autorun
По работе приходится подсоедениять флеху к разным компам, в день 10-15 машин, в разных местах.
Проблема: задолбали черви и вирусы. Вопрос: можно ли как нибудь запретить изменение autorun.inf, галочку тока для чтения не предлогать - не работат. Для прикола скажу каспер находит в день 1 авторан + 5-6 вирей и червей, естественно авторан показвает на последний вирь. Кто нибудь подскажите! Решение Прочтите статью базы знаний Отмена принудительного отключения автоматического запуска в реестре Windows и установите обновление, соответствующее вашей ОС. После установки обновления приведенный ниже REG-файл будет работать должным образом. См. также сообщение 106 Распакуйте файл AutorunDisabled.zip и примените reg файл Или скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Код:
Windows Registry Editor Version 5.00 Другие решения Утилита Flash Drive Disinfector. Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf Перед запуском Flash Drive Disinfector не забудьте временно отключить антивирус. Решение от Panda USB and AutoRun Vaccine - описание на русском |
Akboozat, запаролить флешку программами от разработчика (пркатически у всех есть). Создать личную зону на весь объем.
|
Машины в разных оффисах, там не разрешат ставить свои проги, так что я там несмогу со своей флехай работать
|
Цитата:
|
Akboozat, при вставке флешку в компютер зажмите клавишу Shift, тем самым вы отмените Autorun
используйте также утилиту для удаления данного типа вирусов она назывваеться anti_autorun офф сайт |
Baw17, IMHO смысла нажимать на клавишу Shift при подключении флэшки нет, т.к. при этом автозапуска по любому не происходит (в отличии от CD/DVD-дисков). Вирус указаный в autorun.inf скрытно запускается IMHO только при попытке открыть диск связанный с флэшкой с помощью двойного клика (и в некоторых случаях одинарного клика, например: на иконке диска в панели быстрого запуска).
З.Ы.: Сказаное мной относится к WinXP. |
А можно ли сделать autorun.inf как системный файл. У меня на флехе autorun.inf лежит как указатель на ico файл, чтобы видеть флешку в моём компьтере.
|
Akboozat, попробуй сделать проще: отформатируй флешку с использованием файловой системы NTFS и поиграйся с правами данного файла - то бишь, закрой доступ на файл ВСЕМ, в т.ч. и системе.
|
Я пробовал по-разному решить этот вопрос. По моему единственное решение - постоянное обновление антивируса.
Т.к. даже если разными методами запрещать автозапуск с флешки в дальнейшем в любом случае надо будет открывать свою флешку через Мой компьютер. А там уже прога из autorun'а всегда запускается - пробовал сам. Даж прописывал в авторане стандартный notepad - он запускался. Дальше уже работа антивируса - обнаружит или нет. Как вариант я отменил на своем компе автозапуск. Дальше смотрю флеш через FAR или TCommander - это уже неважно, лишь бы показывал скрытые файлы. Если в корне есть авторан, тогда удаляю его и прогу которая в нем прописана. Все. |
Tturik, так как раз и решаем эту проблему чтобы не париться как ты делаешь... :read:
|
Baw17, а мне лично не нравится этот anti_autorun. Сносит все на своем пути не разбираясь что написано в этом авторане... даже ссылку на иконку, и то сносит -
|
Цитата:
Цитата:
|
Baw17
Цитата:
|
Цитата:
Вот простой пример файла autorun.inf - попробуйте, и сразу всё поймёте! Код:
[AutoRun] В таких случаях безопаснее, на мой взгляд, включить левую панель Проводника (Папки) и заходить через неё. |
Цитата:
Вот тока я видел модификацию, которая сидя в памяти (в виде exe), на все диски в системе, копирут свой autorun. Вот тут флешку, уже ничто не спасет. Но самое главное, по моему тут большинсство просто не поняли вопроса. Надо защитить флешку (раз исчез с них, переключатель - чтение\запись), что бы с таким подарком на ней, не притащить ее (не домой, дома то антивирь обновляеться), к другим людям, если у них нет актуальной защиты. Во всяком случае для меня, вот основная цель этого вопроса. Я уже думал, старую флешку на 128MB взять, на ней есть перемычка. Сначала ее в "бой", а потом уж основные, без боязненно вставлять. |
Цитата:
|
Вложений: 1
Отключаем службу Определение оборудования оболочки и смотрим прикрепленный мной архивчик (там несколько ключиков реестра по отключению этого безобразия)
p/s: работаю за спасибо :) |
Упраление автозапуском (Autorun) приводов (CD-ROM, Flash) в windows 2000/XP/2003
оригинал FAQ: http://forum.ixbt.com/topic.cgi?id=22:63213 Для всех вышеперечисленных версий кроме XP Home Edition: пуск - выполнить - gpedit.msc - конфигурация компутера - административные шаблоны - Система - отключить автозапуск (выберите, где отключать). Далее примените новую политику командой gpupdate в консоли. В Home оснастка управления групповыми политиками отсутствует,однако тот же эффект может быть достигнут ручной правкой реестра: 1) Пуск -> выполнить -> regedit 2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3) Создать новый раздел 4) Переименовать созданный раздел в Explorer 5) В этом разделе создать ключ NoDriveTypeAutoRun Допустимые значения ключа: 0x1 - отключить автозапуск на приводах неизвестных типов 0x4 - отключить автозапуск сьемных устройств 0x8 - отключить автозапуск НЕсьемных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков. Значения могут комбинироваться суммированием их числовых значений. Значения по умолчанию: 0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков) 0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков) Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его. Ссылки по теме: http://www.microsoft.com/resources/d...ntry/91525.asp http://support.microsoft.com/default...en-us%3B895108 Также возможно отключение автозапуска диска, которому присвоена заранее известная буква: Раздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer Ключ: NoDriveAutoRun Допустимые значения: 0x0–0x3FFFFFF Значение представляет собой "битовую карту" дисков справа налево - крайний правый бит (в двоичном представлении) соответствует диску А, второй справа - B и так далее. Для отключения автозапуска бит должен быть установлен. Значение по умолчанию: 0x0 Источник информации: http://www.microsoft.com/resources/d...ntry/93506.asp Изменения в реестре применяются после перезагрузки. Также возможно использование способов, описанных в FAQ: http://www.3dnews.ru/reviews/softwar...index04.htm#12 http://www.3dnews.ru/reviews/softwar.../index03.htm#5 |
и так какой способ наиболее оптимальнее?
|
Подытоживать пока рано. Думается, способы подходящие для сисадмина на предприятии, мало годятся для обычного пользователя, который пришёл с флэшкой к другу что-то скинуть... Ну не будете же вы править реестр в чужом компе, к тому же смысла в этом... но об этом ниже.
Сразу оговорюсь, что далее речь пойдёт именно об "обычном пользователе", хотя вряд ли можно применять этот термин к завсегдатаям форума oszone =) Так вот, многие не обратили внимание на очевидные факты, а именно: 1. Как уже здесь писалось, исполняемые файлы с USB-flash не запускаются автоматически при вставке. Поэтому все советы, касающиеся отключения автозапуска дисков в данном случае бессмысленны! 2. Запуск вируса, или трояна, происходит не при вставке заражённого USB-flash диска, а при попытке его открытия! Перечитайте мой предыдущий пост, и проверьте работу дисков с указанным файлом autorun.inf ! Даже если у вас отключен автозапуск, всё равно при попытке открытия диска, - не важно, двойным кликом ЛКМ, или с помощью контекстного меню через ПКМ, - произойдёт запуск программы! Для предотвращения этого самая простая рекомендация - открывайте съёмные диски через левую панель проводника - "Папки"! И разумеется, показ скрытых и системных файлов должен быть включен, и рекомендация не запускать неизвестные файлы актуальна как никогда! Полагаться же целиком на антивирус, имхо, не стоит... И способ для радикалов - отключение службы "Определение оборудования оболочки". Это полностью отключает обработку файлов autorun.inf, а заодно и лишает некоторых возможностей, типа назначения значка флэшки (иконки), произвольного её наименования, и т.д. Вышесказанное касается защиты своего компьютера от подозрительных флэшек. Что же касается защиты своей флэшки при её состыковке с подозрительным компьютером, тут тоже вариантов негусто. Да, жалко, что сейчас флэшку с переключателем защиты от записи днём с огнём не сыщешь, этот вариант не проходит по причине экзотичности. Вариант защиты паролем... Не знаю как для других, но вот к моей Transcend T120 для чтения запароленных файлов потребуется утилита mFormat, и что же я должен делать? Таскать вторую флэшку с этой утилитой?! Тоже не вариант. Что же остаётся? Опять только одно - форматировать в NTFS ! А созданному самолично файлу autorun.inf присваивать доступ пользователю SYSTEM "только для чтения", а остальных вообще удалить. Добавлено: Способ не работает, смотри пост 33. |
DmB89,
в том и дело вирус копируется на флешку и заменяет собой твой созданный autorun.inf и сам становится system в NTFS единственно пока решение включенный антивирус перед подключением флешки так как обычно вирус который у меня появляется если сразу его перехватить все нормально а если он зайдет то вырубает каспера сам( |
aset,
имеется в виду не атрибут файла "системный", а права доступа к файлу! В контекстном меню файла - "Свойства", в свойствах вкладка "Безопасность". Чтобы эта вкладка отображалась, в "Свойствах папки" на вкладке "Вид" должен быть снят флажок "Использовать простой общий доступ к файлам (рекомендуется)". |
То, что приводил я в качестве ключей реестра, а также предложение Tomset, о запрете AutoPlay через локальную (или доменную) политику безопасности не решат тот факт, что флешка с вирусом типа Autorun.inf остается потенциально опасной даже при наличии антивируса. Имею горький опыт :)
Но поверьте, заверения DmB89, что Цитата:
1) Автозапуск в XP разделен на AutoPlay и Autorun. Флеш-вирусы уже давно научились (при плохой предварительной антивирусной защите) вписывать запуск на себя в ветке Mount2, отвечающей за AutoPlay. А так как по дефаулту он включен, отсюда и итог заражения. Приведенные мной ключи реестра отрезают им (вирусам) эту возможность. 2) Бесполезно ставить запреты на изменения Autorun.inf только для System, так как обычно и в основном вирусы работают либо от этой учетной записи либо от имени текущего пользователя с его правами 3) Отключение службы Определение оборудования оболочки отключает глубже функции автозапуска у флешек, а именно отработку файла Autorun.inf. Согласен полностью с DmB89, что это не лучший вариант для обычного пользователя (я сисадмин :)), что на чужом компьютере не побезобразничаеш. Но все рекомендации очень помогают на своем, родном компьютере или в своей сетке (домене если хотите). И метод отнюдь не радикален. Такова жизнь, что в угоду безопасности надо идти в ущерб некоторым нужным-ненужным функциям. Понятие радикальности метода улетучивается когда у тебя не 20 компов, а 400 и более как у меня в офисе. Поэтому режем на корню. 4) Цитата:
Извиняюсь перед DmB89, за мою критику. И советую aset, выбрать для него самый оптимальный вариант. Я свой выбрал. Это связка приведенных ключей реестра (собственно вся локальная политика XP и проводится через реестр)+отключение службы Определение оборудования оболочки + хороший антивирус с последними базами. Спастись от заражения флешки на чужом компьютере (где Вы не хозяин) врятли удаться, но свой от инфекции Вы убережете :) |
Давайте еще представим что у нас получилось запретить вирусу изменять Autorun.inf, но ничто не мешает на зараженном компьютере ему заразить остальные и в отчасти испольяемые файлы типа Setup.exe или какой-нибудь хороший Autorun.exe используемый например для менюшек и очень часто..
Никто не гарантирует, что защищенный совсех сторон файл на флешке Autorun.inf не содержит команду на запуск этого меню.. а как следствие запуск вируса. В виду это логичнее убрать такую возможность в угоду безопасности. Повторю схему: Отключение AutoPlay (окно такого типа "Выберите чем хотите запустить файл..") | Отключение отработки файла Autorun.inf (лежит-не лежит в корне флешки) | Открытие приимущественно через левую панель проводника - "Папки" (Win-E) и только под неустанной защитой Вашего антивируса с последними базами |
Morpheya,
Цитата:
|
Morpheya, здравая критика всегда приветствуется! :tomato2: Особенно, если при этом что-нибудь полезное и новое для себя почерпнёшь. :)
Пока мне всё-таки непонятно, каким образом может при вставке USB флэш-диска автоматически запуститься исполняемый файл? Я имею в виду без попытки открытия этого диска в проводнике. Насчёт Autoplay - да... подзабыл я про него, поскольку систему ставлю сразу с твиками, и эта фича у меня отключена, но даже с ней - это всего лишь окошко, с предложением выбора действий на запуск установленных программ для открытия файлов с этой флэшки! Если я что-то упустил - поправьте... Кстати, пост Tomset - это копипаст с форума iXBT, поэтому пара ссылок битые. Привожу их полностью: NoDriveAutoRun NoDriveTypeAutoRun Мы, конечно, немного расширили тему, заданную вначале Akboozat, но я думаю, что не страшно, а наоборот - полезно. :) Тема, имхо, должна рассматриваться в двух аспектах: 1. Защита компьютера (своего, или стороннего) от заражённой (или вероятно заражённой) флэшки. 2. Защита USB flash диска от заражённого (или вероятно заражённого) компьютера. И желательно также не забывать про Windows XP Home Edition, которая не только не имеет редактора групповой политики, но и не позволяет отключить простой общий доступ к файлам. Было бы очень интересно узнать про чей-либо практический опыт форматирования флэшки в NTFS. У меня вот никак не получилось это сделать... :( |
DmB89,
Цитата:
2. Выбираем вкладку "Политика" - выбираем пункт "Оптимизировать для выполнения" (из плюсов получем кэш и соответственно скорость передачи даных, из минусов - отключение флэшки исключительно через значок в трее, а не простым выдергиванием). Этот пункт является главным условием для форматирования флешки в NTFS 3. Пуск - Выполнить - cmd - команда FORMAT буква_флешки_двоеточие /FS:NTFS - жмем ENTER |
Цитата:
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ То есть при включенной функции AutoPlay (по умолчанию она включена) выполняются заданные в данной ветке параметры. Это тоже самое что если бы пользователь сам щелкнул на заданный файлик в качестве действия по умолчанию. Функцию AutoPlay отключить можно либо через политику, либо что более гибко, через реестр: Цитата:
и/или Цитата:
Отключив AutoPlay мы уже приходим к моменту когда заразиться можно только если щелкнуть на флешку (то есть обработка файлика AutoRun.inf). Обойти можно нажав Win-E (или через кнопку Папки в Проводнике), но имхо проще запретив эту отработку.. Как выяснилось для флешки сделать это стандартными методами невозможно. Но формально возможно через удаление полностью ветки Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ либо отключением службы Определение оборудования оболочки (что в принципе не сложно сделать через реестр и есть возможность обратного включения). Я сомневаюсь в наличии 100% защиты от заражения Вашей флешки на чужом компьютере, где меры защиты не были сделаны. Но для Вашего компьютера эта флешка вреда не представит. Вирус будет лежать мертвым грузом, не причиняя никакого вреда. И здесь уже важно наличие антивируса, для удаления этого безобразия, чтобы защитить уже Ваши или чужие чистые компьютеры без мер защиты, так как в благоприятной среде он (вирус) снова может стать активен, что повлечет их заражение и Вашей плохой репутации :) Новое поколение выбирает безопасный секс :) |
Цитата:
А вот за разъяснение механизма работы ветки ...\MountPoints2\... - большое спасибо! Я весь сайт Microsoft перешерстил, но ничего не нашёл толкового. Да и в сети негусто... |
Я свою флэшку обезопасил от autorun.inf очень простым способом: создал папку с названием AUTORUN.INF
Еще ни один вирус не смог создать файл с таким же названием. А переименовать / удалить эту папку вирусы пока не догадываются, причем многие вылетают с ошибкой! :-) Правда, все равно могут создаться файлы типа autorun.exe, autorun.vbs и т.д, но без inf-файла они не выполнятся. |
gabasov, забавный способ! Надо это дело оттестировать! К сожалению, несмотря на наличие тестовых вирусов, мой комп наотрез отказался заражаться, уж и не знаю, почему. :) Вылетает в BSOD. Завтра на работе проверю, вот там рассадник... :biggrin:
|
Кое-что по теме с других форумов:
Цитата:
Цитата:
Цитата:
Кстати, переустановил систему и уже на чистой системе проверил Цитата:
Скорее всего так.. Вот только я вставил флешку со своим AutoRun.inf. Код:
[autorun] |
Протестировал два метода защиты USB флэш диска так сказать, в полевых условиях (то бишь на работе). Один комп нашёлся с вирусом, второй заразил сам. (для теста, потом откатил всё назад, естественно :) )
1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко! 2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! Конечно, не исключено, что когда-нибудь вирусописатели найдут пути обхода этого метода, но пока его можно рекомендовать к применению для защиты USB-flash дисков, как часть комплекса мер защиты. Цитата:
|
Вот-вот как часть комплекса.
А вот в такой ситуации как быть: подоткнул флэху к ноуту что бы скопировать на ноут инсталяху NOD`a , приношу флэху на свой комп и вот результат: ================================================= Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция 08.05.2008 12:51:39 AMON файл J:\xo8wr9.exe Win32/PSW.OnLineGames.MUU троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE. 08.05.2008 12:51:04 AMON файл J:\Autorun.inf INF/Autorun вирус удален NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\WINDOWS\System32\svchost.exe. 08.05.2008 12:46:07 AMON файл J:\fppg1.exe Win32/PSW.OnLineGames.NLI троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE. ================================================= что на флэхе посоздавать папки xo8wr9.exe ; fppg1.exe и ещё всякой хрени ? |
народ, а как на чсет таких средств защиты?
1) С Флэшками Transcend в комплекте идет такая программуля называется Ustorage, правда флешку под неё нужно форматировать изначально, после установки в слот она копирует клиенскую часть во временную директорию и запускает её вводишь пароль открывается флэш. 2) NTI Ninja - программа, которая позволяет создавать защищенные разделы на любых flash-носителях. Для этого требуется предварительно выбрать размер конкретной области, указав пароль доступа. После чего он будет отформатирован с использованием специальных алгоритмов, которые обеспечат надежную защиту от несанкционированного доступа. * Создание публичных и защищенных разделов на носителе * Парольная защита для доступа к данным * Пользовательская настройка размеров раздела * Поддержка файловых систем FAT, FAT32 и NTFS с возможностью быстрого форматирования * Автоматическое определение и запрос пароля при вставке защищенного носителя * Установка специальной подсказки на случай утраты пароля |
Цитата:
|
Цитата:
При вставке этой флэшки в заражённый компьютер вирус успешно перезаписал этот файл своим! Вот это я и имел в виду, говоря "обходят". При этом я в качестве эксперимента ставил права системе только на чтение, чтобы обрабатывался файл, потом вовсе убрал все галки - результат один. Цитата:
|
Цитата:
|
Baw17, ты имеешь в виду вот это?
Вряд ли anti_autorun можно рассматривать как серьёзное средство защиты. Он реагирует на любые файлы autorun.*. К тому же, это средство защиты компьютера, а создание на флэшке папки с именем Autorun.inf - это средство защиты USBдиска! Для чего тебе нужна вообще флэшка? Разве ты втыкаешь её только в свой системник? Вот об этом подумай. Лучшей защиты флэшки пока не предложено. |
Мне кажется для защиты компьютера следует не париться с реестрами и доменными политиками, а только отключить определение оборудования оболочки. Я у себя в домене эту службу отключил и вуаля, уже ни одного вируса за большое количество времени. У меня Вуз там каждый день студенты шарятся с флэшками по компам, а толку то, вирусы не проходят в систему даже если антивирус их не видит, они остаются мирно лежать на флэшке в скрытом виде пользователь даже не обнаружит что у него на флэшке вирус и системе это не повредить. Да и не понимаю, чем этот метод опасен для пользователя, что он чтоли в моё компьютер зайти не сможет и два клика по флэшке сделать? Тем более даже если 2 клика сделаешь вирус не проникнет в систему. Метод 100%, а если ещё и антивирус хороший и с последними базами, то флэшка пользователя будет автоматически очищена от вирусов. У меня лично drweb в автоматическом режиме работает, они довольно быстро сейчас на автораны реагируют, а что не находят сам отправляю в лабораторию, включают в базу. А вот средство от попадания вируса на флэшку, вижу выход лишь в флэшке с хардверной функцией защиты от записи. И отключении у пользователей по визиту определение оборудования оболочки и установке хорошего антивируса.
|
DmB89, к сожаленю, подтверждаю - метод с изменением прав доступа НЕ РАБОТАЕТ. Почему - ответить тоже затрудняюсь - в частности, на вопрос, действительно ли виры пошли настолько продвинутые, что научились получать права владельца, после чего менять права доступа.
|
Ну а что на счёт софта для USB HDD? Существует ли универсальный софт, который создаёт защищенный раздел на диске? Существует ли такой софт вообще?
|
DeathMan2k4, вопрос не совсем по теме. Здесь всё же обсуждение касается методов защиты USB flash драйвов, в просторечи - "флэшек", и компьютеров - от вирусов, использующих системный автозапуск. А защищённый раздел - это больше относится к защите информации от несанкционированного использования.
Стоит определиться, что же в действительности нужно, и возможно - создать новую тему. |
DmB89, ну почему же, ведь создав защищенный раздел, мы победим автоматическое записывание вируса на flash drive !
|
DeathMan2k4, смотря для чего использовать флэшку. Ведь защищённый раздел требует специального софта для работы с ним. Если ограничить её использование двумя-тремя компьютерами, где этот софт установлен, тогда это вариант.
Но реально ведь флэшка используется несколько иначе. Необходима возможность подключения к любому (ну, или почти любому) компьютеру, независимо от наличия/отсутствия на нём особого софта. Вот пришёл ты к другу со своей защищённой флэшкой - и что? С чего ставить программу? С компакта? Весь смысл флэшек как-то теряется... То есть смысл это решение имеет в первую очередь для защиты информации, а остальное - сплошные неудобства. А чем всё же так не нравится решение создать папку с именем Autorun.inf? Хоть у одного человека есть серьёзные доводы "против"? Встретился хоть кому-нибудь вирус, способный уничтожить папку, и записать свой файл autorun.inf? |
Добрый день!
Помогите проверить такой способ защиты: 1. флэшка форматируется под NTFS. 2. В корне создается папка с произвольным именем, на нее даются полные права только для "Все" (Everyone), без наследования. 3. На сам корень флэшки назначаются права только для чтения, опять же для "Все". Пользователь может производить запись только в созданную папку. У меня данный способ работает, но поскольку с вирусами сталкиваюсь редко, не могу однозначно утвержать об его 100% эффективности, с тем и выношу его на обсуждение. С Уважением! |
В этой теме нельзя не упомянуть замечательную программу Flash Drive Disinfector, которая уже упоминалась на страницах нашего форума, да и не только нашего форума, и в других местах уважаемым Pili.
Эта утилита выполняет несколько функций. Во-первых, она чистит систему от всех известных ей вирусов типа autorun (т.е. использующих метод заражения при помощи файла autorun.inf). Во-вторых, производится иммунизация всех разделов жёстких дисков и подключенных в момент запуска программы внешних накопителей. Для этого в корне каждого диска создаётся папка с именем autorun.inf с атрибутами "скрытый", "системный" и "только для чтения". В дополнение эта папка содержит файл нулевого объёма с именем lpt3.This folder was created by Flash_Disinfector. Файлик этот, надо сказать - весьма непрост! Если вы попытаетесь его удалить - то ничего у вас не выйдет - появится сообщение с ошибкой, что файл не существует! Уж не знаю, каким способом автор добился такого эффекта, но вирус эту папку с файлом точно удалить не сможет - а это главное, что нас интересует. В-третьих, она устраняет даже последствия заражения этими вирусами! В частности, разблокируется доступ к реестру, разблокируется менеджер задач, включается показ скрытых и системных файлов, удаляются префиксы адресной строки для IE, и это ещё не весь список! Короче - must have, однозначно! Или переводя на русский - rulezz! =) Jhel, Выйду из отпуска - обязательно на работе проверю! У нас сисадмин ленивый... Или наоборот - трудолюбивый... :) В общем, у нас на работе - рассадник всякой заразы! Слава Богу, свой рабочий ноут я сам администрирую! :) |
Цитата:
|
Цитата:
|
Цитата:
|
Вот посмотрите чё навоял. Хотелось бы услышать ваше мнение. если понравилось нажмите спасибо.
|
для интереса решил проверить запустится ли у меня подобный зловред. записал autorun.inf, открывающий notepad.exe (блокнот). перетыкаю флешку и выскакивает такое окошко:
выходит моя система защищена от autorun'еров? |
Нет не выходит. Если афторун.инф такого содержания:
[autorun] shell\open\command=virus.exe shell\explore\command=virus.exe |
Dr.Dark, ну а если пользоваться Total Commander'ом?
|
Ну и? Мы об експлохере!!!
|
Dr.Dark, ackerman2007, перечитайте тему с начала! Об этом уже писали не раз, можно и explorer-ом безопасно открывать диски.
ackerman2007, выскакивающее окошко - это работа функции "Autoplay" Windows XP. К файлу autorun.inf эта функция не имеет отношения! Об этом тоже уже писалось, зачем повторяться? Вот пара ссылок: NoDriveAutoRun NoDriveTypeAutoRun |
И я о том же!!! А насчёт безопасного входа из експлорера можно щелкнуть правой по флешке нажать автозапуск (если не стоит по умолчанию т.е. не выделено жирным) и в меню выбрать открыть.
|
Dr.Dark, ещё раз повторяю - перечитай тему! Ты наступаешь на те же грабли , что и некоторые товарищи до тебя! Почитай этот пост, да и свой пост тоже... Ты похоже, пишешь, не разбираясь в сути, у тебя один пост противоречит другому. Ты попробуй на практике, и тогда не будешь писать такие вещи:
Цитата:
|
DmB89, Сорри перечитал тему. Просто я ни когда, повторюсь никогда НЕ ВСТРЕЧАЛСЯ с Autoplay на флешках.
так ты смотрел чё я предлагаю (первый пост на странице). Если да то как идея? |
Dr.Dark, посмотрел... Во-первых, это варез, поскольку с ключом. Во-вторых, это можно заменить бесплатной утилитой CureIt! А в третьих, многие вирусы просто отключают сканер от DrWeb, я с этим сталкивался неоднократно.
Jhel, проверил предлагаемый способ защиты - работает! Проверил на ноутбуке, перед сносом системы. Вирус не смог создать в корне ни одного файла. Так что способ годится! |
Для того чтобы ничего не записалось на флешку достаточно, не оставлять на ней свободного места :)
|
Цитата:
|
Есть интересная программка DriveSentry GoAnywhere http://www.drivesentry.com/AntiVirus...ble-media.html
Цитата:
Попутно интересует вопрос организации автозапуска какой либо программы с флэшки после её подключения. Не предлагаемый выбор запуска этой программы в появляющимся окне в классичечком случае, например : Код:
[AutoRun] Решение для единичного компа известно, но не преемлемо, т.к. флэшка подключается к множеству разных машин. |
Вспомнились недавние копания в этой области... В общем, есть и ещё один способ, сработает % на 80 флешек :) Только руки нужно иметь... ну очень прямые :) -- я не потянул, даже браться не стал :(
Во "флешке" кроме usb разъёма и самой флеш-памяти есть ещё и контроллер. Он рулит чипом памяти и разруливает обмен по usb шине. Однажды от безделья я расковырял штук 5 разных "новых" (без "замочка") флешек (дохлых или просто механически сломанных), выписал маркировки контроллеров и поспрошал у знакомых даташиты на них. А результат таков: На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа. На всех 5 есть несколько незадействованных ног. У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE. На всех 5 эта нога среди незадействованных. Ну или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется. Т.е. всё "очень просто" -- разобрать флешку, отпаять ногу, впаять в разрыв переключатель (или вообще две проволочки отвести, и скручивать их между собой по необходимости :wink: ), и собрать всё снова. :o |
Цитата:
Цитата:
На практике этого, разумеется, не произошло. Чуда не случилось! Программа запускается, как и авторановские вирусы, при двойном клике по иконке USB-устройства. Зато я был неприятно удивлён тем, что папку на флэшке с именем Autorun.inf эта прога автоматически переименовала, и даже не пискнула! Это не то чтоб в минус программе, но наводит на мысли, что скоро и вирусы таким трюкам обучатся... ...если уже не обучились... :o Рассматриваем программу далее. Я уж было подумал - а может у меня система защищена слишком хорошо? :biggrin: Поотключал все твики, связанные с автораном, перезагрузился, проверил - всё работает как положено... ...кроме этой программы! Поскольку автоматом эта вешчь не запускается, вопреки заверениям авторов, то смысла в ней ну ровным счётом никакого! Поясню. Рассмотрим для примера "работу" вируса OnLineGames (терминология avast!). При загрузке системы запускается файл amva.exe, который постоянно мониторит систему на предмет подключившихся дисков. Как только произошло подключение - тут же в корень диска записывается .bat или .com файл плюс autorun.inf! Таким образом, вставив свою "защищённую" флэшку в заражённый компьютер, вы её тут же заражаете, и при попытке открытия (двойной щелчок) - у вас запускается НЕ DriveSentry GoAnywhere, а ВИРУС! Прочие аспекты работы программы рассматривать уже не имеет смысла. P.S. И самое главное - за неё ещё и денег просят! :angry2: VitRom, я конечно, электронщик... Но ТАКИМ :o геморроем я бы точно не стал заморачиваться! :swoon: |
:) И я о том же :o Хотя на самом деле всё очень несложно -- если иметь флешку, на внешний вид (и вообще корпус) которой ваще глубоко плевать (и при этом исправную) :) Ноги эти почти везде легко доступны -- с корпусами вот беда, "одноразовые" они :o потом, после вскрытия, только что выкидывать, а фляжку целиком эпоксидкой заливать - типа моддинг :)
DriveSentry тоже попробовал сегодня. Правда, у меня оно запускалось :) Итоги: 0. После старта свою работу делает :) НО 1. Стартует ч-з Автоплей (а на 2000 -- только ручками, даже в мане сказано) 2. При работе всегда(!) перед запросом юзера несколько сек пытается проверить файло по ихней "community database" 3. По принципу работы -- просто обрезанный HIPS. При первом старте ставит в систему, где стартует, пару драйверов(!) и добавляет элемент в Winlogon Notify(!). Обе этих вещи меня вообще прибили (даже без учёта того, что современные червяки умеют эти "перехватчики" обходить). Плюс хранение базы разрешённых прог рядом с собой и постоянная модификация её, что жизнь фляжки не продлит. Вердикт тот же: "Полное Гэ" |
Доброго времени суток всем!
О своем способе защиты уже писал на форуме softoroom.net, зашел сюда, вижу, тут тоже эту тему обсуждают. Написал собственный архив, содержащий autorun и лекарство от вируса, качаем. Во время автозапуска запускается скрипт, открывающий корневую папку, запускающий лекарство и, в случае необходимости, автоматически гасящий автозапуск в настройках винды. Полностью защищает флэшку и, в дальнейшем, комп от "автозапускающихся" вирусов. Защищает флэшку путем перевода файловой системы на ней в NTFS (только не баловаться с плеерами, фотиками и мобилами) и размещения на ней своего файла autorun.inf ZIP-архив распаковывается на флэшку, в корень. Далее читаем вложенную инструкцию. Таким образом можно не только защититься самому, но и помочь другим, к кому с флэшкой пойдете. Лично у меня на работе просто эпидемия этих аффтаранофф!!! Но ни один в наш отдел и ко мне на комп еще не пролез. А если и записываются на флэшку, то запуститься все равно не могут, поскольку autorun.inf указывает на другой файл. К тому же глушатся автозапускаемой лечилкой. А я уже удаляю все оставшееся (если еще встречается). Качаем отсюда: http://rapidshare.com/files/16979461...torun.zip.html http://slil.ru/26395944 http://webfile.ru/2441121 |
Давно сам мучался защитой флэшки от autorun- вирусов, бо работа такая- 250 компов по городу, и не везде есть CDROM, флоп не говоря уже про сеть. Вот мой вариант, правда я не считаю его выходом. Создал скрытый диск с файловой системой NTFS с помощью Rohos диск. Оставил открытым диск на пару метров - дабы оттуда запускался Rohos и открывал основной диск. На открытом диске создал папку Autorun.inf и забил остаток пустого места мусором. Пока ничего не пробралось. При автозапуске флэшки заражение произойти не может - нет места.
На всякий пожарный сделал тамже копию в архиве Rohos_mini.exe- от вирусов заражающих exe, хотя повторюсь цель защита от autorun -вирусов. Пока не пролез ни один. Понимаю, что это не панацея, да и использовать эту флэшку как загрузочную и в ОС отличных от XP - неполучится, но больше ничего в голову не приходит |
Мдя... Если хотите быстро и весело угробить флэшку - форматируйте ее в NTFS. Поскольку NTFS - журналируемая система, при каждой операции с диском (доступ к файлу, чтение, запись) в одно и то же место на флэшке будет писаться лог. В итоге - смерть флэшки. =)
Единственное рабочее решение - антивирус типа SEP 11, он позволяет блокировать запуск программ со съемных накопителей НА УРОВНЕ ДРАЙВЕРА. |
Вирус, конечно, надоедливый :angry2:
Решение проблем - отключить автозапуск, да так чтобы и левая кнопка мыши тоже на запускала. И включить показ скрытых файлов и удалять вирус с флешки. Запретить ему туда лезть со стороны флешки нельзя, вернее, можно, но не нужно, проще удалять. |
Цитата:
1) вставляем флешку с новомодной защитой. 2) Цитата:
archiv@rius_31: я что-то пропустил? Заодно - зачем в NTFS переводить-то? Мало того, что сказал Enforcer2K? Или мы потом по модному права на авторан.инф предполагаем настроить? так это мы уже проходили, сам на этом попался... полистай с начала темы. |
ребят давайте жить дружно... есть выход - ща продаются флешки для мобил (microSD), так вот - с ними в комплекте идут переходники на SD с переключателем lock<->unlock... к такой флешке докупаем usb картридер - по внешним габаритам он не на много больше флешки - чуть поболее моего корсара.
цена комлекта из 4-х ГБ флешки + картридера - около 500-600 рублей, я себе взял на 2ГБ и не жалуюсь - набор дров, антитварь, да пара мелких софтин ps. по скорости не уступает простой флешке pps. я живу в Кемерово |
Жить дружно давайте всегда, тем более, что этот раздел благодаря усилиям Pili - один из самых результативных.
Но не вдаваясь в подробности, всё-же отмечу: Самый простой способ обезопаситься от autorun.inf это создание одноимённого каталога в корне Flash диска с атрибутами Read only, Hidden, System. О чём НЕОДНОКРАТНО писалось в различных разделах форума. В данном случае если Вы и цепляете вирус на флешку, autorun.inf на неё не записывается, и в любой ситуации, автозапуск не происходит! Наличие на флешке остального вирусного хлама можно почистить даже без антивируса, имея невысокую квалификацию. |
Цитата:
|
Тема перенесена из лечения, т.к. логов в ней не ожидается.
По теме читаем Как отключить автозапуск со съемных носителей Повторю ещё раз Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Код:
Windows Registry Editor Version 5.00 Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf Цитата:
|
Pili, проверю в понедельник на работе. Дома семерка стоит просто. Но я более чем уверен, что обойду эту защиту. =)
|
Enforcer2K, согласен!
Но! Назовите хоть один вирус, снимающий атрибуты с папок, я пока, таких не знаю. Появятся, будут другие пути решения. В данной ситуации может лучше просто действовать? Как Вы считаете? |
Цитата:
|
Цитата:
Перед запуском Flash Drive Disinfector не забудьте отключить антивирус. Если под "обходом защиты" подразумеваете написание зловреда, который 1. удаляет autorun.inf от утилиты; 2. записывает свой файл autorun.inf и тело зловреда на флешку; 3. заражает другой компьютер, на котором отключен автозапуск по методике выше (т.е. применен noautorun.reg и на дисках есть папки autorun.inf от утилиты Flash Drive Disinfector. То, имхо, очень много вирусописателей к вам обратятся в ПМ за технологией применяемой в пункте 3 :)) |
Pili, andrew71, похоже, Мелкомягкие наконец стали умнеть! =) http://support.microsoft.com/kb/967715
Так что теперь достаточно рубануть автозапуск через групповые политики. Аллилуйа, братья! =))) |
Enforcer2K, этого вроде как не достаточно.
Цитата:
Надеялся, что иконка кассеты и слово movie введет пользователя в заблуждение. |
Цитата:
|
Цитата:
Чуть подробнее на англ. яз. Panda USB and AutoRun Vaccine, там же можно загрузить утилиту. Имхо, утилита - почти аналог Flash Disininfector |
Тут читать вообще умеют? Все, проблемы больше нет!!!
|
Действительно, тут читать умеют? Идет общая дискуссия на тему методики защиты от autorun...
По проблемам с вирусами - в раздел http://forum.oszone.net/forum-87.html |
Pili, какой авторан? Нет больше авторана, все. Майкрософт окончательно решила эту проблему.
|
Ещё одна бесплатная программа для контроля авторана Autorun Guard.
|
Цитата:
Дальнейшее развитие идеи Flash Disinfector и подобных -- скрипт Autostop. Отличия от FD / особенности : 1. не чистит "популярных" на момент рождения FD (давно уже) червяков и соотв. не даёт фолсов с некоторыми антивирями из-за наличия червячных фрагментов 2. обрабатывает только диск, с которого запущен 3. после сработки самокопируется в созданную папку (AUTORUN.INF) 4. сделана какая-никакая индикация того, что "нашу любимую папку" кто-то "трогал" 5. в каталоге AUTORUN.INF делает подкаталог LPT3, а уже в нём -- файл ".." :) |
Цитата:
Вся беда в том, что автозапуск по умолчанию в системе включен и статистика из раздела "Лечение систем от вредоносных программ" неутешительна, почти у всех, судя по первым логам, автозапуск включен. Более того некоторые зловреды (червь по сетке или троян из интернета) возвратить такие параметры как NoDriveTypeAutoRun в состояние включенного автозапуска, поэтому и требуются дополнительные меры, например такие как в рекомендациях p2u и применение утилит (более того их посредством можно защитить съемные носители от utorun.inf, что не достигается правкой реестра) VitRom, Flash Disinfector дополнительно, кроме установки атрибутов, убирает права у пользователя на папку autorun.inf, соответственно пользователь (и с правами администратора) не сможет просто так удалить папку без возвращения себе прав, в скрипте Autostop я такого функционала не увидел ) |
Pili, gpedit.msc может запустить даже ребенок. Конечно, если ему сказать, как это сделать. И домены тут совсем не при чем.
ЗЫ: У меня все прекрасно работает. А все остальные могут продолжать борьбу с ветряными мельницами. =) |
Цитата:
|
Вложений: 1
Цитата:
Цитата:
Цитата:
Собственно, как отключить автозапуск: Цитата:
|
Цитата:
Насчет групповой политики в WinXP Home и чем отличается от Pro - в поиск по форуму, вопрос неоднократно поднимался, см. с учетом ОПК 3.18 Цитата:
Тем более готовый reg файл в шапке из архива содержит доп. возможности, см. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
ЗЫ: Учите народ борьбе с заразой и дальше. И логи их читайте. Которых меньше после такого "учения" явно не станет. =))) ЗЗЫ: Вот, нашел по руткитам, может кому интересно будет: http://www.viruslist.com/ru/analysis?pubid=204007621 |
Цитата:
По руткитам я вам тоже ссылки на статьи привести, больше на английском, на русском есть книга Олега Зайцева "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита", рекомендую. Кроме теории есть ещё и практика (ЛК, VI, здесь и на др. форумах), например популярный сейчас gaopdxserv.sys или tdssserv.sys скрывает модули dll, который (заметьте, не сам руткит) блокирует обращение к сайтам, производят редирект, меняют настройки DNS, руткитов, которые сами исправляют параметры автозапуска ещё не встречал, этим должны заниматься другие модули, которые может скрывать руткит. |
Вложений: 1
Pili, возможно, я просто проглядел установку прав во Flash Disinfector. Насколько жёстко они забираются? А то ведь даже если "пользователь (и с правами администратора) не сможет просто так удалить папку", есть шанс, что он сможет её переименовать. Как я понимаю, Autostop просто нацелен на "обычные флешки", которые на 99% FAT16/32.
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
|
Само собой, нужны! Я просто показал результат действий юзера, который "уже не дебил, и сам сможет настроить свой комп", но ещё не сисадмин, да и не собирается им становится.
Вот мы и возвращаемся "к нашим баранам" -- да, действительно, "проблемы уже нет, Майкрософт всё исправила". Но если копнуть поглубже, начнут один за одним находится случаи, требующие доп. телодвижений -- "через реестр изменить параметр", доп. файлики скопировать, и т.д. и т.п. При которых, в свою очередь, также возникнет ряд случаев... и т.д. Плюс к тому случаи, когда съёмный носитель вынужденно используется на "неизвестной территории" -- на чужих машинах -- где, конечно же, Билли так и не приезжал и установку апдейта и доп. действия не проконтроллировал. Плюс к тому... По сравнению со всем этим обсуждаемые здесь решения намного юзабельнее. |
Цитата:
Дело в том, что при подключении "защищенной" описанным в шапке способом флэшки к зараженному компу, вероятность сноса защиты с каждым днем растет в геометрической прогрессии. Здесь же человек на 100% обезопасит СЕБЯ, и ему, по большому счету, уже будет все равно, что там ему на переноску заскочит! |
действительно, по работе обходишь в день порой по 10 клиентов совершенно тебе не знакомых, и как результат полна флеха всякой х-йни заразной. да ладно бы просто меняла авторан, так ведь частенько и программы на флехе тоже заражает. и если это случилось на первых клиентах - сушите вёсла господа :) , пипец просто - едем домой или офис для забора софта заново на флешку.
Реальных выхода из положения на мой взгляд 2
|
Цитата:
Риск сноса есть всегде и -- да, нарастает -- ну так "хоть что-то" всё лучше, чем "вообще ничего"! :) Кстати, два недавно упомянутых скрипта как раз и "обезопасивают ;) СЕБЯ", ведь первоначально юзер запускает их на своём компе, где они тут же бодренько и отрубают всякие автоплеи и пр. Да, это делается напрямую, через реестр, это можно и "откатить" через тот же реестр, ну так то же самое относится и к политикам -- у многих ли включен запрет запуска и/или логона, если невозможно обработать политику? А "покоцать" соотв. файлы -- и только через эвентлог узнаешь, что политики не применены. Зато есть совместимось с системами, которые о политиках ни сном ни духом. Цитата:
Цитата:
Кстати, этот вариант возможно реализовать перепрограммированием контроллера флехи. В общем, велкам на FlashBoot.ru, там среди всего и подобные вопросы тоже активно обсуждаются. ЗЫ. Кстати, вариант 2 из пред. поста можно превратить в такой. Вар-т 3: один раздел, разрешённый на запись, но в корне и каждом подкаталоге лежит "сюрпрайз!" типа "LPT3" и/или "..", а размер раздела указан точно равным сумме размеров файлов, т.е. свободного места типа нет :) ЗЗЫ. Ну и вар-т 4: как оказалось (кажется, инфа на том же флешбут-е), таки есть ещё |
Pili и другие заинтересованные лица.
Ваял я тут свой скрипт для Complete Autorun Off - с автоустановкой KB967715 если не установлен с закрытием всех 4 ключей автозапуска, с удалением mountpoints и тд.... обнаружил такую вещь Код:
del x:\autorun.inf /f Первая команда удаляет все файлы из директории x:\autorun.inf\* вместе с хитрым lpt3 Прошу обратить на это внимание, так как вирусописатели не дремлют... А ложное ощущение безопастности хуже чем просто незащищенная флешка... |
volk1234, ответ здесь
|
Вот в развитие дискусии протекающей в этой ветке (спасибо всем за идеи),
сделал утилиту для полного отключения автозапуска. , пользуйтесь кому надо... |
ShaddyR, что Вы там говорили насчет защиты файлов? У меня все получилось! Но все равно, спасибо за замечания, усовершенсововал. Этот способ, думаю, получше будет.
1) Во-первых, все-таки стоит отформатировать или преобразовать флешку в NTFS (не следует бояться это делать для обычных флэшек - для них это практически безопасно, но надо бояться для проигрывателей, телефонов и камер, ибо можете этим убить некоторые из них); 2) Создать на флэшке отдельную папку и переместить туда все данные; 3) Выбрать "Свойства" (для ВСЕЙ флэшки) и на вкладке "Безопасность" установить для пользователя "Все" (то есть, для всех, другие записи из списка удалив, если есть) (кнопка "Дополнительно" > "Изменить") запрет на "Создание файлов / Запись данных", "Создание папок / Дозапись данных", "Запись атрибутов", "Запись дополнительных атрибутов", "Смену разрешений" и "Смену владельца". Удаление оставить разрешенным. Поставить птичку "Заменить разрешения для всех дочерних объектов..." 4) Для папки с данными следует отменить "Наследование от родительского объекта применимых к дочерним объектам разрешений...", нажать "Добавить" > "Дополнительно" > "Поиск" > "Все" > "ОК", разрешить полный доступ к папке и "Заменить разрешения для всех дочерних объектов...". Применить все. 5) Чтобы папку никто не мог удалить, можно для этой папки (но не для дочерних объектов и вложенных файлов!) поставить атрибут "только чтение" и запрет на "Удаление", "Смену разрешений" и "Смену владельца". 6) Если на флэшке присутствует свой autorun.inf (папка, файл - не важно) и другие системные данные, которые перемещать не рекомендуется (например, поставляемые вместе с флэшкой программы или файлы, связанные с autorun.inf), то для них следует выставить атрибуты "только чтение" и задать те же параметры, что и в п.2, добавив к этому запреты на "Удаление папок и файлов" и "Удаление". В итоге получаем носитель, на который в корень не может записаться АБСОЛЮТНО ничего ни с какого компа (только со своего - теоретически - но и в этом случае удаление разрешено), но в то же время сохраняется возможность записи, редактирования и удаления пользовательских данных в папках. Чтобы при запуске флэшки открывалась папка с данными, можно использовать файл autorun.inf, указывающий на папку. Таким образом реализуется двухступенчатая защита флэшки. Что в итоге у меня получилось? В общем, ковырялся я после этого с autorun.inf, написал, казалось бы безвинный, файл, защитил флэшку и файл вновь и включил NOD32. Антивирус сразу же посчитал файл за троянскую программу под общим названием INF/Autorun.gen, клятвенно пообещав удалить ее после перезагрузки (ага, значит с первого раза не получилось - уже хорошо). После перезагрузки файл остался лежать на том же самом месте, и антивирус продолжал ругаться. Испытал флэшку в "полевых" условиях - третий день активного пользования на работе на разных компах (рассадниках вирусов) ни одна вирусня пока еще туда не пролезла. :ok: Вообще, защита в NTFS? как оказывается, полна нюансов (или криво организованы ее настройки?). В общем, смотря как ее ставить. При некоторых, казалось бы рабочих, комбинациях защищенные файлы удаляются по обычному shift+del, или перезаписываются вирусом. Думаю, описанного выше способа будет достаточно (и необходимо), чтобы запретить перезапись. Остается лишь молиться о том, чтобы вирусописатели не состряпали вирус, реализующий защиту на основе NTFS, иначе всем худо будет. ___________ PS: Насчет NTFS: Лучше не форматировать, а конвертировать флэшку, не изменяя ее свойств оборудования, при этом она по прежнему будет оптимизирована для извлечения, а не для выполнения, что увеличит срок ее службы. То есть, при имеющейся на ней системе NTFS, работа Windows с ней будет напоминать работу с FAT-разделом. Сам уже больше года, как преобразовал ее в NTFS и активно использую на разных компах - флэшка жива и не думает умирать. У друга - больше двух лет работает. |
Хочется внести ясность в один вопрос.
Как уже ранее отмечалось в этой теме, надо разделять функции автозапуска (autorun), и автовоспроизведения (autoplay). Что такое автозапуск? Это обработка файла autorun.inf, и выполнение его инструкций - либо через контекстное меню, либо по двойному щелчку на иконке диска, либо просто при вставке компакт-диска в дисковод. Что такое автовоспроизведение? Это сканирование содержимого подсоединённого диска, и при обнаружении мультимедийных файлов - выбрасывание окошка с выбором приложений, коими эти файлы можно открыть. Данный выбор можно запомнить, и в дальнейшем для данного диска это приложение будет запускаться автоматически. И выбор этот сохраняется в разделе реестра Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers Это не шутка. На сей раз Microsoft умудрились запутать даже самих себя! Дело в том, что ключики NoDriveAutoRun и NoDriveTypeAutoRun в разделе реестра Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer так вот эти советы к автозапуску не имеют никакого отношения!!! Да и сама групповая политика, которая в Windows 2000 называлась правильно - "Disable Autoplay", в Windows XP русской версии почему-то названа "Отключить автозапуск". Теперь MS признала свои ошибки Цитата:
Некоторые товарищи как-то чересчур бурно отреагировали на это нововведение. Хотя ничего принципиально нового тут нет. Большинство рабочих решений описаны на первых страницах этой темы, и вовсе не требуют наличия данного обновления. А если думать только о себе, так можно вовсе ничего не ставить - Цитата:
|
DmB89, отличный пост, спасибо!
|
archiv@rius_31
Боятся NTFS на флэшках надо - ибо эта файловая система сильно уменьшает их ресурс. Разрешения достаточно поставить на всю флэшку стразу - Все - чтение(без выполнения можно) и скопировать будет можно, а записать и запустить с флэшки нет ... ( перед этим удалить всех пользователей из разрешений) Я такое практикую на своих пользователях которые выкладывают видео и музыку для других, дабы не повадно было остальным простматривать фильмы по сети с чужого компа. Но поидее такое можно применить и в любой общей папке - разрешить запись и чтение - а выполнение нет. Цитата:
DmB89 Спасибо за разъяснения. Я сам запутался в этих терминах. Вопросы: Я в своей утилите удаляю ключ MountPoints2 и создав его пустым - блокирую всем доступ в него. Насколько это критично для системы? Насколько критично с точки зрения вирусной защиты отключать autorun с CD\DVD - в принципе вирусов не встречал на дисках, а без автозапуска пользователям очень грустно вставлять диск и вручную искать исполняемый файл.... Могут ли вирусы используя механизм автозапуска с CD\DVD пролезть с флешек и тд??? |
Цитата:
Пришлось провести ещё несколько экспериментов. Выяснилось следующее. При вставке USB-диска в этой ветке появляется ещё один раздел Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ID} При установлении запрета для всех на доступ к разделу MountPoints2, значения из файла Autorun.inf не могут скопироваться в этот раздел, и как оказалось - не обрабатываются! Про отрицательные последствия к сожалению, ничего не могу сказать, просто отсутствует информация. Возможно при работе с сетевыми дисками могут быть ошибки в логах, но вряд ли что-то критичное. Я думаю, что опасность этого раздела, как бы это сказать... несколько преувеличена. При удалении файла Autorun.inf из корня диска никакие файлы не запустятся, даже если "память" о них и осталась в соответствующем разделе. Но это я утверждаю, исходя только из собственных экспериментов. Точной информации, повторюсь, у меня нет. Если кто-то найдёт описание от Microsoft - выкладывайте сюда! Цитата:
Мне тоже представляется, что оптимальнее было бы оставить автозапуск с CD/DVD. Столкнулся с одной ситуацией, DVD с игрой Neverwinter Nights Diamond edition. Файл autorun.inf следующего содержания: При отключении автозапуска любым способом, ручной запуск файла autorun.exe никакого результата не даёт! Не появляются кнопки "Install" и "Exit", прописанные в autorun.inf. Так что возможности файла autorun.inf тоже описаны далеко не полностью... |
Inf-файл для логического диска
Цитата:
|
Продолжаю публиковать результаты своих "изысканий". :moil:
Начну с рекомендованного параметра реестра Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] Ещё один параметр: Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] Очень удобно отключать автозапуск при помощи TweakUI. При этом способе, имея к примеру два дисковода CD/DVD можно на одном из них оставить автозапуск, а второй сделать "безопасным". Но поскольку TweakUI сохраняет изменения в ветке реестра HKCU, то эти настройки будут касаться только текущего пользователя. Ещё раз уточняю - всё это справедливо при установленном обновлении 967715. |
please дайте твик для включение Авторана обратно
Код:
Windows Registry Editor Version 5.00 |
спасибо всем уже нашел
Код:
Windows Registry Editor Version 5.00 |
Вложений: 1
При установке диска в привод или флешки в разъем USB на экране открывается диалоговое окно автозапуска, в котором указаны программы , с помощью каких можно открыть имеющиеся на носителе файлы. У меня там присутствует программы, которые были мною удалены за ненадобностью, а как удалить эти ярлыки из предлагающегося списка в этом диалоговом окне, я не знаю. Может кто поможет с этим?
|
Цитата:
|
Frag-o-Matik, я брал TweakUI из аддона CPLDAPU, также можно взять его из аддона Power Pack (MS Power Toys), или вот здесь.
Цитата:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] |
Приветствую.
Извеняюсь если неправильно выбрал раздел. Создавать новую тему не стал. Задача в следующем: С помощью программы nLite, дистрибутив windows можно изменить так, чтобы отключить автозапуск на всех дисках. Мне нужно только на съемных носителях. Дистрибутив: Windows-XPSP3-Rus со встроенными обновлениями UpdatePack-XPSP3-Rus-9.7.30 включая аддон .Net FrameWork 1.1 + 3.5SP1+LP+KB и x-Reset10. Таким образом, хотелось бы немного увеличить устойчивость системы к вирусам с флешек. Может в текущих обновлениях это проблема как то решена ? (дополнительно интересует параметр HonorAutoRunSetting) |
Corei7
Перенес ваше сообщение сюда. Почитаете про твики реестра и можете добавить их с помощью, например, аддона Mycustom. Начиная с версии Update Pack 9.3.14 в него добавлена KB967715, которая и позволяет спользовать параметр HonorAutoRunSetting. |
Можно после форматирования флешки в NTFS выдёргивать её просто так, не нажимая Безопасное извлечение устройства?
|
nikit-xxx, вопрос совершенно не по теме. Короткий ответ - нельзя.
Corei7, Прочитайте статью MS "Отключение функций автозапуска в Windows". Там всё есть. |
Вышло исправление для Autoplay
kb971029 кто хорошо по англицки читает разьясните в чем смысл его? |
volk1234, блокирует обработку AutoRun.inf для любых девайсов, кроме CD/DVD.
|
Цитата:
Код:
0x01 (DRIVE_UNKNOWN) — привод, тип которого не может быть определен |
Цитата:
|
Цитата:
Цитата:
|
Цитата:
А автозапуск по 2-му щелчку останется ? Я просто уже запутался во всех этих Autorun AutoPlay и куче параметров их регулирующих.... Если исходить из этого поста http://forum.oszone.net/post-1147267-106.html, то обновление KB971029 отключает функционал Autorun, а не Autoplay. Цитата:
|
Цитата:
Цитата:
Цитата:
Цитата:
|
У меня AutorunDisabled установлен, теперь после этого обновления KB971029 что-то изменит он? У меня нету автозапуска у CD/DVD, теперь он автоматически запуститься или нет?
|
Что-то я не понял, прочёл статью у майкрософта и выходит, что после установки этого обновления авторан инф файлы на флэшках всёровно будут запускаться? Пока в реестре не настроить?
|
Цитата:
|
Цитата:
|
Заупстил AutorunEnable я, затем вставил заражённую флэшку, она сама открылась, я закрыл окно и специально открыл двойным нажатием. Затем проверил папку систем 32 каспером и вирусов не обнаружено. Походу майкрсофт реально отключили все авторан инф файлы.
|
Покурил несколько мануалов по отключению автозапуска -возник вопрос по ветке:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Просто ссылается на несуществующий раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist ?? Если это так, то с точки зрения защиты от вирусов неплохо было бы регулярно менять или использовать одно но собственное название несуществующей ветки - иначе что помешает вирусописателям создать такой раздел и поместить в него необходимые им команды ? |
Ещё, как вариант, купить флешку, как в этом обзоре :) : http://planetsecurity.org.ua/zhelezo...tivirusom.html
|
Можно ссылку на пост со способом отключения autorun, действующем так?
Цитата:
|
|
Цитата:
А если так: Код:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] |
Продолжил исследования Dmb89 в сфере автозапуска и воздействия различных параметров на него.
Во первых, после прочтения теории: http://support.microsoft.com/kb/967715/ http://ru.wikipedia.org/wiki/Autorun.inf опровергну высказывание: Цитата:
Дальше много текста: На данный момент получается следующая комбинация для борьбы с вирусами Autorun: КОНЕЦ ?? |
Извиняюсь, если повторюсь - читать 14 страниц лень.
Основная проблема в том, что 90% пользователей работают под админом, поэтому даже права в NTFS не панацея т.к. администратор может назначить себя владельцем чего угодно и поменять права на какие угодно, а значит и вирус запущенный от имени администратора теоретически может сделать все то же самое. Поэтому запихивание вашей "защищенной" флешки где-нибудь в офисе, ни чем не отличается от незащищенной, разве что, количество вирусов умеющих изменять права гораздо меньше. В общем есть одно решение, но только для виндовс начиная от висты. Берете флешку в FAT и создаете папку autorun.inf. В шестнадцатеричном редакторе ставите ей атрибут 0хF7. Для этого в WinHex, например, надо щелкнуть по папке правой кнопкой и выбрать Position\Go to directory entry и исправить первый же байт стоящий после имени папки на 0xF7. Это недопустимый атрибут, а драйвер FAT написан в виндовс таким образом, что не позволяет удалять, переименовывать и вообще проводить какие-либо файловые операции с такими объектами. Вуаля! На флешке есть папка autorun.inf, которую фиг чем удалишь! Кстати, все описанные действия надо проводить в ХР, т.к. виста не дает низкоуровневый доступ к дискам даже под админом, а это значит, что вставляя такую флешку на комп с вистой и выше вы можете быть на 99,999% уверенными в защите от авторан-вирусов. А вот вставляя в комп с ХР, есть вероятность наткнуться на супер-мега-вирус, автору которого было не влом проверять допустимость атрибутов и исправлять их в случае необходимости. И еще одно кстати. В операционной системе отличной от виндовс дела могут обстоять иначе и все будет зависеть от реализации драйвера FAT. Возможно даже другая операционка сама исправит недопустимый атрибут. |
delog
А поставить на все компьютеры 2 обновления и одно значение реестра исправитть - не легче? |
Ты же не будешь ставить обновления придя в гости, офис, университет, фотосалон, компьютерный клуб или интернет-кафе, а потом еще и проверять на вирусы, прежде, чем воткнуть флешку? Я описал способ защиты флешки, а не компьютера. Эти два способа вовсе не заменяют друг друга, а дополняют. И воткнув флешку в один "необработанный" комп, а потом в другой, ты не разнесешь заразу, как сделал бы это, если бы пользовался только одним способом.
|
Цитата:
|
0. Создать на FAT-флешке папку или файл autorun.inf
1. Запустить WinHex 2. Нажать F9 на клавиатуре 3. Выбрать флешку 4. Щелкнуть по папке autorun.inf правой кнопкой и выбрать Position\Go to directory entry 5. Исправить первый байт идущий после имени папки на F7 6. Нажать ctrl+s, alt+F4 После этого, на флешке, папка или файл autorun.inf превратится в скрытую системную папку, которую нельзя ни удалить, ни переименовать в Windows'e. Избавиться от этой папки можно только с помощью форматирования. |
Спасибо большое за совет !!! ты говоришь про F7 ВСЁ РАБОТАЕТ ХОРОШО а на 14 странице ты писал что надо прописать 0xF7 после имяни папки autorun.inf если писать 0xF7 то можно переименовать папку ! если просто писать autorun то защита только от удаленния папки а изменять названия папки можно . как прокоментируешь ?????
delog Спасибо большое delog за совет !!! ты говоришь про F7 ВСЁ РАБОТАЕТ ХОРОШО а на 14 странице ты писал что надо прописать 0xF7 после имяни папки autorun.inf если писать 0xF7 то можно переименовать папку ! если просто писать autorun то защита только от удаленния папки а изменять названия папки можно . . можно ли сделать папку видемой на фэлшке и зтитить от удаления и изменения названия папки . как прокоментируешь. |
Можешь писать по-английски, если это твой родной язык, так, пожалуй, будет лучше для нас обоих. А из того, что я понял, могу сказать, что 0xF7 - это способ записи шестнадцатеричных чисел в С++ т.е. к числу относится только F7, а 0х означает, что это число записано в шестнадцатеричной системе счисления.
|
delog у меня вопрос скажи в виндусе ХР-2 FAT или NTFS можно так же папку сделать Autorun.inf чтоб тоже не заражалася если можно напиши как.или чтоб не удалялась и не переименовывалась и была видемой . или также применять F7 ??? . за рание Спасибо Большое .
|
Как можно самому сделать папку Autorun.inf с защитой от записи удаления переименования на компьютере Windows SP-2 система FAT-32 И NTFS ???? Жду ответа .
|
Мда... Что в ПМ, что здесь... Кто-нибудь из наблюдателей, скажите, вы понимаете, чего от меня хотят?
regis, вот ответ на твой вопрос: |
Цитата:
Цитата:
|
Цитата:
Я вот теперь понять не могу, чего от меня еще хотят? Я все вопросы осветил сполна, дал любопытству удовлетворение... |
Цитата:
|
delog Если ты меня в этот раз не поймёшь тогда незнаю !!!! мне нужно не на флешке а в Windows XP-2 под NTFS у меня жёский диск и система ХР-2 на этом диске я хочу тоесть в системе сделать неудаляемую Папку !!!! это возможно или нет ?????? если возможно сделать в NTFS напиши пожалуйста !!!
|
Ах, вот оно что. Просто на жестких дисках автозапуск не работает, поэтому смысла защищаться от autorun.inf нет. Если же тебе нужна неудаляемая папка по другим причинам, то:
1. зайди под админом; 2. панель управления\свойства папки; 3. убери флажок на закладке по-середине "использовать упрощенный доступ"; 4. зайди в свойства папки которую хочешь защитить и открой закладку безопасность; 5. щелкни по кнопке "изменить" и настрой права для группы "пользователи"; 6. выйди из админа и продолжай работать под пользователем. Все вышеописанное только для NTFS. |
delog СПАСИБО БОЛЬШОЕ !!! Я РАД ЧТО ТЫ МЕНЯ ПОНЯЛ !!!! ВСЁ ПОЛУЧИЛОСЬ С ПАПКОЙ СТАЛА НЕУДАЛЯЕМОЙ НЕУДАЛЯЕМОЙ !!!!
|
отключил автозапуск на всех съемных дисках, в системные директории накидал пустые файлы autorun.inf, флешки открываю через проводник - проблем нет...
|
На основе исследований описанных выше сделал новую версию утилиты для отключения автозапуска
NoMoreAutoRun |
А как сделать сделать флешку Read-Only так и не нашлось решение??!
|
|
|
sereja6, во-первых, такие вещи нужно давать с открытым кодом, во-вторых, давать пояснения в теме. Раз вы не сделали это заранее - извольте изложить суть.
|
Самое простое, создать на флешке autorun.inf и в свойствах во вкладке безопасность, удалить всех пользователей. Тогда и вирь не сможет изменить ваш autorun. Но к сожалению это прокатит если носитель отформатирован в NTFS. Сам пользуюсь, спасает!
|
Цитата:
|
Если приходится пихать флешку в разные пк, есть смысл поставить по для защиты самой флешки, а не компа. Загляни сюда, очень интересное и лучшее на данный момент решение для защиты флешек: http://mechanicuss.livejournal.com/1...age=5#comments
|
Цитата:
|
Цитата:
1) У администратора есть право "Овладение файлами и иными объектами" - игнорирует права доступа NTFS и позволяет стать в любом случаи владельцем. 2) У администратора есть право "Архивирование файлов и папок" - игнорирует права доступа NTFS и позволяет считывать данные 3) У администратора есть право "Восстановление файлов и папок" - игнорирует права доступа NTFS и позволяет записывать данные. 4) У администратора есть возможность смотреть содержимое низкоуровневым доступом. 5) У неинтерактивного пользователя SYSTEM есть всевозможные права доступа. 6) Этот способ пройдет для тех случаев, если разработчику было лень заморачиваться с NTFS, либо работает от ограниченной учётной записи. А с приходом Vista, где Microsoft пытается заставить вас использовать правило пониженных привилегий - разработчики нового вредоносного ПО будут рассматривать и NTFS. |
Есть ли скрипт или bat файл, который возвращает все прежние настройки автозапуска-автовоспроизведения в Windows 7 (удаляет созданные твиками ключи типа NoDriveTypeAutorun и тд)?
Кто-нибудь пользовался утилитой NoMoreAutorun - пробовал запускать от имени администратора на Windows 7 SP1 HP - ключи реестра не изменяются (антивирус MSE) |
Цитата:
|
Celsus, в Windows 7 не используется автозапуск по-умолчанию. Утилита создана для Windows XP.
|
Цитата:
Код:
Reg.exe delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /f |
Цитата:
|
Цитата:
|
|
А если на уровне политик безопасности?
Файловая система NTFS, полный доступ для одной учётной записи, остальным чтение и выполнение. Админ, не админ, без разницы, доступ только на чтение и выполнение. Если выполнить смену владельца, то появятся права, но не каждый вирус или авторан это умеет делать... |
Ребят всем привет, нужна ваша помощь, у меня есть флешка на флешки создал фаил AutoRun.inf прописал команду [autorun]
open="vvv.bat" но почему-то батник на флешки не запускается ОС у меня вин 7 , сама флешка стартует хорошо, может данная функия вин 7 не работает?Команды правильные все. |
Цитата:
AutoRun changes in Windows 7 Цитата:
|
Petya V4sechkin,
Цитата:
|
dred3377, получается что тут помогают бороться с вредоносами, а не помогать им жить.
|
Цитата:
|
dred3377, примеры в этой теме.
|
Время: 18:49. |
Время: 18:49.
© OSzone.net 2001-