Перейти к содержанию

Recommended Posts

Schlecht

В общем, подхватил на флешку троян. Всплыл сей факт при автоматической проверке флеши КИСом 2010. Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине. Меня интересует вот что - можно ли как-нибудь теперь выцепить из логов или ещё откуда время заражения флеши?

На подозрении 2 машины с интервалом в 2 часа. Перед этим флешь была заведомо чистая. На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

Хочу подстраховаться - на предмет к кому ехать каяться если что, а кого пинать.

Спасибо.

Win XP SP3 если что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине.

1. Продукт создает резервные копии удаленных объектов

2. Продукт помещает в карантин подозрительные объекты

3. Карантин и резервные копии, это физически один и тот же каталог

4. Файлы можно восстановить только средствами Продукта

Но все это не поможет найти источник заражения флешки. Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Schlecht
Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Боюсь, может не прокатить - например, если он окажется на обоих машинах. Т.е. понятно, что скорее всего виноват первый, но это не 100% гарантия.

А какой-нибудь таймстамп в свойствах удалённого файла (был убит .exe) или время создания\модификации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Если вам нужно выяснить от кого пошло заражение, то в отчетах продукта можно увидеть только время детекта, а время появления вредоноса на компьютере, к сожалению, не увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Искать виноватых - дело неблагодарное.

Во всяком случае в заражении флешки всегда виноват её владелец.

Он куда-то её вставил или дал кому-то попользоваться.

На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

В этом безобразии виноват реальный (юридический) владелец этих компьютеров. Он не позаботился о защите (или не выделил средств на её приобретение) или не знал о её необходимости (или банально не слушал знающих людей).

непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине

В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Зачем?

1. По умолчанию, в автоматическом режиме работы Каспер именно так и делает

2. Не зависимо от режима работы в отчет будут попадать данные

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Зачем?... Каспер именно так и делает

А зачем он тогда ещё несколько раз досаждает запросами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А зачем он тогда ещё несколько раз досаждает запросами?

Ни один вопрос не задается по умолчанию. А то, что задается - это интерактивный режим. Два вопроса подряд могут быть заданы, если вредонос может быть пролечен (например, это вирус) и задается вопрос на лечение, а потом оказывается, что это сам файл вируса, а не зараженный им, и тогда поднимается запрос на удаление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      вообще то это была шутка
        А этого не будет, я уже это сказал ранее.
    • PR55.RP55
      " что бы образ создавался еще дольше " Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl Для процессов с корреляцией  wdsl  - замер производить однократно. Для процессов вне корреляции  wdsl производить серию замеров и выводить средний % для процесса. У всякого процесса может быть некий скачок... А усреднённый показатель будет более информативен. Или же производить серию замеров только для  GPU ------------ Да и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно, что позволит предотвратить накладки. Время затраченное на проверку ЭЦП компенсируется минимальным перечнем выгружаемых объектов. ЭЦП опять же проверяется выборочно - только для тех объектов которые uVS  предварительно назначил к выгрузке.
    • demkd
      оно и так в меню есть
        что бы образ создавался еще дольше? xD
      я подумаю
    • Лукин Вадим
      После строительства дома накопилось много мусора, который занимал место. Мусорка на районе у нас только для бытовых отходов, поэтому решал вопрос, куда его деть. Пока решал где взять машину и куда его вывезти, жена нашла в интернете компанию https://musor-kill.ru/ Они приехали в тот же день и все забрали. Вот так, женщины в некоторых вопросах компетентнее нас будут)
    • Лукин Вадим
      Нравится, когда кто-то привозит из другой страны магнитик. Но в этот момент хочется самому рвануть куда-то)
×