Wirus, problem z wytropieniem zarażonego komputera

Cześć wszystkim,

problem jest taki:

18 komputerów w sieci firmowej, wszystkie mają stałe adresy IP, pojawił się problem, ponieważ co jakiś czas nie możemy wysyłać poczty, zablokowany mamy port smtp u dostawcy, ze względu na wysyłanie dużej ilości maili (z podesłanych statystyk od dostawcy wynika, że z naszgo serwerwa wychodzi dziennie 200-250 tys maili). na każdym komputerze zainstalowany nod32, aktualny, ale problem nadal istnieje, zainstalowałem więc firewalle na każdym kompie + monitorowanie statystyk sieci, nic nie pokazuje na komputerach, wszystkie "czyste".

co Ciekawe, logi serwera pokazują, że maile wychodzą codziennie z losowych adresów IP z całego zakresu sieci ^24, nie wiem już jak szukać i co robić, dzisiaj po pracy przelecę wszystkie komputery combofixem, bo innych pomysłów już nie mam, komputera/ów nie da się namierzyć w sieci, wszystkie zachowują się normalnie.

pozdrawiam i czekam na ew pomysły.
Kamil

A nie macie jakiegoś wifi, i ktoś po prostu nie od was się podpina?
No i używajcie po prostu alternatywnego portu smtp do wysyłki

na 100% nikt nie siedzi w naszej sieci, używamy tylko standardowych portów do wysyłki, walczę z tym na różne sposoby od 2 tygodni i tracę pomysły, tak jak wspomniałem, dzisiaj combofix, ale to już ostatnia moja deska ratunku, bo więcej pomysłów nie mam.

Ja bym jeszcze na losowo wybranych komputerach odpalił skanowanie innym oprogramowaniem. To, że nod32 jest aktualny, wg mnie nie oznacza że wykryje wszystko. Kiedyś miałem taką sytuację że dopiero rozwiązania zaimplementowane w nowszej wersji nod'a były w stanie wykrywać wirusy z pendrive'ów. Poza tym skoro dane są wysyłane z różnych ip i masz dostęp do loga - to wyciągnij dysk z takiego kompa i puść skanowanie na jakimś zdrowym komputerze. Ew. użyj czegoś do wykrywania rootkitów. Wyłącz wifi i dhcp w firmie jak masz - bo może ktoś sprytny używa komórki.

skanowałem oprócz nod32 : panda online, avast antyvirus i skanerem ktory jest na stronie onetu (chyba bezpieczenstwo.onet.pl), wykrywaly jakies inne wirusiki, ale problem nie zniknął, zapora jak mówiłem też jest zainstalowana, w tym temacie moja wiedza dość słaba, więc zainstalowałem comodo firewall, natomiast działa jak widać, bo każdy update programów monituje o dostęp do sieci.

sieci WIFI nie mamy wcale, podpiętych jest 18 komputerów, natomiast żaden z nich nie pojawia się na liście komputerów spamujących, wirus działa w ten sposób że podszywa się pod każdy inny wolny adres IP w sieci, czyli ma do wyboru 255-18-1 adresów ip i to właśnie te wolne adresy widnieją na logach.

Skoro mejle są wysyłane tylko z IP, które nie są przydzielone, ustawiłabym po prostu filtr na routerze. Dopuszczone komputery wpisz po MACach i tyle. Wyłącz DHCP.

aurel napisał(a):

Skoro mejle są wysyłane tylko z IP, które nie są przydzielone, ustawiłabym po prostu filtr na routerze. Dopuszczone komputery wpisz po MACach i tyle. Wyłącz DHCP.

tak też zrobię, masz rację, to powinno rozwiązać problem. Dzięki, dam znać jutro jak poszlo.