Перейти к содержанию

Recommended Posts

Schlecht

В общем, подхватил на флешку троян. Всплыл сей факт при автоматической проверке флеши КИСом 2010. Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине. Меня интересует вот что - можно ли как-нибудь теперь выцепить из логов или ещё откуда время заражения флеши?

На подозрении 2 машины с интервалом в 2 часа. Перед этим флешь была заведомо чистая. На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

Хочу подстраховаться - на предмет к кому ехать каяться если что, а кого пинать.

Спасибо.

Win XP SP3 если что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине.

1. Продукт создает резервные копии удаленных объектов

2. Продукт помещает в карантин подозрительные объекты

3. Карантин и резервные копии, это физически один и тот же каталог

4. Файлы можно восстановить только средствами Продукта

Но все это не поможет найти источник заражения флешки. Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Schlecht
Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Боюсь, может не прокатить - например, если он окажется на обоих машинах. Т.е. понятно, что скорее всего виноват первый, но это не 100% гарантия.

А какой-нибудь таймстамп в свойствах удалённого файла (был убит .exe) или время создания\модификации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Если вам нужно выяснить от кого пошло заражение, то в отчетах продукта можно увидеть только время детекта, а время появления вредоноса на компьютере, к сожалению, не увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Искать виноватых - дело неблагодарное.

Во всяком случае в заражении флешки всегда виноват её владелец.

Он куда-то её вставил или дал кому-то попользоваться.

На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

В этом безобразии виноват реальный (юридический) владелец этих компьютеров. Он не позаботился о защите (или не выделил средств на её приобретение) или не знал о её необходимости (или банально не слушал знающих людей).

непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине

В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Зачем?

1. По умолчанию, в автоматическом режиме работы Каспер именно так и делает

2. Не зависимо от режима работы в отчет будут попадать данные

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Зачем?... Каспер именно так и делает

А зачем он тогда ещё несколько раз досаждает запросами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А зачем он тогда ещё несколько раз досаждает запросами?

Ни один вопрос не задается по умолчанию. А то, что задается - это интерактивный режим. Два вопроса подряд могут быть заданы, если вредонос может быть пролечен (например, это вирус) и задается вопрос на лечение, а потом оказывается, что это сам файл вируса, а не зараженный им, и тогда поднимается запрос на удаление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а толку то это ничего не даст, задачи то уже нет
    • santy
      хорошо, бы, да, и эти события включить в образ автозапуска. 4698(S): A scheduled task was created. 4699(S): A scheduled task was deleted. похоже в самой задаче может быть установлено свойство удалить задачу, если не запланировано новых запусков. "Галка Удалить задание, если нет его повторения по расписанию, предназначена для того, чтобы удалить «одноразовые» задания из папки Назначенные задания в Панели управления. Установка этой галки приведет к удалению задания, если расписание его запуска не предусматривает последующих его запусков."  
    • demkd
    • santy
      да, неплохо. а отключенные задачи попадают в образ? или только активные? 4698(S): A scheduled task was created. 4699(S): A scheduled task was deleted. 4700(S): A scheduled task was enabled. 4701(S): A scheduled task was disabled.
    • demkd
      это излишние навороты и так уже навернуто столько, что все это хозяйство замечательно тормозит
×