Показано с 1 по 20 из 20.

Вы это точно знаете

  1. #1
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29

    Вы это точно знаете

    Я прочитал правила форума. В сети стоит DrWeb Enterprise (ежедневное обновление), на входе в Net Nod32 . В сети в расшаренных папках и принтерах - The Porn Collection -. На одном из компов обнаружил icondrv.exe. ( и ntos.exe). Закрыл частично нет, порно не обновляется, но пустые папки периодически появляются. Антивирусы червяка пропустили, и при лечении не обнаруживают. Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши. Заранее благодарен.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    363
    Кто создает файлы, определить не получаеться?
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  4. #3
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши.
    Тео-/практически нужно сделать логи со всех машин и создать соотв. темы в разделе Помогите. Все остальное - гадание на кофейной гуще.

  6. #5
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Компов более 150, при работающем офисе - возможно только тео-, за один выходной вряд-ли справлюсь. Вопрос поставлю по другому. ICONDRVexe, кто сталкивался, чем его лечить.
    NOD его классифицирует как Win32.Autorun.Agent.GR

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Уважаемый, Вы меня не поняли: гадание - а в этом случае это только так называется - не наш метод. Имя файла ни в коем случае не является признаком его зловредности или полезности.
    Иногда помогает поиск в сети, но опять таки - это все бабушка надвое сказала.
    http://www.greatis.com/appdata/d/i/icondrv.exe.htm
    http://www.prevx.com/filenames/X8289...NDRV2EEXE.html

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Нужно заражённый файл послать в лаб как положено, вот и будет детект для всей вашей сети.
    Дрвеб довольно оперативно добавляют, с этим проблем не должно быть.
    Можете сделать логи с подозреваемого компьютера, может ещё что есть кроме вашего ICONDRV.exe

  9. #8
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Как положено отослал в NOD, жду неделю. Логи с подозреваемого компа, у меня все из 150 на подозрение, залетел, когда был отключен KerioWF.
    Drongo, я вас прекрасно понял, буду делать логи.
    А вот, что ещё есть - это красивая папка с названием - The Porn Collection -

    Добавлено через 10 минут

    Drogon, спасибо за ссылки, я уже там был. Ими я уже пользовался.
    Последний раз редактировалось Фролов А.Валерьевич; 24.03.2009 в 12:49. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    с нодом можно ждать долго
    вы же сказали что дрвеб у вас в сетке значит первым делом надо было дрвебу слать Пришлите нам по правилам: http://virusinfo.info/showthread.php...ewpost&t=37678, быстрее добавят

  11. #10
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Странно.. Совсем странно.. ТАких зверей, что НОД, что Доктор на ура ловят
    Left home for a few days and look what happens...

  13. #12
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Я сам был в ауе, DrWeb пользуюсь лет 5, и Серверным Enterprise и на магазинаx простыми агентами. C Kerio за место McAfee поставил Nod, за два года отловил штук 50. А тут такая непруха. Хорошо картинки успел накрыть, шеф очень хотел поразглядывать. Всё бы ничего, но расшаренные принтера периодически начинают печатать Документы низкого уровня, да нет задач, которые бы мы не решили, были бы бабки

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Не возможно обнаружить, в офисе много сетевых программ...
    Мне почему-то казалось что обнаружить можно..
    Последний раз редактировалось Kuzz; 05.07.2009 в 17:59.
    The worst foe lies within the self...

  15. #14
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Вещичка, конечно красивая. Но Windows Server 2003 у меня с доменом, а туда я доступ всем не дам никогда. Так, что аудит могу проводить только для себя. ( И ограниченного числа пользователей)
    Последний раз редактировалось Фролов А.Валерьевич; 25.03.2009 в 09:15.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    88
    Это как так? Домен есть, а пользователей в нём нет?

  17. #16
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Долгий рассказ, но суть в том, что в локальной сети присутствуют не только пользователи домена. Cетку не делил, все в одном диапазоне. А способ хороший, может ещё, что-нибудь подкинете.

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.
    Если установлен Энтерпрайз, то можно настроить спайдера на вывод расширенной информации, тогда можно будет увидеть, кто файлы дроппает.

    Добавлено через 1 минуту

    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.
    Слать примерно то, что НОД детектит, а Доктор - нет.
    Последний раз редактировалось borka; 28.03.2009 в 01:24. Причина: Добавлено
    ---
    С уважением,
    Borka.

  19. #18
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Прошёл по компам сетки с AVZ, AVPtool , убил 20 часов, обнаружил на двух машинках Trojan.Win32.Agent-ов . Закрыл авторумы, пролечил, тьфу-тьфу вроде чистенько стало. Пришли с авторумов флешек, Drweb enterprise не успел щёлкнуть пастью.

  20. #19
    Junior Member Репутация
    Регистрация
    11.04.2009
    Сообщений
    1
    Вес репутации
    28
    ESET NOD32 Antivirus BUSINESS EDITION 3.0.669.0 с обновлениями прекрасно валит эту хрень

  21. #20
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    29
    Не знаю, может после моего запроса и DrWeb эту хрень тоже стал рубить под корень.

Похожие темы

  1. Ответов: 37
    Последнее сообщение: 25.07.2014, 12:46
  2. Вы это точно знаете
    От Фролов А.Валерьевич в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 04.04.2009, 06:42
  3. знаете вирус RavMonE.exe?
    От denlion в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 07.04.2007, 20:52

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00946 seconds with 26 queries