Показано с 1 по 19 из 19.

Борьба с автозапуском новыми методами

  1. #1
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0

    Борьба с автозапуском новыми методами

    Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?

    1 + 2 - классический подход - отключить через политики Windows.
    3, 4, 5 - закрытие дыр в 1+2.

    1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
    Установить значение параметра AutoRun равным 0 и перезагрузиться.

    2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
    'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
    Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.

    3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
    Дать строковому параметру (типа REG_SZ) со значением (не названием!)
    Код:
    @SYS:DoesNotExist
    Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

    [P.S.:
    @ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.
    SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]

    4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
    Создать строковый параметр типа REG_SZ с названием
    Код:
    *.*
    (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

    5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.

    Paul
    Последний раз редактировалось XP user; 23.03.2008 в 13:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Для ленивых REG файл по пунктам 1,2,3,4
    У вас пункт 4 в рег файле так выглядит:
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
    @="*.*"
    Но я имел в виду это:
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
    "*.*"=""
    Нам требуется не значение уже существующего параметра, а совсем новый параметр без дополнительного значения - см. картинку.



    в отличие от другого параметра (DoesNotExist), где мы действительно задаём значение для уже существующее параметра:



    Paul
    Последний раз редактировалось XP user; 23.03.2008 в 13:11.

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    60
    Вес репутации
    59
    А про какой монитор идет речь, про тот что у антивируса? Это по поводу MountPoints

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Marielito07, Идёт речь про активный мониторинг реестра- у некоторых антивирусов он есть, а у других его нет. То есть, y тех у кого есть-> можно указать программе защиты следить за этим ключом и блокировать/разрешать доступ.
    Последний раз редактировалось drongo; 25.03.2008 в 10:43.

  7. #6
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    1
    Вес репутации
    57
    Работают ли эти настройки для Windows Vista?
    1 пункт выполнил, по 2 не смог найти Explorer в policies(его там просто нет)

  8. #7
    Junior Member Репутация
    Регистрация
    07.04.2008
    Сообщений
    6
    Вес репутации
    59
    Аналогично не смог найти Explorer в policies (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\policies\Explorer) но у меня WinXP.. Может там не HKEY_LOCAL_MACHINE а HKEY_CURRENT_USER? там и Explorer и NoDriveTypeAutoRun =/

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Создать.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    227
    странность какаято происходит, вчера делал как тут написано было, комп не перезагружал чтобы проверить, выключил и ушел домой , сегодня с компом странности какието:
    lotusNotesDomino кричит что у меня инвалидная языковая спецыфикация и грузиться с дефолтным языком(анлийским)
    в панели быстрого запуска перестала работать кнопка "свернуть все окна"
    тоал командер тоже забыл руский и все настройки что я делал, и в упор нихочет их принимать

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Hanson Это из другой оперы. У меня пару дней назад влетело обновление системы, которое сломало нон-юникодные программы. Способ вылечить нашел.
    При необходимости кину ссылку в ЛС.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    227
    ко всему перечисленому прибавилось еще
    незапускаются setup.exe под разными предлогами
    какието инсталеры запускаются, но установка до конца недоходит, а просто завершается (((

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вот в этом ключике посмотри:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Кажется, я читал что это исключения.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    657
    Цитата Сообщение от Hanson Посмотреть сообщение
    ко всему перечисленому прибавилось еще
    незапускаются setup.exe под разными предлогами
    какието инсталеры запускаются, но установка до конца недоходит, а просто завершается (((
    а вот это думаю уже знакомо многим
    проблема в длинных путях с да с пробелами да с кирилицей в переменных окружения tmp temp!
    мой компьютер-свойства-дополнительно-переменные среды
    в переменных среды пользователя удалить строчки касательно tmp, temp
    заработают системные пути (%SystemRoot%\TEMP)

    PS данная проблема известна с вин2к и первый признак: инсталшиелд доходит до 99% думает... иии вылетает молча

  15. #14
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    12
    Вес репутации
    59
    Для ленивых скриптик убивающий авторан, по выше описанной технологии
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    227
    Liveofan,PavelA
    спасибо за советы,
    но проблему решил переустановкой винды, всеравно это давно надо сделать было, просто нехотелось, а так повод нашелся,

  17. #16
    Junior Member Репутация
    Регистрация
    13.10.2008
    Сообщений
    3
    Вес репутации
    57
    Доброго времени!

    Пару вопросов:

    1. Если человек работает с банк-клиентами, и у него flash'ки для авторизации или usb-дисковод для дискет,
    я так понимаю это как-то повлияет на работу с банк-клиентами???

    2. А может, кто-нибуть выложить скриптик возврата настроек
    в прежнее состояние (чтобы autorun работал)???

    With Best Regards
    Brainiacs

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Для авторизации автозапуск не нужен. Софт сам ищет ключ на флешке.

  19. #18
    Junior Member Репутация
    Регистрация
    27.11.2008
    Сообщений
    6
    Вес репутации
    57
    Цитата Сообщение от Brainiacs Посмотреть сообщение
    2. А может, кто-нибуть выложить скриптик возврата настроек
    в прежнее состояние (чтобы autorun работал)???
    Актуально и для меня.

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для NRA
    Регистрация
    17.03.2008
    Сообщений
    375
    Вес репутации
    206
    Актуально и для меня.
    К сожалению, это актуально для многих:

    1. перед любыми манипуляциями с реестром
    а) делать бэкап (экспорт всех/нужных ветвей == ~55 МБ и можно сжать ZiP/RAR == ~1 МБ) или
    б) сделать Точку восстановления

    2. посмотреть исходный текст мкрипта и восстановить дефолтные/нужные значения
    (можно глянуть и под другим аккаунтом/на другом компьютере)

    3. думать головой и, в случае необходимости, - пользоваться поисковиками
    Нас объединяет то, что разъединяет

Похожие темы

  1. Борьба с автозапуском новыми методами
    От robo в разделе Помогите!
    Ответов: 43
    Последнее сообщение: 15.01.2011, 10:59
  2. Проблема с автозапуском
    От nismoxid в разделе Помогите!
    Ответов: 26
    Последнее сообщение: 18.09.2009, 21:47
  3. Борьба с автозапуском новыми методами для Vista
    От 9073 в разделе Общая сетевая безопасность
    Ответов: 7
    Последнее сообщение: 10.07.2009, 12:39
  4. Ответов: 3
    Последнее сообщение: 30.07.2005, 12:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00621 seconds with 20 queries