EAlekseev Опубликовано 19 мая, 2010 Опубликовано 19 мая, 2010 Хотелось бы узнать умеет ли Kaspersky Rescue CD 10 искать вирусы в альтернативных потоках файлов NTFS?
Drru Опубликовано 20 мая, 2010 Опубликовано 20 мая, 2010 Если, что-то путаю, поправьте меня. Альтернативные потоки могут использоваться вредоносными программами только при активном заражении. При загрузки с аварийного диска запущенных вирусов быть не может.
Umnik Опубликовано 20 мая, 2010 Опубликовано 20 мая, 2010 Хотелось бы узнать умеет ли Kaspersky Rescue CD 10 искать вирусы в альтернативных потоках файлов NTFS? 8.0 Умел точно, я специально вводил этот кейс в тестпланы. Не думаю, что это стали отрезать на 10-ке. Через несколько минут проверю. Если, что-то путаю, поправьте меня. Путаешь. Поправляю.
EAlekseev Опубликовано 20 мая, 2010 Автор Опубликовано 20 мая, 2010 (изменено) 8.0 Умел точно, я специально вводил этот кейс в тестпланы. Не думаю, что это стали отрезать на 10-ке. Через несколько минут проверю. Мне принесли посмотреть ноутбук с порноблокером. Прогнал его Kaspersky Rescue CD 10. - Нашлось пару вирусов, но самого WinLock он не обнаружил. При анализе реестра пораженной машины из-под ERD Commander-а выяснилось, что зловред стартует через ключ AppInit_DLLs ссылаясь на поток в файле up_rl.cur. Удалил данную ссылку из реестра, переместил файл в другое место, плюс переместил пару новосозданных библиотек из System32. Компьютер ожил. Сейчас гоняю его DrWeb CureIt-ом. Всё, что я переместил в резервную папку, он определяет как Trojan.WinLock.1686. Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются. P.S: При загрузке с CD первое, что я сделал обновил антивирусные базы и закрутил все настройки проверки по максимуму. Изменено 20 мая, 2010 пользователем EAlekseev
Umnik Опубликовано 20 мая, 2010 Опубликовано 20 мая, 2010 Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются. Не знаешь, как проверить есть в базах или нет? http://www.kaspersky.ru/scanforvirus
EAlekseev Опубликовано 20 мая, 2010 Автор Опубликовано 20 мая, 2010 Не знаешь, как проверить есть в базах или нет? http://www.kaspersky.ru/scanforvirus А там разве базы будут отличные от тех, что я закачал при помощи Kaspersky Rescue CD?
Umnik Опубликовано 20 мая, 2010 Опубликовано 20 мая, 2010 Странно, что ты этот пост написал. Твои слова: "Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются." Я ответил, как проверить наличие в базах. Что и как обновляется - это другой вопрос и изначально он не ставился. Да, может быть разное. Если базы обновили на серверах после обновления их тобой для РД.
EAlekseev Опубликовано 20 мая, 2010 Автор Опубликовано 20 мая, 2010 Странно, что ты этот пост написал. Твои слова: "Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются." Ладно, всё равно уже поздно - вирусы я уже удалил. Вы обещали проверить, присутствует ли в LiveCD Лаборатории возможность сканирования потоков. Как успехи? Посмотрели?
Umnik Опубликовано 20 мая, 2010 Опубликовано 20 мая, 2010 Нет, я увлекся созданием стенда и уже накатил на него 2 ОСи %)
strat Опубликовано 20 мая, 2010 Опубликовано 20 мая, 2010 я проверил, видит он в потоках вирусы, вот только на вмваре курсор стал нажиматься странно, по кнопке попасть нельзя, надо метиться выше на пару сантиметров и тогда попадаешь куда надо, раньше такого не было.
EAlekseev Опубликовано 21 мая, 2010 Автор Опубликовано 21 мая, 2010 (изменено) я проверил, видит он в потоках вирусы, вот только на вмваре курсор стал нажиматься странно, по кнопке попасть нельзя, надо метиться выше на пару сантиметров и тогда попадаешь куда надо, раньше такого не было. О, спасибо! Значит этим продуктом пользоваться можно. Если бы потоки не сканировались, Live CD был бы просто бесполезен. Я боялся, что используемый драйвер NTFS для Linux ограничен по возможностям. Изменено 21 мая, 2010 пользователем EAlekseev
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти