Перейти к содержанию

Recommended Posts

Schlecht

В общем, подхватил на флешку троян. Всплыл сей факт при автоматической проверке флеши КИСом 2010. Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине. Меня интересует вот что - можно ли как-нибудь теперь выцепить из логов или ещё откуда время заражения флеши?

На подозрении 2 машины с интервалом в 2 часа. Перед этим флешь была заведомо чистая. На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

Хочу подстраховаться - на предмет к кому ехать каяться если что, а кого пинать.

Спасибо.

Win XP SP3 если что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине.

1. Продукт создает резервные копии удаленных объектов

2. Продукт помещает в карантин подозрительные объекты

3. Карантин и резервные копии, это физически один и тот же каталог

4. Файлы можно восстановить только средствами Продукта

Но все это не поможет найти источник заражения флешки. Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Schlecht
Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Боюсь, может не прокатить - например, если он окажется на обоих машинах. Т.е. понятно, что скорее всего виноват первый, но это не 100% гарантия.

А какой-нибудь таймстамп в свойствах удалённого файла (был убит .exe) или время создания\модификации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Если вам нужно выяснить от кого пошло заражение, то в отчетах продукта можно увидеть только время детекта, а время появления вредоноса на компьютере, к сожалению, не увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Искать виноватых - дело неблагодарное.

Во всяком случае в заражении флешки всегда виноват её владелец.

Он куда-то её вставил или дал кому-то попользоваться.

На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

В этом безобразии виноват реальный (юридический) владелец этих компьютеров. Он не позаботился о защите (или не выделил средств на её приобретение) или не знал о её необходимости (или банально не слушал знающих людей).

непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине

В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Зачем?

1. По умолчанию, в автоматическом режиме работы Каспер именно так и делает

2. Не зависимо от режима работы в отчет будут попадать данные

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Зачем?... Каспер именно так и делает

А зачем он тогда ещё несколько раз досаждает запросами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А зачем он тогда ещё несколько раз досаждает запросами?

Ни один вопрос не задается по умолчанию. А то, что задается - это интерактивный режим. Два вопроса подряд могут быть заданы, если вредонос может быть пролечен (например, это вирус) и задается вопрос на лечение, а потом оказывается, что это сам файл вируса, а не зараженный им, и тогда поднимается запрос на удаление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Trumanko
      у меня так сосед проигрался в вулкан клубе http://volcano-money.ru/oficialnyj-igrovoj-klub-vulkan-777-na-dengi и потом занимал везде, где мог. Добром это не закончилось. Так что брать деньги в долг не стоит.
    • Trumanko
      я иногда вижу правильную тенденцию на финансовых рынках и работаю на платформе олимп трейд https://binarnye.ru/olymptrade-binarnye. Заработать не особо много выходит, но все равно приятно. Я просто разбираюсь в этом.
    • demkd
      Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.
    • PR55.RP55
      Почему  в списке два процесса uVS - ?
    • clocot
      Сейчас вообще можно делать украшения своими руками , особенно актуально в канун новогодних праздников. Думаю что каждый сейчас думает,  что бы такое интересное и необычное можно подарить. И ведь это может быть реальным решением, оригинальный подарок созданный своими руками, не будет иметь никаких аналогов, тем более на прилавках магазинов
×