116  0:00:00.031  0:00:00.062    0:02:41.140
MAD          2036  8  54  946  18488  0:00:01.343  0:00:01.765    0:02:36.578
mssearch    2076  8  7  179  1120  0:00:00.062  0:00:00.140    0:02:31.937
STORE        2584  8 108 3106  44892  0:00:04.937  0:00:02.250    0:02:17.312
EMSMTA      2668  8  36  812  3416  0:00:00.453  0:00:00.281    0:02:12.343
explorer    3620  8  14  235  2252  0:00:00.531  0:00:01.734    0:01:11.171
VPTray      2116  8  4  115  3212  0:00:00.046  0:00:00.093    0:00:54.250
internat    3532  8  1  30  1472  0:00:00.015  0:00:00.015    0:00:53.781
hpjetdsc    2380  8  1  21  1180  0:00:00.015  0:00:00.000    0:00:53.421
CMD          3748  8  1  23  1012  0:00:00.015  0:00:00.000    0:00:30.390
pslist      3800  13  2  136  1712  0:00:00.031  0:00:00.078    0:00:00.468



Ved opstart af workst. lokal på server

startes følgende:

Microsoft Exchange MTA Stacks
M  "        "    Infomation Store
    "        "    System Attendant
Remote Procedure Call ( RPC) Location
Net Logon
Messenger
Distributed File System
Alerter
Computer Browser
Backgrund inteligent Transfer Service


MVH
Ellac
Avatar billede ellac Nybegynder
22. september 2003 - 19:59 #9
Jeg har fundet udaf at det starter samtidig med at "Logon.exe" kan der være her jeg skal finde "virusen"

Ellac
Avatar billede jpvj Nybegynder
26. september 2003 - 22:11 #10
Hvis du søger på google efter logon.exe og virus så er der en del hits...

Da du har uddelt points antager jeg at problemet er løst..
Avatar billede ellac Nybegynder
30. september 2003 - 22:07 #11
Nej jeg har ikke uddelt points..... endnu

Vi har haft en edbmand på besøg som fandt udaf at mailserverne var forkert opsat, af den først "edb nørd"  så den var åben for at modtage og derefter sende spammails. Vi nåde at få lukket vor adgang til at sende mails.

Jeg siger tak for hjælpen.


MVH Calle
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:42 Mail med endelsen ".lat" Af ErikHg i E-mail
I går 11:48 Nyåbnede sider flimrer på Android tablet, hvorfor Af annam i Andet software
I går 11:03 Bitlocker fordele-ulemper, samt nulstille PC Af Uvanga i Windows
20/0511:00 IIS på Win10 64 bit Af bsn i Webservere
20/0509:01 Bitlocker Af Chevy396 i Windows
White papers
Flere white papers »