Добрый день.
Внешнее проявление проблемы: исходящий трафик с одного компа в локальной сети 2.7 гига за сутки.
По сигналам от провайдера выяснили, что это спам-рассылка. На рутере (D-link DI-624) был заблокирован трафик на 25 порты по всем внешним IP - адресам. Таким образом трафик был остановлен. (кусок лога с рутера можно приложить при необходимости).
По заявкам abuse, полученным от провайдера, удалось получить образец рассылаемого письма (можно приложить, если необходимо).
На компьютере с которого выполнялась рассылка, установлено:
NAV-2005, обновленный на 31.01.2008
ZoneAlarmPro с антиспаем, обновленный на 03.02.2008
После обнаружения проблемы, был установлен Tmeter 6
Ни одна из перечисленных программ не отреагировала на угрозу. Более того - траффик не показывался ни ZoneAlarm-ом, ни Tmeter-oм. Он был виден только при показе в системном трее сетевого соединения. По логам рутера была сделана попытка заблокировать ZoneAlarm-ом на компе порты с 40000 по 60000 - на которых висел процесс - никакой реакции
Процесс был активен даже в режиме загрузки SafeMode с включенной поддержкой сети.
Я такого еще не видел...
CureIt от DrWeb при первом сканировании обнаружил NtRootkit.774 в каком-то драйвере в винде. Поиск описания в Интернет NtRootKit c таким порядковым номером не дал результатов.
По рекомендациям VirusInfo сделал следующее:
Отключил восстановление системы.
Выполнил все необходимые проверки.
При загрузке в режиме SafeMode начало выдаваться предупреждение: Нажмите ESC для отказа от загрузки драйвера SPTD.sys - хрень какая-то - такого не было.
Проверил комп детально CureIt-ом при отключенных сетевых дровах - нашел 1 подозрительный файл и 7 зараженный - в Карантине Нортона.
Выполнил перезагрузку в режиме SafeMode с поддержкой сети - быстрая проверка CureIt ничего не дала
Выполнил еще 2 быстрые проверки CureIt в режиме SafeMode с разрешением и запретом загрузки драйвера SPTD.sys - все по нулям.
Полез в логи рутера -никакой активности на 25 порту .
Видимо, отключение функции восстановления системы выбило гада.
Все равно выполнил все пункты проверки и сбора информации через AVZ и HiJackThis
Логи приложены. Посмотрите, пожалуйста, что у меня там
Очень хотелось бы, чтобы Вы кинули пару идей насчет того, ЧТО ЭТО БЫЛО? Я стараюсь контролировать все, что происходит с компом. Но с таким я не сталивался.
Заранее спасибо, Андрей
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: