Борьба с автозапуском новыми методами

XP user · 23.03.2008, 00:36

Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?

1 + 2 - классический подход - отключить через политики Windows.
3, 4, 5 - закрытие дыр в 1+2.

1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0 и перезагрузиться.

2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру (типа REG_SZ) со значением (не названием!)

Код:

@SYS:DoesNotExist

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

[P.S.:
@ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.
SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
Создать строковый параметр типа REG_SZ с названием

Код:

*.*

(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.

Paul

XP user · 23.03.2008, 11:50

Цитата:

Сообщение от zerocorporated

Для ленивых REG файл по пунктам 1,2,3,4

У вас пункт 4 в рег файле так выглядит:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
@="*.*"

Но я имел в виду это:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Нам требуется не значение уже существующего параметра, а совсем новый параметр без дополнительного значения - см. картинку.

в отличие от другого параметра (DoesNotExist), где мы действительно задаём значение для уже существующее параметра:

Paul

**zerocorporated** · 23.03.2008, 16:43

Для ленивых REG файл по пунктам 1,2,3,4 исправленный

Marielito07 · 24.03.2008, 16:30

А про какой монитор идет речь, про тот что у антивируса? Это по поводу MountPoints

**drongo** · 24.03.2008, 19:58

Marielito07, Идёт речь про активный мониторинг реестра- у некоторых антивирусов он есть, а у других его нет. То есть, y тех у кого есть-> можно указать программе защиты следить за этим ключом и блокировать/разрешать доступ.

Sawyer · 11.11.2008, 16:45

Работают ли эти настройки для Windows Vista?
1 пункт выполнил, по 2 не смог найти Explorer в policies(его там просто нет)

Martinz · 12.11.2008, 18:53

Аналогично не смог найти Explorer в policies (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\policies\Explorer) но у меня WinXP.. Может там не HKEY_LOCAL_MACHINE а HKEY_CURRENT_USER? там и Explorer и NoDriveTypeAutoRun =/

**pig** · 13.11.2008, 03:06

Создать.

Hanson · 14.11.2008, 11:40

странность какаято происходит, вчера делал как тут написано было, комп не перезагружал чтобы проверить, выключил и ушел домой , сегодня с компом странности какието:
lotusNotesDomino кричит что у меня инвалидная языковая спецыфикация и грузиться с дефолтным языком(анлийским)
в панели быстрого запуска перестала работать кнопка "свернуть все окна"
тоал командер тоже забыл руский и все настройки что я делал, и в упор нихочет их принимать

**PavelA** · 14.11.2008, 12:02

@Hanson Это из другой оперы. У меня пару дней назад влетело обновление системы, которое сломало нон-юникодные программы. Способ вылечить нашел.
При необходимости кину ссылку в ЛС.

Hanson · 20.11.2008, 09:56

ко всему перечисленому прибавилось еще
незапускаются setup.exe под разными предлогами
какието инсталеры запускаются, но установка до конца недоходит, а просто завершается (((

**PavelA** · 20.11.2008, 11:12

Вот в этом ключике посмотри:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Кажется, я читал что это исключения.

Virtual · 23.11.2008, 12:27

Цитата:

Сообщение от Hanson

ко всему перечисленому прибавилось еще
незапускаются setup.exe под разными предлогами
какието инсталеры запускаются, но установка до конца недоходит, а просто завершается (((

а вот это думаю уже знакомо многим
проблема в длинных путях с да с пробелами да с кирилицей в переменных окружения tmp temp!
мой компьютер-свойства-дополнительно-переменные среды
в переменных среды пользователя удалить строчки касательно tmp, temp
заработают системные пути (%SystemRoot%\TEMP)

PS данная проблема известна с вин2к и первый признак: инсталшиелд доходит до 99% думает... иии вылетает молча

Liveofan · 24.11.2008, 04:35

Для ленивых скриптик убивающий авторан, по выше описанной технологии

Hanson · 24.11.2008, 08:39

Liveofan,PavelA
спасибо за советы,
но проблему решил переустановкой винды, всеравно это давно надо сделать было, просто нехотелось, а так повод нашелся,

Brainiacs · 05.12.2008, 05:57

Доброго времени!

Пару вопросов:

1. Если человек работает с банк-клиентами, и у него flash'ки для авторизации или usb-дисковод для дискет,
я так понимаю это как-то повлияет на работу с банк-клиентами???

2. А может, кто-нибуть выложить скриптик возврата настроек
в прежнее состояние (чтобы autorun работал)???

With Best Regards
Brainiacs

**Alex_Goodwin** · 05.12.2008, 09:48

Для авторизации автозапуск не нужен. Софт сам ищет ключ на флешке.

Snejoker · 11.12.2008, 09:36

Цитата:

Сообщение от Brainiacs

2. А может, кто-нибуть выложить скриптик возврата настроек
в прежнее состояние (чтобы autorun работал)???

Актуально и для меня.

NRA · 11.12.2008, 15:58

Цитата:

Актуально и для меня.

К сожалению, это актуально для многих:

1. перед любыми манипуляциями с реестром
а) делать бэкап (экспорт всех/нужных ветвей == ~55 МБ и можно сжать ZiP/RAR == ~1 МБ) или
б) сделать Точку восстановления

2. посмотреть исходный текст мкрипта и восстановить дефолтные/нужные значения
(можно глянуть и под другим аккаунтом/на другом компьютере)

3. думать головой и, в случае необходимости, - пользоваться поисковиками

23.03.2008, 00:36	#1
XP user Регистрация: 27.08.2006 Сообщений: 2,466 Вес репутации: 0	Борьба с автозапуском новыми методами Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм? 1 + 2 - классический подход - отключить через политики Windows. 3, 4, 5 - закрытие дыр в 1+2. 1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom Установить значение параметра AutoRun равным 0 и перезагрузиться. 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer 'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная) Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности. 3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf Дать строковому параметру (типа REG_SZ) со значением (не названием!) Код: @SYS:DoesNotExist Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются. [P.S.: @ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре. SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.] 4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files Создать строковый параметр типа REG_SZ с названием Код: *.* (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим . - это значит 'любой'). 5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме. Paul Последний раз редактировалось XP user; 23.03.2008 в 12:41

24.03.2008, 19:58	#5
drongo Global Moderator Регистрация: 17.09.2004 Адрес: Israel Сообщений: 7,287 Вес репутации: 944	Marielito07, Идёт речь про активный мониторинг реестра- у некоторых антивирусов он есть, а у других его нет. То есть, y тех у кого есть-> можно указать программе защиты следить за этим ключом и блокировать/разрешать доступ. __________________ *Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась *MyFirefox Portable special avz @ rapidshare.com md5: 2091925798B7909E010E3F7E328C5F0D Последний раз редактировалось drongo; 25.03.2008 в 09:43

13.11.2008, 03:06	#8
pig Visiting Moderator Регистрация: 17.09.2004 Адрес: Апатиты, Мурманская область, Россия Сообщений: 10,524 Вес репутации: 1252	Создать. __________________ Поддержите проект Что значит и Как сделать (ЧаВо) * Скажи, что ты думаешь о Virusinfo Doctor Web Eserv

14.11.2008, 12:02	#10
PavelA Helper-Teacher Регистрация: 07.07.2005 Адрес: Moscow region Сообщений: 23,615 Вес репутации: 2111	@Hanson Это из другой оперы. У меня пару дней назад влетело обновление системы, которое сломало нон-юникодные программы. Способ вылечить нашел. При необходимости кину ссылку в ЛС. __________________ Павел AVZ HijackThis помощь с 10-00 до 18-00МСК Windows2000, SEP(work) KIS(home) На up не реагирую полиморфный AVZ альтернатива Помощь сайту

20.11.2008, 11:12	#12
PavelA Helper-Teacher Регистрация: 07.07.2005 Адрес: Moscow region Сообщений: 23,615 Вес репутации: 2111	Вот в этом ключике посмотри: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Кажется, я читал что это исключения. __________________ Павел AVZ HijackThis помощь с 10-00 до 18-00МСК Windows2000, SEP(work) KIS(home) На up не реагирую полиморфный AVZ альтернатива Помощь сайту

24.03.2008, 16:30	#4
Marielito07 Junior Member Регистрация: 14.02.2008 Сообщений: 60 Вес репутации: 9	А про какой монитор идет речь, про тот что у антивируса? Это по поводу MountPoints

11.11.2008, 16:45	#6
Sawyer Junior Member Регистрация: 11.11.2008 Сообщений: 1 Вес репутации: 7	Работают ли эти настройки для Windows Vista? 1 пункт выполнил, по 2 не смог найти Explorer в policies(его там просто нет)

12.11.2008, 18:53	#7
Martinz Junior Member Регистрация: 07.04.2008 Сообщений: 6 Вес репутации: 9	Аналогично не смог найти Explorer в policies (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\policies\Explorer) но у меня WinXP.. Может там не HKEY_LOCAL_MACHINE а HKEY_CURRENT_USER? там и Explorer и NoDriveTypeAutoRun =/

14.11.2008, 11:40	#9
Hanson Senior Member Регистрация: 14.05.2008 Адрес: Moscow Сообщений: 597 Вес репутации: 178	странность какаято происходит, вчера делал как тут написано было, комп не перезагружал чтобы проверить, выключил и ушел домой , сегодня с компом странности какието: lotusNotesDomino кричит что у меня инвалидная языковая спецыфикация и грузиться с дефолтным языком(анлийским) в панели быстрого запуска перестала работать кнопка "свернуть все окна" тоал командер тоже забыл руский и все настройки что я делал, и в упор нихочет их принимать

20.11.2008, 09:56	#11
Hanson Senior Member Регистрация: 14.05.2008 Адрес: Moscow Сообщений: 597 Вес репутации: 178	ко всему перечисленому прибавилось еще незапускаются setup.exe под разными предлогами какието инсталеры запускаются, но установка до конца недоходит, а просто завершается (((

24.11.2008, 08:39	#15
Hanson Senior Member Регистрация: 14.05.2008 Адрес: Moscow Сообщений: 597 Вес репутации: 178	Liveofan,PavelA спасибо за советы, но проблему решил переустановкой винды, всеравно это давно надо сделать было, просто нехотелось, а так повод нашелся,

05.12.2008, 05:57	#16
Brainiacs Junior Member Регистрация: 13.10.2008 Сообщений: 1 Вес репутации: 7	Доброго времени! Пару вопросов: 1. Если человек работает с банк-клиентами, и у него flash'ки для авторизации или usb-дисковод для дискет, я так понимаю это как-то повлияет на работу с банк-клиентами??? 2. А может, кто-нибуть выложить скриптик возврата настроек в прежнее состояние (чтобы autorun работал)??? With Best Regards Brainiacs

05.12.2008, 09:48	#17
Alex_Goodwin Прогрессор Регистрация: 28.03.2006 Адрес: СПб Сообщений: 2,683 Вес репутации: 1233	Для авторизации автозапуск не нужен. Софт сам ищет ключ на флешке. __________________ Как "пофиксить"? Как выполнить скрипт в AVZ?

Опции темы
Версия для печати Отправить по электронной почте

Advertisement
VirusInfo Advertisement