Вирус шлет от меня письма. Я бессилен.
 

Проблема в сабже.
О том, что письма уходят, я узнаю из писем системного админа (пишутся автоматом) о том, что "остановлена отправка письма с запрещенным приложением" (сначала вирус пытался отправить SCR, потом COM). А сколько прошло незапрещенных я и не знаю. :idontnow: Никаких признаков отправки писем, кроме ругательств админа не обнаруживаю. :confused:
Причем вирус их шлет на один и тот же свой адрес, не из моей адресной книги. Защита сервера их давит вне зависимости от того есть в теле вирус или нет, - запрещенный тип аттачей.
Дело происходит на работе. У нас реализована авторизация перед отправкой ("Обычный метод"). Так что, скорее всего, что идет от меня (Вирус, очевидно, берет настройки и пароль на отправку из Оутлука, я юзаю с недавних пор Бат).
Запущен 5-й КАВ в постоянку.
Проверил все диски 5-тым Каспером и Вэбом. Ни фига не находят.
По моему, возможны 2 решения:
1. Стереть все настройки в Аутлуке и смириться с тем, что гад где-то затихарился (если это поможет)
2 Ловить "на живца", то бишь поставить какой-нить фаервол (ZoneAlarm 5, как думаете подойдет?)
Кроме того, у меня стоит Новел, но пароля не знаю. Не помешает ли он фаерволу?
Что посоветуете?

ЗЫ В связи с этим долбаным вирусом в любой момент может нагрянуть служба безопасности, лишить меня незаконных админовских прав, предъявить логи походов в инет (в частности на этот форум) и отключить от всемирной паутины :(

ЗЗЫ А письма всё идут. Пока это набивал пришло еще одно письмо от админа. :help:

хм....
процессы левые не висят?

http://www.sysinternals.com/ntw2k/fr.../procexp.shtml
процесы посмотреть, но ты наверно ето уже делал..но взглянь на loaded dll's на всякий пожарный...
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
а етим можно вместо фаера коннекты посмотреть...фаер конечно тоже хорошо :)

:idontnow: не понял, у тебя на компутере os==novell? и какой пасс..?

первым делом - стенку.....
а там смотреть, кто ломится на мейл

А в письмах админа написано, что они идут с твоего IP или с твоего почтового адреса? Вирусы их почти всегда комбинируют.

AKM-47 на рабочем месте новел не может стоять.... только клиент

Как достоверно узнать какие из них левые? Я уже попытался сравнить процессы данной 2000-ной с соседними, пока мимо. Еще перезайду как админ посмотрю в сервисах, кто без мелкософтового описалова - тех прикрою.
Сижу на модеме, и етот гад периодически улучает момент и шлет.
С адреса, в ругательствах админа IP не фигурирует.

С помощью SpiderMail от DrWeb (сам Spider не встает) просек след-щее
Именно на этот адрес и идут письма.
Щас скачал попробую.
Не понял. :idontnow: Это делается с помощью указанного выше софта? Или как? :confused:

Скорей всего вирусы идут вообще не с твоего компьютера, а от кого-то, у кого ты есть в адресной книге. А вообще была какая-то программа, которая независимо от стен спрашивает каждый раз разрешение отправить письмо.

Нет. - SpiderMail зафиксировал коннект.

По моему стенка это должна отловить, ставить надо по любому ...

Не повредит скачать McAfee AVERT Stinger ,
програмка маленькая, всю последнюю гадость чистит отлично.

Поставил ZoneAlarm5. Ждемс. :)
Я щас перечитал логи SpiderMail. Так процитированный выше лог был по 110 порту, то бишь на получение почты! А письма идут на самом деле на pol.castillo@cpitransport.com.ph То бишь будет 25-й порт. Его пока в логах не обнаружил.
То есть я помимо моей воли получаю письма от postmaster@cpitransport.com.ph и отсылаю на pol.castillo@cpitransport.com.ph, но уже с вложенном COM-ом.
Абсурд какой-то :confused:

tolpa
Мне несколько раз приходили поддельные ответы от почтового сервера, будто-бы мое письмо не дошло и отправлено мне обратно. Конечно, в письмах были вирусы. Советую хорошенько проверить заголовки этих писем и сравнить с настоящим ответом этого мейл-сервера.

А Google для чего придуман? Рассчитываешь на доброго дядю-телепата?

to Dominos Я же привожу логи SpiderMail. По-моему сомнения снимаются.
Никогда бы не подумал, что гугли придумали для этого :)
Что, каждый exe-шник вписать в поиск? Завтра попробую.

По-моему, вирус "присоседивается" к портам, открываемым Батом. - Возможна ли такая чупуховина или что-нить подобное?

А вообще, если бы это произошло дома (а может и происходит), то мне бы пожалуй никакой админ сервера ничего отписывать не стал и я бы ва-аще ничего не заметил. - Потому как прога траффик не жрет. - Одно-два мелких письма в день.
Задумайтесь над етим в смысле собственной безопасности.

[b]tolpa[/]
Я так понял, что на 25-й ничего не ушло. Кроме того, если это вирус посылает письма, значит Др.Веб его не знает, иначе бы уже нашел, значит и в письмах он его найти не может. Имхо.

У Касперского на сайте лежит бесплатная утилита, которая позволяет отлавливать около сотни самых распространённых вирусов. Можешь скачать здесь _http://www.kaspersky.ru/removaltools?vtopen=146410248#open
Распакуй zip на диск c:\ потом в строке выполнить напиши c:\clrav.com /s. Должно помочь. Удачи.

tolpa
Так, стенка уже что-нить отловила, что стучится на 25 порт?

to KalaSh
clrav на С: и в сервисах ничего не нашла, щас работает на Д:
"Кроме Бата (и соотв-но SpiderMail) ничего.
Но писем от админа пока не получал.
В логах SpiderMail пока тоже "чисто".
to dominos
С установкой SpiderMail я чуток опоздал, с момента его установки пока ничего не уходило, поэтому записей о 25-том порту нет. А Spider от DrWeb не устанавливается (c 2000-ной это бывает). Пользую Каспера.

Люди, у кого установлен SpiderMail, посмотрите плз, это он создает временный файл в момент приема-отправки c:\documents and settings\user\local settings\temp\drw??.tmp или нет? (где ?? - две цифры)
Это можно увидеть в его логах.

tolpa
Некоторые вирусы "впадают в спячку", если видят присутствие стенки
Могу предложить поюзать TCP-view: тоже показывает кто на каком порту что делает, но стенкой как таковой не является.
Посмотри в автострате: нет ли чего подозрительного

Чёта я совсем плохой стал. Наконец-то внял этому совету, и понял, что мне пишет админ этого филлипинского сервака postmaster@cpitransport.com.ph, а не наш, конторский. Фу, отлегло. :молись:
Всё. Теперя, я практически уверен, что туда шлет письма вообще хрен хнает кто, а не я и, скорее всего, не кто-либо из нашей конторы.
Спасабо всем :claps: .
Думаю проблема частично снята и этому постмастеру не хватит ума связываться с нашим админом с целью выяснения причин отправки писем с запрещенными аттачами.
Наверное найти реального автора этих писем невозможно?

tolpa
Выяснить информацию об отправителе можно посмотрев информацию в заголовке, также можно определить пусть следования письма. Но это уже другая тема для обсуждения, к тому же она не однократно поднималась.

Вообще-то странно, человек вроде пользует Бат, тот в диспетчере честно показывает весь заголовок со всем путем пройденным этим письмом, и только через пару дней обнаруживает, что это пишет не ЕГО админ, а какой-то филиппинский спамер.
Стыдно, однако...

lol, a pomoemy prikol'no :) xot' v razdel s umorom stav' :) ladno nado zakanchivat' flame ,a to Hell ne spit.

Согласен - ложанулся.
Но, тем не менее, пишет мне реальный админ, хоть и филлипинский, а никакой не спамер.
Была у меня с Филлипинами переписка. Видимо, где-то засветился.
И мне еще предстоит и самому окончательно убедиться, что письма идут не от меня, и доказать службе безопасности (если они всё-таки вдруг припрутся). А еще лучше найти от кого они идут на Филлипины.
Извините, если кого отвлек от более важных дел
и я действительно благодарен всем, кто ответил.
А еще лучше, SinClaus, будь проще, с кем не бывает :beer:

SinClaus
И эксперты ошибаются, однако. Тоже люди