-
Junior Member
- Вес репутации
- 56
Вы это точно знаете
Я прочитал правила форума. В сети стоит DrWeb Enterprise (ежедневное обновление), на входе в Net Nod32 . В сети в расшаренных папках и принтерах - The Porn Collection -. На одном из компов обнаружил icondrv.exe. ( и ntos.exe). Закрыл частично нет, порно не обновляется, но пустые папки периодически появляются. Антивирусы червяка пропустили, и при лечении не обнаруживают. Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши. Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Кто создает файлы, определить не получаеться?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 56
Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.
-
Сообщение от
Фролов А.Валерьевич
Как вычислить заразу в сетке, и чём её пролечить, компов выше папиной крыши.
Тео-/практически нужно сделать логи со всех машин и создать соотв. темы в разделе Помогите. Все остальное - гадание на кофейной гуще.
-
-
Junior Member
- Вес репутации
- 56
Компов более 150, при работающем офисе - возможно только тео-, за один выходной вряд-ли справлюсь. Вопрос поставлю по другому. ICONDRVexe, кто сталкивался, чем его лечить.
NOD его классифицирует как Win32.Autorun.Agent.GR
-
Уважаемый, Вы меня не поняли: гадание - а в этом случае это только так называется - не наш метод. Имя файла ни в коем случае не является признаком его зловредности или полезности.
Иногда помогает поиск в сети, но опять таки - это все бабушка надвое сказала.
http://www.greatis.com/appdata/d/i/icondrv.exe.htm
http://www.prevx.com/filenames/X8289...NDRV2EEXE.html
-
-
Нужно заражённый файл послать в лаб как положено, вот и будет детект для всей вашей сети.
Дрвеб довольно оперативно добавляют, с этим проблем не должно быть.
Можете сделать логи с подозреваемого компьютера, может ещё что есть кроме вашего ICONDRV.exe
-
-
Junior Member
- Вес репутации
- 56
Как положено отослал в NOD, жду неделю. Логи с подозреваемого компа, у меня все из 150 на подозрение, залетел, когда был отключен KerioWF.
Drongo, я вас прекрасно понял, буду делать логи.
А вот, что ещё есть - это красивая папка с названием - The Porn Collection -
Добавлено через 10 минут
Drogon, спасибо за ссылки, я уже там был. Ими я уже пользовался.
Последний раз редактировалось Фролов А.Валерьевич; 24.03.2009 в 12:49.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 56
Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.
-
Странно.. Совсем странно.. ТАких зверей, что НОД, что Доктор на ура ловят
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 56
Я сам был в ауе, DrWeb пользуюсь лет 5, и Серверным Enterprise и на магазинаx простыми агентами. C Kerio за место McAfee поставил Nod, за два года отловил штук 50. А тут такая непруха. Хорошо картинки успел накрыть, шеф очень хотел поразглядывать. Всё бы ничего, но расшаренные принтера периодически начинают печатать Документы низкого уровня, да нет задач, которые бы мы не решили, были бы бабки
-
Сообщение от
Фролов А.Валерьевич
Не возможно обнаружить, в офисе много сетевых программ...
Мне почему-то казалось что обнаружить можно..
Последний раз редактировалось Kuzz; 05.07.2009 в 17:59.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 56
Вещичка, конечно красивая. Но Windows Server 2003 у меня с доменом, а туда я доступ всем не дам никогда. Так, что аудит могу проводить только для себя. ( И ограниченного числа пользователей)
Последний раз редактировалось Фролов А.Валерьевич; 25.03.2009 в 09:15.
-
Это как так? Домен есть, а пользователей в нём нет?
-
-
Junior Member
- Вес репутации
- 56
Долгий рассказ, но суть в том, что в локальной сети присутствуют не только пользователи домена. Cетку не делил, все в одном диапазоне. А способ хороший, может ещё, что-нибудь подкинете.
-
Сообщение от
Фролов А.Валерьевич
Не возможно обнаружить, в офисе много сетевых программ, и при открытии проводника в Winde, любой может раскидываться по сетевым папкам.
Если установлен Энтерпрайз, то можно настроить спайдера на вывод расширенной информации, тогда можно будет увидеть, кто файлы дроппает.
Добавлено через 1 минуту
Сообщение от
Фролов А.Валерьевич
Так DrWeb его не видит, что слать. С утра проверил Web - 121 комп, нету ничего. А папки The Porno ( уже пустые) сидят у всех.
Слать примерно то, что НОД детектит, а Доктор - нет.
Последний раз редактировалось borka; 28.03.2009 в 01:24.
Причина: Добавлено
---
С уважением,
Borka.
-
Junior Member
- Вес репутации
- 56
Прошёл по компам сетки с AVZ, AVPtool , убил 20 часов, обнаружил на двух машинках Trojan.Win32.Agent-ов . Закрыл авторумы, пролечил, тьфу-тьфу вроде чистенько стало. Пришли с авторумов флешек, Drweb enterprise не успел щёлкнуть пастью.
-
Junior Member
- Вес репутации
- 55
ESET NOD32 Antivirus BUSINESS EDITION 3.0.669.0 с обновлениями прекрасно валит эту хрень
-
Junior Member
- Вес репутации
- 56
Не знаю, может после моего запроса и DrWeb эту хрень тоже стал рубить под корень.