Показано с 1 по 20 из 20.

Вы это точно знаете

  1. #1
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55

    Вы это точно знаете

    Я прочитал правила форума. В сети стоит DrWeb Enterprise (ежедневное обновление), на входе в Net Nod32 . В сети в расшаренных папках и принтерах - The Porn Collection -. На одном из компов обнаружил icondrv.exe. ( и ntos.exe). Закрыл частично нет, порно не обновляется, но пустые папки периодически появляются. Антивирусы червяка пропустили, и при лечении не обнаруживают. Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши. Заранее благодарен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    Кто создает файлы, определить не получаеться?
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  4. #3
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши.
    Тео-/практически нужно сделать логи со всех машин и создать соотв. темы в разделе Помогите. Все остальное - гадание на кофейной гуще.

  6. #5
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Компов более 150, при работающем офисе - возможно только тео-, за один выходной вряд-ли справлюсь. Вопрос поставлю по другому. ICONDRVexe, кто сталкивался, чем его лечить.
    NOD его классифицирует как Win32.Autorun.Agent.GR

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Уважаемый, Вы меня не поняли: гадание - а в этом случае это только так называется - не наш метод. Имя файла ни в коем случае не является признаком его зловредности или полезности.
    Иногда помогает поиск в сети, но опять таки - это все бабушка надвое сказала.
    http://www.greatis.com/appdata/d/i/icondrv.exe.htm
    http://www.prevx.com/filenames/X8289...NDRV2EEXE.html

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Нужно заражённый файл послать в лаб как положено, вот и будет детект для всей вашей сети.
    Дрвеб довольно оперативно добавляют, с этим проблем не должно быть.
    Можете сделать логи с подозреваемого компьютера, может ещё что есть кроме вашего ICONDRV.exe

  9. #8
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Как положено отослал в NOD, жду неделю. Логи с подозреваемого компа, у меня все из 150 на подозрение, залетел, когда был отключен KerioWF.
    Drongo, я вас прекрасно понял, буду делать логи.
    А вот, что ещё есть - это красивая папка с названием - The Porn Collection -

    Добавлено через 10 минут

    Drogon, спасибо за ссылки, я уже там был. Ими я уже пользовался.
    Последний раз редактировалось Фролов А.Валерьевич; 24.03.2009 в 12:49. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    с нодом можно ждать долго
    вы же сказали что дрвеб у вас в сетке значит первым делом надо было дрвебу слать Пришлите нам по правилам: http://virusinfo.info/showthread.php...ewpost&t=37678, быстрее добавят

  11. #10
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Странно.. Совсем странно.. ТАких зверей, что НОД, что Доктор на ура ловят
    Left home for a few days and look what happens...

  13. #12
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Я сам был в ауе, DrWeb пользуюсь лет 5, и Серверным Enterprise и на магазинаx простыми агентами. C Kerio за место McAfee поставил Nod, за два года отловил штук 50. А тут такая непруха. Хорошо картинки успел накрыть, шеф очень хотел поразглядывать. Всё бы ничего, но расшаренные принтера периодически начинают печатать Документы низкого уровня, да нет задач, которые бы мы не решили, были бы бабки

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Не возможно обнаружить, в офисе много сетевых программ...
    Мне почему-то казалось что обнаружить можно..
    Последний раз редактировалось Kuzz; 05.07.2009 в 17:59.
    The worst foe lies within the self...

  15. #14
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Вещичка, конечно красивая. Но Windows Server 2003 у меня с доменом, а туда я доступ всем не дам никогда. Так, что аудит могу проводить только для себя. ( И ограниченного числа пользователей)
    Последний раз редактировалось Фролов А.Валерьевич; 25.03.2009 в 09:15.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    Это как так? Домен есть, а пользователей в нём нет?

  17. #16
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Долгий рассказ, но суть в том, что в локальной сети присутствуют не только пользователи домена. Cетку не делил, все в одном диапазоне. А способ хороший, может ещё, что-нибудь подкинете.

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.
    Если установлен Энтерпрайз, то можно настроить спайдера на вывод расширенной информации, тогда можно будет увидеть, кто файлы дроппает.

    Добавлено через 1 минуту

    Цитата Сообщение от Фролов А.Валерьевич Посмотреть сообщение
    Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.
    Слать примерно то, что НОД детектит, а Доктор - нет.
    Последний раз редактировалось borka; 28.03.2009 в 01:24. Причина: Добавлено
    ---
    С уважением,
    Borka.

  19. #18
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Прошёл по компам сетки с AVZ, AVPtool , убил 20 часов, обнаружил на двух машинках Trojan.Win32.Agent-ов . Закрыл авторумы, пролечил, тьфу-тьфу вроде чистенько стало. Пришли с авторумов флешек, Drweb enterprise не успел щёлкнуть пастью.

  20. #19
    Junior Member Репутация
    Регистрация
    11.04.2009
    Сообщений
    1
    Вес репутации
    55
    ESET NOD32 Antivirus BUSINESS EDITION 3.0.669.0 с обновлениями прекрасно валит эту хрень

  21. #20
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    18
    Вес репутации
    55
    Не знаю, может после моего запроса и DrWeb эту хрень тоже стал рубить под корень.

Похожие темы

  1. Ответов: 37
    Последнее сообщение: 25.07.2014, 12:46
  2. Вы это точно знаете
    От Фролов А.Валерьевич в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 04.04.2009, 06:42
  3. знаете вирус RavMonE.exe?
    От denlion в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 07.04.2007, 20:52

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00231 seconds with 19 queries