На прошлой неделе столнулись со следующей ситуацией. Благо не в своей сети.
На комне стоит прокся и настроен DNS. Вдруг начались бесконечные запросы DNS и побежал траффик. Посмотрели соседскую сеть, а у них "песня". Касперский полгода не работает, юзверы разводят руками, типа, ну да ключик кончился, бывает. Начинаю искать, что может гнать траффик. Мучаю, мучаю комп, который в той сети считается главным, посмотрела ветки реестра, Автозагрузки, прогнали AdAware, Norton (пришлось установить) - ничего. Поставили сниффер, показывает, что по 25 порту бежит траффик. На файрволе закрыли 25ый порт. Траффик остановился. Но ведь это не решение проблемы...
На следующий день опять возвращаюсь к главному компу, сижу за ним час с открытым 25ым портом - тишина. Врубаю еще один комп из их сети и вот оно! Опять бесконечные запросы DNS и страшные перегрузки
на 25ом порту. Заразная машинка оказалась также без антивиря. Установили Norton, обновили базы, прогнали AdAware. Нортон только со второй попытки нашел Trojan.Goldun. Удалил файлик
msvcrl.dll и сказал, что комп здоров. Врубаю этот комп обратно в сеть и инет, поначалу тишина, а потооом... Весь экран усыпан проверкой писем, уходящих по 25ому порту (это Нортон работает). Смотрю сниффером и вижу: сначала идет запрос на
64.62.171.141:7711, дальше открывается 25ый порт и поперли письма во все концы света. Причем когда начинаются mail-бомбежки задействован Explorer.exe, т.е. родной виндусовый проводник. Проверяю его на подлинность - от Майкрософт. Дальше сниффер показывает, что после соединения с 64.62.171.141 на некоторое время задействуются процессы:
wmiprvse.dll и
netsh.exe. Если отрубить explorer.exe, то бомбежки прекращаются. В безопасном режиме меняю explorer.exe на такой же, но с соседнего компа. Не помогает...
Может, кто-то уже победил сей троян и подскажет где искать? Кстати, применяли утилиты по удалению какой-то разновидности этого Goldun'а - не помогает.
Заранее спасибо!
