Введение. Я не люблю ПО от Касперского! Не то чтобы у меня были какие-то очень конкретные к нему вопросы, но общая линия мне не нравится (речь идёт об антивирусах). Больше всего мне в нём не нравится скорость работы. По ходу, KIS меня тоже не очень любит, и именно об этом и пойдёт речь.

В это утро ничего не предвещало приступа рабочего геморроя... Я приехал к своим клиентам на Борщаговку, поделать там всяко-разно. Прозвонился один из директоров фирмы, сказал что второму надо на ноут поставить KIS2010, поскольку он купил акционный на 2 компа. Не вопрос: на ноуте стоит AVG, сносим-ставим; 15 минут, и собсна всё.
Ага. Почти так всё и получилось.
Сношу AVG, начинаю ставить KIS, который только что скачал с сайта. Ошибка в процессе инсталляции, точнее сообщение программы установки - надо для продолжения перезагрузить комп. ...?... Предполагаю, что остались следы сервиса от AVG (а Касперский ревнивый, как уродливая жена, и удаляется так же туго), соглашаюсь. Перезагрузка, и ВСЕ. Ноут - гальмо стояночное. Ядро стартует, Explorer после пары минут тормозов тож типо запустился, но спотыкается страшно. Три пальца для выяснения причины тормозов никакого эффекта не дают (сменил стандартный taskmanager на ProcessExplorer от SysInternals). Вомля, шотакоянах?! Попытка запустить его вручную тож никакого эффекта не даёт... АГА! Знаем мы эти штучки - вирусня в реестре в качестве оболочки запуска конкретного приложения себя прописывает - типо ты тут хоть как, а всё равно я запущусь. ОК, переименовываем "ProcessExplorer.exe" на мегаоригинальное "qwe.exe", запускаем, запустилось. Версия подтверждена.
Однако, СТОП! Откуда вирус? Только что стоял AVG, пусть он и не из лучших, но работает стабильно, и откровенных пидарасов в систему не пропускает. Кроме того, сообщение про необходимость перезагрузки я получил от инсталлера KIS2010, что было мной проконтролировано через тот же ProcessExplorer. Вот жеж йоп!
Надо напомнить, что я выгнал директора фирмы с его места для "5 минут антивирус поменять". Попадалово. ОК, тыкаю флешу, лезу в запасы, выужиываю оттуда drWeb'овский CureIt! 3-хдневной давности, начинаю проверять. Мать моя женщина!!! Практически все EXEшники в системных папках autoit'ом обёрнуты, но можно лечить. Лечим. Уже прошло полчаса, директор нервничает, я тоже, время от времени его посылаю нафиг с вопросами НУКОГДА. А шо делать?
Проверка заершена, перезапуск системы. И тут, как в плохом детективе, наступил полный писец. Ядро стартует, музычко имеетса, но Explorer ваще не проявляется.
Немного для сокращения текста - продолбался я до 23.30, и был вынужден утащить ноут домой на ночь, чтоб дома - основное условие Вынь не менять. БП, ясный пень, завтычил :(.
Короче, следующее утро. Уже была попытка поднять ноут с помощью ERDCommandera, но он, подлец, 2007 года, а я всё никак не удосужусь интегрировать туда дрова для новых контроллеров SATA, и винт он просто не видит. Именно тут и начинается операция, суть которой отображена в названии заметки.
У всех компов в офисе нет ветвителя питания с IDE на SATA. На каждом БП ТОЛЬКО ОДИН разьем питания этого типа, впаянный в маму БП. Я, ни минуты не задумываясь, беру два компа, и, с одного запитывая ноутный винт, шлейф кидаю на другой. Одновременное включение обоих системников.3.2.1... О, расчехлилсо!
На запущенной машине ставлю VMWare, создаю виртуалку, в качестве основного винта подключаю свежеподключенный ноутбучный с правом чтения/изменения, сую ERDComm в CD-ROM, указываю CD-ROM в качестве первого загрузочного для виртуалки, запускаем всю эту канитель. Ы! Работаит!
Дальше дело техники - откатываю на предыдущие точки, чтоб не копаться в реестре по причине неблагодарности этого дела; со второго (виртуального) CDка, на котором дистриб выни, вытаскиваю explorer.exe и ещё около десятка отсутствующих exeшников и dllок (кстати, впервые так встретилось - даже в точках отката этих файлов не было, типо их заразило, а потом пожрало); выдираю винт - втыкаю в ноут. ААААААА, работаит!!! ЙОПЕГОМАТЬ!!!
Реально - почти сутки убил.
Финал. На вопрос "Так что, будем KIS ставить" директор ответил "#(*%^(#*&^$*&@^$", что в вольном переводе можно обозначить как первый закон инженера: Работает - НЕ ТРОГАЙ НИЧЕГО, обезьяна; я ещё раз убедился, что моя неприязнь к KISу обоюдна.

P.S. Что самое интересное, по спокойному размышлению я пришёл к выводу:
Вариантов заражение было немного, на самом деле (отсортировано по возрастанию вероятности):
1. Поломали сайт Касперского и воткнули туда зараженный дистриб (ОЧЕНЬ маловероятно)
2. AVG носрал на KIS (типо тут я самый хороший)
3. DNS-подмена при скачивании дистриба
4. AVG (а он же free edition) не ловит rootkit'ы, а кто-то в системе как-то был...
5. Я не отключил WiFi при первичных махинациях, и как вариант в промежутке незащищённости была успешная атака со стороны зараженной машины в локальной сети, что приводит к ещё одному неутешительному выводу - надо шерстить весь офис на предмет всякой каки... Благо HPшников там хватает (и цветных тож, но это предмет отдельного поста).

Как-то вот так.