[Котяра]

beve, это бесполезно. Вы запустите этот скрипт, дальше за секунды флешка заразится опять.

[speechless]

beve, можно сделать по другому:
Я на своём компе поставил в авто загрузку скрипт типа:

Код:

#NoTrayIcon
$regRead = RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer", "NoDriveTypeAutoRun") ;читаем реестр
If $regRead<>221 Then
	$msgReg=MsgBox(4, "NoAutorunRz", "Вы хотите отключить автозапуск всех"&@LF&"типов устройств, кроме привода"&@LF&"(Рекомендуется)")
		If $msgReg =6 Then ;если да
			$regWrite=RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer", "NoDriveTypeAutoRun", "REG_DWORD", "221")
				If $regWrite=0 Then ;если ошибка
					MsgBox(48, "NoAutorunRz", "Не удалось добавить инфармацию в реестр")
					Exit
				EndIf	
		EndIf
EndIf

While 1
	Sleep(3000) ; проверка каждые 3 секунды
  Event1()   ; выполняем функцию в цикле 
WEnd
  
Func Event1()
  $letterDrive = DriveGetDrive( "REMOVABLE" )  ; ищем все съемные носители
If NOT @error Then
    ;MsgBox(4096,"", "Found " & $var[0] & " drives")
    For $i = 1 to $letterDrive[0] 
		If $letterDrive[$i]<> "a:" Then  ;пропускаем дисковод
		;$labelDrive = DriveGetLabel( $letterDrive[$i] ) ;узнаём метку найденых
		$autorun=FileExists($letterDrive[$i]&"\Autorun.inf") ;ищем файл Autorun.inf
			If $autorun=1 Then ;если существует
				$msgAut=MsgBox(20,"NoAutorunRz - ВНИМАНИЕ", "На флешке найден файл <"&$letterDrive[$i]&"\autorun.inf>"&@LF&"ВОЗМОЖНО ВИРУС"&@LF&@LF&"Хотите его удалить")
				If $msgAut=6 Then 
					FileSetAttrib($letterDrive[$i]&"\autorun.inf", "-R") ;снять атрибут чтения
					FileDelete($letterDrive[$i]&"\autorun.inf")
				EndIf	
			Endif	
		Endif
    Next
EndIf
EndFunc

И при втыкании флешки проверяет наличие файла autorun.inf (все остальное можно удалить ручками)

[proxy]

Имхо, у меня стоит антивир+фаервол: ESS 4 (jy же NOD) все удалет со всех флешек и с ключами нет проблем )))

beve, а попробуйте на флешку записать папку с именем:
AUTORUN.INF

по идее ни какой файл с таким именем невозможно создать.
если только эти "звери" не шибко умные.
хотя....если названить папку системной / архивной / только чтение и т.д. - может прокатит?

beve, как понимаю хотите запускать скрипт на флэшке - пока она еще "в гостях".
тогда релаьно стоит посмотреть в сторону:
1. поиск возможных нарушителей
2. если есть - то создовать файлы с таким е именем с атрибутами системными, что бы сложнее удалить....(может поможет)
3. и побыстрее выдернуть...

Вы поэксперементируйте на зараженном ПК - и все станет ясно.
А то тут много можем гадать ))

[speechless]

proxy,

Ничего из выше перичисленного не сработает на зараженной машине (намаелся уже)
Остается только боротсься с последствиями на незараженной системе

[beve]

Цитата proxy:

Вы поэксперементируйте на зараженном ПК - и все станет ясно. »

Лично у меня KIS 6 и тоже проблем с этим нету, но вот у сестры на работе - эта проблемма! Флэшку боится включать на работе, ибо тогда куда, не прийдет с этой флэшкой - ясное дело, не вольно вирусы переносит(неприятная систуация), вот и думал про такое простое решение. Видимо так как думалось - не выйдет... Мож кто еще какое решение предложит? speechless-решение хорошее. Но если бы хоть это было на всех компах в мире...

[proxy]

beve, тогда учите скрипт:
0. думаю стоит поискать вариант блокировки....
1. чистеть флешку
2. сразу её отключать

т.е. скрипт удаляет все подозрительные файлы.
и далее следить каждую секунду (а лучше 250мс) не появился ли файл AUTORUN.INF (все остальное не важно - без него все равно они не запустятся)
и в это время отключать флешку (скрипт даже можно что бы он копировался в тэм и оттуда запусклся или в надежное место и
линк в пуск - что бы на будущее ))

скорее всего есть средства (мож win Api) безопасного извлечения...
в помощь MSDN - значит можно )
немного по теме
+ еще

идея в том, что вир не будет записываться каждую секунду, как
правило, имхо так встречал, проходит 2-5 секунд....если контролить
появление AUTORUN.INF каждые 50-250мс = то он не проскользнет.
а в это время второй скрипт будет безопасно извлекать флешку.

все это дела, как говорил в одно скрипте который через FileInstall
все закидывает куданить на лок машину и запускает...

должно сработать )

[beve]

Цитата proxy:

скорее всего есть средства (мож win Api) безопасного извлечения... »

Код на autoit, как это сделать через Win Api, я нашел и писал об этом в начале, переработать его под этие нужды - проблем нет.
Я тоже размышляю, удастся ли раньше вируса успеть удалить файлы и извлеч устройство или нет...

[proxy]

Цитата beve:

как это сделать через Win Api, я нашел и писал об этом в начале »

пардон, ступил...

Цитата beve:

удастся ли раньше вируса успеть удалить файлы и извлеч устройство или нет... »

имхо - думаю удастся. главное параллейно мониторить флешку
и извлекать, что бы не отрываться от процесса зачистки до последней милли-милли-секунды ))

[speechless]

Цитата proxy:

....если контролить появление AUTORUN.INF каждые 50-250мс »

При слишком частом мониторинге флешки, безопасно её удалить не удасться.
каждые 2 сек - 50/50
1,5 сек - 10/90
покрайне мере у меня