Schlecht

Вычистил трояна -

В этой теме 8 сообщений

В общем, подхватил на флешку троян. Всплыл сей факт при автоматической проверке флеши КИСом 2010. Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине. Меня интересует вот что - можно ли как-нибудь теперь выцепить из логов или ещё откуда время заражения флеши?

На подозрении 2 машины с интервалом в 2 часа. Перед этим флешь была заведомо чистая. На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

Хочу подстраховаться - на предмет к кому ехать каяться если что, а кого пинать.

Спасибо.

Win XP SP3 если что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Троян он конечно вычистил, но поскольку никаких опций при проверке я не заметил, непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине.

1. Продукт создает резервные копии удаленных объектов

2. Продукт помещает в карантин подозрительные объекты

3. Карантин и резервные копии, это физически один и тот же каталог

4. Файлы можно восстановить только средствами Продукта

Но все это не поможет найти источник заражения флешки. Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Единственный вариант - посмотреть в Продукте, по какому детекту был найден вредонос и проверить подозрительные компы. Где встретите этого вредоноса, тот и был источником.

Боюсь, может не прокатить - например, если он окажется на обоих машинах. Т.е. понятно, что скорее всего виноват первый, но это не 100% гарантия.

А какой-нибудь таймстамп в свойствах удалённого файла (был убит .exe) или время создания\модификации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если вам нужно выяснить от кого пошло заражение, то в отчетах продукта можно увидеть только время детекта, а время появления вредоноса на компьютере, к сожалению, не увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Искать виноватых - дело неблагодарное.

Во всяком случае в заражении флешки всегда виноват её владелец.

Он куда-то её вставил или дал кому-то попользоваться.

На одной машине возможно сильно устаревший антивирь, на другой - вообще нет, но и к сети доступа тоже нет.

В этом безобразии виноват реальный (юридический) владелец этих компьютеров. Он не позаботился о защите (или не выделил средств на её приобретение) или не знал о её необходимости (или банально не слушал знающих людей).

непонятно, просто ли КИС потёр файлы или таки где сохранил в карантине

В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В "Настройках Защиты" на "Файловом антивирусе" выберите "Выполнять действие": Лечить и Удалять, если лечение невозможно.

И тогда в отчёте ("Полный отчёт") всё будет видно.

Зачем?

1. По умолчанию, в автоматическом режиме работы Каспер именно так и делает

2. Не зависимо от режима работы в отчет будут попадать данные

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зачем?... Каспер именно так и делает

А зачем он тогда ещё несколько раз досаждает запросами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А зачем он тогда ещё несколько раз досаждает запросами?

Ни один вопрос не задается по умолчанию. А то, что задается - это интерактивный режим. Два вопроса подряд могут быть заданы, если вредонос может быть пролечен (например, это вирус) и задается вопрос на лечение, а потом оказывается, что это сам файл вируса, а не зараженный им, и тогда поднимается запрос на удаление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS