вроде работает. Правда когда на другом серере drweb то прокся чуть тормознее - а пределах того же сервера разместил DRWEB+ICAP и сквида все чуток лучше.
squid из sles 11 sp2 уже собран с icap клиентом.
все слегка подтормаживает но не смертельно.
буду наблюдать дальше .... надо бы статистики поболее как он режет фсякую фигню типа java эксплойтов и пр.
а то недавно гонял на 1 станции свежего клона carberp .... имеетсря зараза в бутсекторе + в хвосте в своб секторах NTFS своя шифрованная fs. процесса как такового нет тоже.
имеется code injections в explorer.exe.
всяческие tdsskiller и прочее ничего в бутсекторе не видят ... только uVS при загрузке из WinPE пишет что сигнатура бутсектора не опознана.
заметил что станция идет через проксю на http://абракадабра-из-букв-и-цифр.com {причем перебираются урлы по алгоритму определенному}. иногда на той стороне отвечает http сервер и пошел обмен мелкими HTTP пакетами. Домен зареган 1-2 дня назад в штатах. Чуть позже домен мрет. И по кругу.
и ломится по http легальный процесс explorer.exe ...
Лечилово на станции:
1. вынес ремоту (tekton-it rserv)
2. вычистил бутсектора через загруженный с CD recovery console (fixboot,fixmbr). венда сразу же усиленно чекать NTFS - выносить криптофс
3. на станции запретил ходить explorer.exe куда либо по TCP - он бедняга каждую минуту ломится и обламывается жОстко :-/
разослал в вируслабы dll которая занимается code injections (хелперы ее таки не заметили - пришлось включать свою евристику)
таки через нек время появилсо детект - был вынесен автозапуск и тело вируса. Причем зараза нацелена на кражу ключей для ДБО.
И что характерно - код вылизан - никаких глюков и побочных эффектов - если б не глаза и tail -f /var/log/squid/access.log никто б его не заметил....