Kaspersky Rescue CD 10

[EAlekseev]

Хотелось бы узнать умеет ли Kaspersky Rescue CD 10 искать вирусы в альтернативных потоках файлов NTFS?

[Drru]

Если, что-то путаю, поправьте меня.

Альтернативные потоки могут использоваться вредоносными программами только при активном заражении.

При загрузки с аварийного диска запущенных вирусов быть не может.

[Umnik]

Хотелось бы узнать умеет ли Kaspersky Rescue CD 10 искать вирусы в альтернативных потоках файлов NTFS?

8.0 Умел точно, я специально вводил этот кейс в тестпланы. Не думаю, что это стали отрезать на 10-ке. Через несколько минут проверю.

Если, что-то путаю, поправьте меня.

Путаешь. Поправляю.

[EAlekseev]

8.0 Умел точно, я специально вводил этот кейс в тестпланы. Не думаю, что это стали отрезать на 10-ке. Через несколько минут проверю.

Мне принесли посмотреть ноутбук с порноблокером. Прогнал его Kaspersky Rescue CD 10. - Нашлось пару вирусов, но самого WinLock он не обнаружил. При анализе реестра пораженной машины из-под ERD Commander-а выяснилось, что зловред стартует через ключ AppInit_DLLs ссылаясь на поток в файле up_rl.cur.

Удалил данную ссылку из реестра, переместил файл в другое место, плюс переместил пару новосозданных библиотек из System32. Компьютер ожил.

Сейчас гоняю его DrWeb CureIt-ом. Всё, что я переместил в резервную папку, он определяет как Trojan.WinLock.1686.

 

Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются.

 

P.S: При загрузке с CD первое, что я сделал обновил антивирусные базы и закрутил все настройки проверки по максимуму.

Изменено 20 мая, 2010 пользователем EAlekseev

[Umnik]

Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются.

Не знаешь, как проверить есть в базах или нет? http://www.kaspersky.ru/scanforvirus

[EAlekseev]

Не знаешь, как проверить есть в базах или нет? http://www.kaspersky.ru/scanforvirus

А там разве базы будут отличные от тех, что я закачал при помощи Kaspersky Rescue CD?

[Umnik]

Странно, что ты этот пост написал. Твои слова: "Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются." Я ответил, как проверить наличие в базах. Что и как обновляется - это другой вопрос и изначально он не ставился.

Да, может быть разное. Если базы обновили на серверах после обновления их тобой для РД.

[EAlekseev]

Странно, что ты этот пост написал. Твои слова: "Соответственно, либо вируса нет в базах, либо альтернативные потоки NTFS не сканируются."

Ладно, всё равно уже поздно - вирусы я уже удалил. Вы обещали проверить, присутствует ли в LiveCD Лаборатории возможность сканирования потоков. Как успехи? Посмотрели?

[Umnik]

Нет, я увлекся созданием стенда и уже накатил на него 2 ОСи %)

[strat]

я проверил, видит он в потоках вирусы, вот только на вмваре курсор стал нажиматься странно, по кнопке попасть нельзя, надо метиться выше на пару сантиметров и тогда попадаешь куда надо, раньше такого не было.

[EAlekseev]

я проверил, видит он в потоках вирусы, вот только на вмваре курсор стал нажиматься странно, по кнопке попасть нельзя, надо метиться выше на пару сантиметров и тогда попадаешь куда надо, раньше такого не было.

О, спасибо! Значит этим продуктом пользоваться можно. Если бы потоки не сканировались, Live CD был бы просто бесполезен. Я боялся, что используемый драйвер NTFS для Linux ограничен по возможностям.

Изменено 21 мая, 2010 пользователем EAlekseev