Вы это точно знаете

Printable View

24.03.2009, 09:16
Фролов А.Валерьевич

Вы это точно знаете

Я прочитал правила форума. В сети стоит DrWeb Enterprise (ежедневное обновление), на входе в Net Nod32 . В сети в расшаренных папках и принтерах - The Porn Collection -. На одном из компов обнаружил icondrv.exe. ( и ntos.exe). Закрыл частично нет, порно не обновляется, но пустые папки периодически появляются. Антивирусы червяка пропустили, и при лечении не обнаруживают. Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши. Заранее благодарен.
24.03.2009, 10:15
Ego1st

Кто создает файлы, определить не получаеться?
24.03.2009, 11:19
Фролов А.Валерьевич

Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.
24.03.2009, 11:25
Rene-gad

[QUOTE=Фролов А.Валерьевич;376608]Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши.[/QUOTE]Тео-/практически нужно сделать логи со всех машин и создать соотв. темы в разделе Помогите. Все остальное - гадание на кофейной гуще.
24.03.2009, 11:56
Фролов А.Валерьевич

Компов более 150, при работающем офисе - возможно только тео-, за один выходной вряд-ли справлюсь. Вопрос поставлю по другому. [B]ICONDRVexe[/B], кто сталкивался, чем его лечить.
NOD его классифицирует как Win32.Autorun.Agent.GR
24.03.2009, 12:03
Rene-gad

Уважаемый, Вы меня не поняли: гадание - а в этом случае это только так называется - не наш метод. Имя файла ни в коем случае не является признаком его зловредности или полезности.
Иногда помогает поиск в сети, но опять таки - это все бабушка надвое сказала.
[url]http://www.greatis.com/appdata/d/i/icondrv.exe.htm[/url]
[url]http://www.prevx.com/filenames/X828949005754106858-0/ICONDRV2EEXE.html[/url]
24.03.2009, 12:21
drongo

Нужно заражённый файл послать в лаб как положено, вот и будет детект для всей вашей сети.
Дрвеб довольно оперативно добавляют, с этим проблем не должно быть.
Можете сделать логи с подозреваемого компьютера, может ещё что есть кроме вашего ICONDRV.exe ;)
24.03.2009, 12:49
Фролов А.Валерьевич

Как положено отослал в NOD, жду неделю. Логи с подозреваемого компа, у меня все из 150 на подозрение, залетел, когда был отключен KerioWF.
Drongo, я вас прекрасно понял, буду делать логи.
А вот, что ещё есть - это красивая папка с названием - The Porn Collection -

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Drogon, спасибо за ссылки, я уже там был. Ими я уже пользовался.
24.03.2009, 12:55
drongo

с нодом можно ждать долго :P
вы же сказали что дрвеб у вас в сетке :)значит первым делом надо было дрвебу слать ;) Пришлите нам по правилам: [url]http://virusinfo.info/showthread.php?goto=newpost&t=37678[/url], быстрее добавят :)
24.03.2009, 14:30
Фролов А.Валерьевич

Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.
24.03.2009, 14:40
ALEX(XX)

Странно.. Совсем странно.. ТАких зверей, что НОД, что Доктор на ура ловят
24.03.2009, 15:48
Фролов А.Валерьевич

Я сам был в ауе, DrWeb пользуюсь лет 5, и Серверным Enterprise и на магазинаx простыми агентами. C Kerio за место McAfee поставил Nod, за два года отловил штук 50. А тут такая непруха. Хорошо картинки успел накрыть, шеф очень хотел поразглядывать. Всё бы ничего, но расшаренные принтера периодически начинают печатать Документы низкого уровня, да нет задач, которые бы мы не решили, были бы бабки
24.03.2009, 18:04
Kuzz

[QUOTE=Фролов А.Валерьевич;376647]Не возможно обнаружить, в офисе много сетевых программ...[/QUOTE]
Мне почему-то казалось что обнаружить можно..
[IMG]http://virusinfo.info/attachment.php?attachmentid=120463&d=1237906982[/IMG]
25.03.2009, 06:44
Фролов А.Валерьевич

Вещичка, конечно красивая. Но Windows Server 2003 у меня с доменом, а туда я доступ всем не дам никогда. Так, что аудит могу проводить только для себя. ( И ограниченного числа пользователей)
25.03.2009, 09:02
MedvedD

Это как так? Домен есть, а пользователей в нём нет?
25.03.2009, 09:15
Фролов А.Валерьевич

Долгий рассказ, но суть в том, что в локальной сети присутствуют не только пользователи домена. Cетку не делил, все в одном диапазоне. А способ хороший, может ещё, что-нибудь подкинете.
28.03.2009, 01:23
borka

[QUOTE=Фролов А.Валерьевич;376647]Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.[/QUOTE]
Если установлен Энтерпрайз, то можно [url=http://wiki.drweb.com/index.php/SpIDer_Guard%C2%AE] настроить спайдера[/url] на вывод расширенной информации, тогда можно будет увидеть, кто файлы дроппает.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Фролов А.Валерьевич;376776]Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.[/QUOTE]
Слать примерно то, что НОД детектит, а Доктор - нет.
03.04.2009, 06:47
Фролов А.Валерьевич

Прошёл по компам сетки с AVZ, AVPtool , убил 20 часов, обнаружил на двух машинках Trojan.Win32.Agent-ов . Закрыл авторумы, пролечил, тьфу-тьфу вроде чистенько стало. Пришли с авторумов флешек, Drweb enterprise не успел щёлкнуть пастью.
12.04.2009, 14:56
3030

ESET NOD32 Antivirus BUSINESS EDITION 3.0.669.0 с обновлениями прекрасно валит эту хрень
13.04.2009, 06:15
Фролов А.Валерьевич

Не знаю, может после моего запроса и DrWeb эту хрень тоже стал рубить под корень.