При подключении флэшки - угроз не обнаружено. При проверке - вирус

[PitBuLL 35]

KIS 20.0.14.1085 (l)

 

Принесли флэшку.

Подключаю в 20:24. Ни какой реакции от KIS 20.0.14.1085 (l). В отчете на 20:24: Проверка внешних устройств - Угроз не обнаружено.

Открываю проводник, проверяю флэшку вручную в 20:25 - вирус! Удален. В отчете на 20:25: Проверка внешних устройств - Обнаружено объектов 1, нейтрализовано 1, не вылечено 0.

Почему при подключении флэшки KIS не обнаружил вирус сразу? В отчете: Проверка внешних устройств - Угроз не обнаружено. И почему только при проверке флэшки в проводнике, самому - только тогда KIS обнаруживает вирус?

 

Сриншоты из отчета:

 

 

 

[andrew75 981]

При проверке внешних устройств при подключении, по-умолчанию проверяется только корневая папка устройства - https://support.kaspersky.com/KIS/2020/ru-RU/68154.htm

У вас же вирус был в папке \sonics

[PitBuLL 35]

Ни какого вреда системе такой вирус (не обнаруженный KIS при подключении флэшки) не несёт, до момента реальной (полноценной) проверки KIS-ом флэшки уже в проводнике? 

[andrew75 981]

Нет.

При желании режим проверки можно изменить. 

Но я например вообще отключаю проверку флешек при подключении, поскольку не вижу в этом смысла.

Если на флешке будет активная угроза, то KIS ее обнаружит при проявлении этой активности.

[PitBuLL 35]

Сейчас такое время (начался новый учебный год), что придется время от времени подключать к ПК разные флэшки, которые будут в ходу по разным учреждениям. И возможно, что на них опять будут заносить, ещё чего вредоносного.

Как лучше поступить? Каждый раз в проводнике проверять флэшки после подключения?

Не может такое случиться, что только (сразу) при подключении флэшки "зараза" попадёт в систему?

[andrew75 981]

Я же не зря вам дал ссылку. Там написано какие варианты действий можно настроить при подключении внешних носителей. В частности можно выполнять полную проверку файлов на внешнем устройстве.

[regist 598]

20 часов назад, PitBuLL сказал:

Ни какого вреда системе такой вирус (не обнаруженный KIS при подключении флэшки) не несёт

В теории в корне флешки может быть авторан, а где-то в подпапке сам вирус им запускаемый. Если проверяет только корень, то вирь не найдёт, а он запустится (если запуск не отключён).

19 часов назад, PitBuLL сказал:

Не может такое случиться, что только (сразу) при подключении флэшки "зараза" попадёт в систему?

Может, написал как раз про это. Для предотвращения этого советую отключайте автозапуск с флешек и со всех съёмных устройств (кроме дисков). На современных ОС он, вроде правда, по умолчанию отключён, но лучше всё равно перепроверить/отключить.

 

И разумеется это всё не спасёт если появится актуальная угроза аналогичная тому, как когда-то были вирусные ярлыки от стакснета.

 

18 часов назад, regist сказал:

Для предотвращения этого советую отключайте автозапуск с флешек и со всех съёмных устройств (кроме дисков). На современных ОС он, вроде правда, по умолчанию отключён, но лучше всё равно перепроверить/отключить.

Отключить автозапуск можно и скриптом AVZ, для этого

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 if MessageDLG('Отключить автозапуск, со всех устройств, кроме CD/DVD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); 
end.

 

[PitBuLL 35]

18 часов назад, regist сказал:

На современных ОС он, вроде правда, по умолчанию отключён,

Ни когда в это не вдавался. Сейчас посмотрел в Windows 10 - параметры\ устройства\ автозапуск - Использовать автозапуск для всех носителей и устройств: Вкл. Для "Съемный носитель" - Выбор значения по умолчанию.

 

Но в этом конкретном случае, KIS бы всё равно не дал бы запуститься установщику с вирусом? 

 

При подключении флэшки:

30.09.2020 20.24.51;Проверка внешних устройств;Угроз не обнаружено;0;0;0;Вчера, 30.09.2020 15:16;1 секунда;09/30/2020 20:24:51

Когда сам выбрал флэшку для проверки в проводнике:

30.09.2020 20.25.08;Проверка внешних устройств;Задача запущена;H:\;09/30/2020 20:25:08
30.09.2020 20.25.12;Обнаружен объект (файл);H:\sonics\game.exe;H:\sonics\game.exe;HEUR:Worm.Win32.Generic

30.09.2020 20.25.12;Объект (файл) не обработан;H:\sonics\game.exe;H:\sonics\game.exe;HEUR:Worm.Win32.Generic;Отложено

30.09.2020 20.25.20;Обнаруженный объект (файл) помещен на карантин;H:\sonics\game.exe;H:\sonics\game.exe;HEUR:Worm.Win32.Generic
30.09.2020 20.25.20;Обнаруженный объект (файл) удален;H:\sonics\game.exe;H:\sonics\game.exe;HEUR:Worm.Win32.Generic

 

 В Windows 10 - параметры\ устройства\ автозапуск - Использовать автозапуск для всех носителей и устройств: Вкл. Для "Съемный носитель" - Выбор значения по умолчанию.

Выбор значения по умолчанию - это значит как?
Например, только при подключении флэшки к USB с вирусом установщиком внутри, сразу может начаться установка (даже ещё не открыв флэшку в проводнике для просмотра файлов)?

Изменено 30 сентября, 2020 пользователем PitBuLL

[andrew75 981]

http://composs.ru/windows-10-autoplay/

 

Выбор значения по-умолчанию означает, что именно это действие будет применяться при подключении съемных носителей.

1 час назад, PitBuLL сказал:

Например, только при подключении флэшки к USB с вирусом установщиком внутри, сразу может начаться установка (даже ещё не открыв флэшку в проводнике для просмотра файлов)?

может. Именно поэтому @regist советует отключить автозапуск.

[PitBuLL 35]

6 минут назад, andrew75 сказал:

http://composs.ru/windows-10-autoplay/

 

Выбор значения по-умолчанию означает, что именно это действие будет применяться при подключении съемных носителей.

может. Именно поэтому @regist советует отключить автозапуск.

При подключении к компьютеру съемных носителей, таких как CD, DVD, Карта памяти и USB-флешка, появляется всплывающее окно, называемое «Автозапуск», который автоматически определяет тип съемного устройства и предлагает вам несколько стандартных действий
Источник: http://composs.ru/windows-10-autoplay/

 

Я это знаю. Когда подключаю свои внешние устройства (флэшки, внешние жесткие диски), то всплывает оповещение из центра уведомлений - "какие действия выполнить с устройством?". Выбираю - "ни каких действий", после открываю проводник, при необходимости проверяю флэшку на вирусы (если она была вне дома).

 

В этом случае, с флэшкой с вирусом, то же запрос (всплыл) был: "какие действия выполнить с устройством?". Но я не выбрал пункт: "ни каких действий", отвлёкся. А через пару секунд этого оповещения в центре уведомлений уже не было. Далее открыл проводник, выбрал проверить флэшку на вирусы. KIS обнаружил вирус.

 

[Ummitium 257]

Боюсь, что это не вирус, а ложное срабатывание. Восстановить бы файл и отправить на перепроверку:
https://opentip.kaspersky.com/?"