Вирус шлет от меня письма. Я бессилен.

[tolpa]

Проблема в сабже.
О том, что письма уходят, я узнаю из писем системного админа (пишутся автоматом) о том, что "остановлена отправка письма с запрещенным приложением" (сначала вирус пытался отправить SCR, потом COM). А сколько прошло незапрещенных я и не знаю. Никаких признаков отправки писем, кроме ругательств админа не обнаруживаю.
Причем вирус их шлет на один и тот же свой адрес, не из моей адресной книги. Защита сервера их давит вне зависимости от того есть в теле вирус или нет, - запрещенный тип аттачей.
Дело происходит на работе. У нас реализована авторизация перед отправкой ("Обычный метод"). Так что, скорее всего, что идет от меня (Вирус, очевидно, берет настройки и пароль на отправку из Оутлука, я юзаю с недавних пор Бат).
Запущен 5-й КАВ в постоянку.
Проверил все диски 5-тым Каспером и Вэбом. Ни фига не находят.
По моему, возможны 2 решения:
1. Стереть все настройки в Аутлуке и смириться с тем, что гад где-то затихарился (если это поможет)
2 Ловить "на живца", то бишь поставить какой-нить фаервол (ZoneAlarm 5, как думаете подойдет?)
Кроме того, у меня стоит Новел, но пароля не знаю. Не помешает ли он фаерволу?
Что посоветуете?

ЗЫ В связи с этим долбаным вирусом в любой момент может нагрянуть служба безопасности, лишить меня незаконных админовских прав, предъявить логи походов в инет (в частности на этот форум) и отключить от всемирной паутины

ЗЗЫ А письма всё идут. Пока это набивал пришло еще одно письмо от админа.

[dr-evil]

хм....
процессы левые не висят?

[AKM-47]

http://www.sysinternals.com/ntw2k/fr.../procexp.shtml
процесы посмотреть, но ты наверно ето уже делал..но взглянь на loaded dll's на всякий пожарный...
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
а етим можно вместо фаера коннекты посмотреть...фаер конечно тоже хорошо

Цитата:

Кроме того, у меня стоит Новел, но пароля не знаю

не понял, у тебя на компутере os==novell? и какой пасс..?

[Merlin Cori]

первым делом - стенку.....
а там смотреть, кто ломится на мейл

[SinClaus]

А в письмах админа написано, что они идут с твоего IP или с твоего почтового адреса? Вирусы их почти всегда комбинируют.

[Merlin Cori]

AKM-47 на рабочем месте новел не может стоять.... только клиент

[tolpa]

Цитата:

Merlin Cori:
процессы левые не висят?

Как достоверно узнать какие из них левые? Я уже попытался сравнить процессы данной 2000-ной с соседними, пока мимо. Еще перезайду как админ посмотрю в сервисах, кто без мелкософтового описалова - тех прикрою.
Сижу на модеме, и етот гад периодически улучает момент и шлет.

Цитата:

SinClaus:
А в письмах админа написано, что они идут с твоего IP или с твоего почтового адреса?

С адреса, в ругательствах админа IP не фигурирует.

С помощью SpiderMail от DrWeb (сам Spider не встает) просек след-щее

Цитата:

[07/22/04 14:49:38 00000314] c:\documents and settings\user\local settings\temp\drw35.tmp - архив MAIL
[07/22/04 14:49:38 00000234] Сообщение от <postmaster@cpitransport.com.ph> (drw35.tmp) - вирусов не обнаружено

Именно на этот адрес и идут письма.

Цитата:

AKM-47:
а етим можно вместо фаера коннекты посмотреть

Щас скачал попробую.

Цитата:

AKM-47:
взглянь на loaded dll's на всякий пожарный

Не понял. Это делается с помощью указанного выше софта? Или как?

[Michael]

Скорей всего вирусы идут вообще не с твоего компьютера, а от кого-то, у кого ты есть в адресной книге. А вообще была какая-то программа, которая независимо от стен спрашивает каждый раз разрешение отправить письмо.

[tolpa]

Цитата:

Michael:
Скорей всего вирусы идут вообще не с твоего компьютера

Нет. - SpiderMail зафиксировал коннект.

[Anarchist]

По моему стенка это должна отловить, ставить надо по любому ...

Не повредит скачать McAfee AVERT Stinger ,
програмка маленькая, всю последнюю гадость чистит отлично.

[tolpa]

Поставил ZoneAlarm5. Ждемс.
Я щас перечитал логи SpiderMail. Так процитированный выше лог был по 110 порту, то бишь на получение почты! А письма идут на самом деле на pol.castillo@cpitransport.com.ph То бишь будет 25-й порт. Его пока в логах не обнаружил.
То есть я помимо моей воли получаю письма от postmaster@cpitransport.com.ph и отсылаю на pol.castillo@cpitransport.com.ph, но уже с вложенном COM-ом.
Абсурд какой-то

[dominos]

tolpa
Мне несколько раз приходили поддельные ответы от почтового сервера, будто-бы мое письмо не дошло и отправлено мне обратно. Конечно, в письмах были вирусы. Советую хорошенько проверить заголовки этих писем и сравнить с настоящим ответом этого мейл-сервера.

[vicyo]

Цитата:

tolpa:
Цитата:
Merlin Cori:
процессы левые не висят?

Как достоверно узнать какие из них левые? Я уже попытался сравнить процессы данной 2000-ной с соседними, пока мимо.

А Google для чего придуман? Рассчитываешь на доброго дядю-телепата?

[tolpa]

to Dominos Я же привожу логи SpiderMail. По-моему сомнения снимаются.

Цитата:

vicyo:
А Google для чего придуман?

Никогда бы не подумал, что гугли придумали для этого
Что, каждый exe-шник вписать в поиск? Завтра попробую.

По-моему, вирус "присоседивается" к портам, открываемым Батом. - Возможна ли такая чупуховина или что-нить подобное?

А вообще, если бы это произошло дома (а может и происходит), то мне бы пожалуй никакой админ сервера ничего отписывать не стал и я бы ва-аще ничего не заметил. - Потому как прога траффик не жрет. - Одно-два мелких письма в день.
Задумайтесь над етим в смысле собственной безопасности.

[dominos]

[b]tolpa[/]

Цитата:

процитированный выше лог был по 110 порту, то бишь на получение почты! А письма идут на самом деле на pol.castillo@cpitransport.com.ph То бишь будет 25-й порт

Я так понял, что на 25-й ничего не ушло. Кроме того, если это вирус посылает письма, значит Др.Веб его не знает, иначе бы уже нашел, значит и в письмах он его найти не может. Имхо.

[KalaSh]

У Касперского на сайте лежит бесплатная утилита, которая позволяет отлавливать около сотни самых распространённых вирусов. Можешь скачать здесь _http://www.kaspersky.ru/removaltools?vtopen=146410248#open
Распакуй zip на диск c:\ потом в строке выполнить напиши c:\clrav.com /s. Должно помочь. Удачи.

[Interceptor]

tolpa
Так, стенка уже что-нить отловила, что стучится на 25 порт?

[tolpa]

to KalaSh
clrav на С: и в сервисах ничего не нашла, щас работает на Д:
"

Цитата:

Interceptor:
Так, стенка уже что-нить отловила, что стучится на 25 порт?

Кроме Бата (и соотв-но SpiderMail) ничего.
Но писем от админа пока не получал.
В логах SpiderMail пока тоже "чисто".
to dominos
С установкой SpiderMail я чуток опоздал, с момента его установки пока ничего не уходило, поэтому записей о 25-том порту нет. А Spider от DrWeb не устанавливается (c 2000-ной это бывает). Пользую Каспера.

Люди, у кого установлен SpiderMail, посмотрите плз, это он создает временный файл в момент приема-отправки c:\documents and settings\user\local settings\temp\drw??.tmp или нет? (где ?? - две цифры)
Это можно увидеть в его логах.

[Interceptor]

tolpa
Некоторые вирусы "впадают в спячку", если видят присутствие стенки
Могу предложить поюзать TCP-view: тоже показывает кто на каком порту что делает, но стенкой как таковой не является.
Посмотри в автострате: нет ли чего подозрительного

[tolpa]

Цитата:

dominos:
Советую хорошенько проверить заголовки этих писем и сравнить с настоящим ответом этого мейл-сервера.

Чёта я совсем плохой стал. Наконец-то внял этому совету, и понял, что мне пишет админ этого филлипинского сервака postmaster@cpitransport.com.ph, а не наш, конторский. Фу, отлегло.
Всё. Теперя, я практически уверен, что туда шлет письма вообще хрен хнает кто, а не я и, скорее всего, не кто-либо из нашей конторы.
Спасабо всем .
Думаю проблема частично снята и этому постмастеру не хватит ума связываться с нашим админом с целью выяснения причин отправки писем с запрещенными аттачами.
Наверное найти реального автора этих писем невозможно?