Для борьбы с флэш-вирусами есть удобная бесплатная программка: Flashcontrol v. 2.5.
http://www.taurussoft.narod.ru/
Для борьбы с флэш-вирусами есть удобная бесплатная программка: Flashcontrol v. 2.5.
http://www.taurussoft.narod.ru/
Последний раз редактировалось AndreyKa; 19.03.2008 в 11:36.
Скопировал описание для тех, кто не может или не хочет туда сходить:
(с)http://www.taurussoft.narod.ruПрограмма Flashcontrol v. 2.5 предназначена для удаления вирусов и вредоносных программ, которые внедряются в автозапуск дисков и используют файл "autorun.inf".
Программа имеет следующие возможности:
удаление заблокированных, скрытых и системных файлов "autorun.inf"
удаление исполняемых файлов вредоносных программ
контроль за появлением вредоносных программ в реальном времени и их удаление в случае проникновения
появление сообщения(названия внедряющейся программы) при проникновении вредоносной программы
возможность удаления нескольких вредоносных программ, одновременно внедряющихся на вашу флешку
В отличие от аналога anti_autorun удаляет не только файлы autorun.*, но и сам вирус
В новой версии добавлена программа "Flashcontrol menu.exe", позволяющая проверить весь компьютер (корневые каталоги и системные папки)на наличие autorun-вирусов.
горячие клавиши Ctrl+Alt+Q позволяют выйти из программы для безопасного извлечения флешки
В версии 2.2 добавлены следующие функции:
Улучшенная очистка реестра (открытие доступа к реестру,появление свойств папки в меню,разблокирование диспетчера задач)
Поиск распространенного вируса в системных папках
Улучшена Flashcontrol menu, сообщение о подключении нового устройства появляется автоматически
Несколько мелких улучшений
В версии 2.3 добавлен список исключений, позволяющий внести туда программы, которые не будут подвержены удалению, а также реализована система управления программой с помощью иконки в трее (рядом с системными часами). В версии 2.3b добавлено оформление программы в стиле Windows XP.
В версии 2.4 произведены следующие изменения:
В меню добавлен пункт "отключить сообщения", который позволяет отключить сообщения о появлении вируса
В меню добавлен пункт "Language", который позволяет поменять язык интерфейса программы.
В Flashcontrol menu также добавлена поддержка смены языка
Более продвинутая система чистки реестра
Улучшения версии 2.5:
возможность выгрузки уже загруженных в память вирусов
улучшение оформления интерфейса программы
улучшения очистки автозагрузки (теперь задействованы все варианты)
возможность безопасно извлечь флэшку при загруженной программе, что не удавалось ранее
теперь программа проверяет все доступные диски сразу, так что нет необходимости в “Flashcontrol menu.exe” – теперь он не поставляется с основной программой
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Невероятно опасная программа, не советую. Она один раз в 5 секунд тупо пробивает корень всех доступных дисков, ищет autorun.inf. Найдя его сканирует секцию [AutoRun], и обнаружив в ней имена EXE файлов думает, что это злобный вирус (автор видимо никогда в своей жизни не видел флешек с утилитой криптозащиты, которая стартует автораном). Дальше смешнее - вместо блокировки файла и запроса он без запроса убивается autorun.inf и ведет удаление файла с именем из INF файла с корне диска, папках автозагрузки, и в папке system32 !!! Т.е. если зловред называет себя скажем java.exe, то данный "антивирус" оптом прибъет легитимный java.exe в system32 ... Вот такие вот дела (я на полигоне в качестве имени указал ntoskrnl.exe - последствия надеюсь понятны ). Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ...
Что касается ntoskrnl.exe и прочих системных файлов, то они удалены не будут. Уже вчера было замечено это упущение и обновлен архив нас сайте, но видимо обновление появилось только сегодня. Во вторых: "Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ..." - программа выгружает из памяти "зловред", а что касается пяти секунд, то этого интервала вполне достаточно, чтобы выгрузить из памяти вирус. Также если вы заметили, то в проге есть список исключений, добавляй туда любые файлы и они не будут удалены. Очень уважаю ваше придирчивое отношение к делу, но если выбирать между Anti_autorun, Usb scan и прочих подобных программах, то Flashcontrol - лучшая в своем роде.
Добавлено через 3 минуты
Есть зеркала на сайтах:
1. http://freesoft.ru/?id=673742
2. http://z.one.kz/2008/01/09/flashcontrol_v21.html
3. http://softsearch.ru/programs/282-64...download.shtml
4. http://www.softlenta.ru/ap/n181203.shtml
5. http://soft-best.ws/forum/index.php?...0&#entry199039
6. http://www.alloynews.ru/news/690092.html
А также можно порыться в любой поисковой системе, например google, введя название проги.
Последний раз редактировалось opv88; 19.03.2008 в 16:56. Причина: Добавлено
Если распространяющийся на флешке зловред применит руткит-защиту, то попытка убиения процесса ровным счетом ничего не даст - на установку драйвера защиты зловреду нужны миллисекунды.
Второй момент - зловред может переименовать свой файл, создать несколько его копий с заранее неизвестными именами, и прописать все это в автозапуск и т.п., и подобная "выгрузка из памяти" опять же ровным счетом ничего не даст.
Если зловред установит свою DLL, а не будет создавать процесс - то "выгрузка процесса из памяти ничего не даст"
PS: чтобы рассуждать о надежности защиты подобной программой, стоит начать с типового примера, например с Worm.Win32.AutoRun.cvx. Данный зловред создает троянский поток в системном процессе (если точно - то в explorer.exe), а троянский поток вызовом чего-то типа taskkill не убить ... и все, система заражена. Далее он внедряет свою DLL во все процессы, и использует свой собственный процесс, имя исполняемого файла процесса совершенно не связано с именем, прописанным в autorun.inf. Почему я привел в пример этого зверя ? Потому, что этот зверь весьма распространен, именно ему принадлежат файлы AMVO.EXE и AMVO0.DLL - элементарный поиск по форуму покажет распространенность аналогов этой заразы. Flashcontrol пропускает заражение этой штукой, а затем раз в 10-15 секунд выкидывает окно о том, что удален вирус ... (таймер программы + таймер трояна в случайном сочетании). Вот такие пироги ... аналогично получается с остальными Flash вирусами
Последний раз редактировалось Зайцев Олег; 19.03.2008 в 17:42.
Насчет остальных я бы поспорил. А так все верно. Но если вирусок создаст свой поток, то ни один антивирус вас не спасет. Антивирусы типа Каспера или NOD'а вообще не выгружают из памяти вирусы, а требуют перезагрузку системы. Но прога помогает часто. Не пересчитать всех вирусов, которые она удалила. Однако, согласен, на мощное средство против борьбы с вирусами не тянет. Но я ведь и не говорил, что ВСЕГДА спасает. Может не спасти и антивирус со свежими базами, ведь так? Если внимательно прочитать инфу о проге, то становится понятен принцип ее действия. Изначально она задумывалась как средство для удаления вирусов, которые лень удалять вручную и чистить автозагрузку, занимаясь поиском этой заразы. Задача была выполнена. А использовать ее или нет - ваше дело, я ж не против. Но среди подобных программ, которые я видел, эта действительно пока лучшая.
Монитор антивируса отловит запуск зловреда и проверит его перед запуском, а не после. Если опознает - то заблокирует. Если не опознает - в дело включится проактивная защита, она есть в большинстве антивирусов. Он отловит потенциально опасное действие (а запись в память процесса и создание удаленных потоков однозначно контролируются), и блокирует его, выдавая запрос ...
Согласно данным моего анализатора, она подавит примерно 5% существующих разновидностей Flash вирусов. Остальные увы прорвутся ...
Могу подсказать, как решить такую проблему "идеалогически правильно": нужно создать ядреный драйвер, который отловит обращения к autorun файлам на сменных носителях. Обнаружив это драйвер блокирует операцию и передает информацию второму компоненту программы - UserMode GUI приложению. Оно в свою очередь выдает запрос пользователю о том, что дескать так вот и так, имеется такой-то авторан, он пытается запустить такое-то приложение, наши действия - блокировать, блокировать и удалить, разрешить однократно, разрешить и добавить в доверенные. В зависимости от выбора пользователя GUI передает драйверу команду, и он либо разрешает продолжение операции, либо блокирует ее и убивает файл. Вот в такой ситуации мышь не проскочит.
Почему Firewall - обычный монитор-блокиратор, причем не очень сложный. Пример такого блокиратора - AVZGuard , он пресекает зловредное поведение на время лечения (но он отлавливает событие и блокирует его по принципу свой-чужой, а не по желанию пользователя). Тут самое главное в том, что нужно перехватить и блокировать обращение к соответствующему файлу (скажем autorun.inf), и до вынесения вердикта по нему и тому, что он запускает держать эту блокировку. Тогда все становится на места - зверь не прошмыгнет, если конечно пользователь ему это не разрешит в явном виде ... и проблема с тем, что он куда-то внедрится, скопируется и т.п. снимается. А его реализация в виде KernelMode драйвера распространяет его действие на всю систему, т.е. если даже например я попробую открыть autorun.inf с флешки в блокиноте, то это действие будет блокировано и будет выдан запрос. Побочный эффект - из драйвера несложно отловить и создание autorun.inf - и не просто блокировать его, но и отловить, какой процесс это делает ... что позволит эффективно воевать с активным червяком
Ого, титаны разума - даже просто почитать приятно
На данный момент все "сменные" носители (DVD/Alcohol/Flash) автоматически запускаются под SandBoxie (там опция такая есть) и Ваши проблемы мне не понятны.
Не совсем панацея, но пока помогает (хотя SUBST'ом можно нарулить глупостей)
Не знаю... мне лично пока и отключение автозапуска со всех дисков помогает
Обходится легко из-за того, что система может создать исключение к этому правилу в MountPoints2. Лучше так:
Таким образом система просто тупо не узнаёт autorun.inf и проблема решена.Код:REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
Paul
Последний раз редактировалось XP user; 20.03.2008 в 18:43.
Что значит не познает?
Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.
На системе с настройками по умолчанию - да, возможно. Хотя *любой* немного преувеличено, конечно... У меня, например, на каждом шагу по всем мне известным методам заражения стоит ловушка готова для любого зверя - в депресняк они попадают все у меня вместе со своими отчаянными создателями...
P.S.: Не пользуюсь защитой в традиционном смысле...
Paul
кол-во зловредов на компе прямо пропорционально радиусу кривизны рук
есть более конструктивное решение?..Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.
кстати, мне пока ни разу не встречался вирь с такой функцией)
forum.kasperskyclub.ru