# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Удобная программка для борьбы с флэш-вирусами

## opv88

Для борьбы с флэш-вирусами есть удобная бесплатная программка: Flashcontrol v. 2.5. 
http://www.taurussoft.narod.ru/

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Для борьбы с флэш-вирусами есть удобная бесплатная программка: Flashcontrol v. 2.5. 
> http://www.taurussoft.narod.ru/


Жаль, что на narod.ru лежит - домен у меня заблокирован из-за его грустной истории по распространению зловредов...

Paul

----------


## PavelA

Скопировал описание для тех, кто не может или не хочет туда сходить:



> Программа Flashcontrol v. 2.5 предназначена для удаления вирусов и вредоносных программ, которые внедряются в автозапуск дисков и используют файл "autorun.inf". 
> 
> Программа имеет следующие возможности: 
> 
> удаление заблокированных, скрытых и системных файлов "autorun.inf" 
> удаление исполняемых файлов вредоносных программ 
> контроль за появлением вредоносных программ в реальном времени и их удаление в случае проникновения 
> появление сообщения(названия внедряющейся программы) при проникновении вредоносной программы 
> возможность удаления нескольких вредоносных программ, одновременно внедряющихся на вашу флешку 
> ...


(с)http://www.taurussoft.narod.ru

----------


## Зайцев Олег

Невероятно опасная программа, не советую. Она один раз в 5 секунд тупо пробивает корень всех доступных дисков, ищет autorun.inf. Найдя его сканирует секцию [AutoRun], и обнаружив в ней имена EXE файлов думает, что это злобный вирус (автор видимо никогда в своей жизни не видел флешек с утилитой криптозащиты, которая стартует автораном). Дальше смешнее - вместо блокировки файла и запроса он без запроса убивается autorun.inf и ведет удаление файла с именем из INF файла с корне диска, папках автозагрузки, и в папке system32 !!! Т.е. если зловред называет себя скажем java.exe, то данный "антивирус" оптом прибъет легитимный java.exe в system32 ... Вот такие вот дела (я на полигоне в качестве имени указал ntoskrnl.exe - последствия надеюсь понятны  :Smiley:  ). Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ...

----------


## Marielito07

> Жаль, что на narod.ru лежит - домен у меня заблокирован из-за его грустной истории по распространению зловредов...
> 
> Paul


Сорри за оффтоп, а что за история с narod.ru?

----------


## opv88

> Невероятно опасная программа, не советую. Она один раз в 5 секунд тупо пробивает корень всех доступных дисков, ищет autorun.inf. Найдя его сканирует секцию [AutoRun], и обнаружив в ней имена EXE файлов думает, что это злобный вирус (автор видимо никогда в своей жизни не видел флешек с утилитой криптозащиты, которая стартует автораном). Дальше смешнее - вместо блокировки файла и запроса он без запроса убивается autorun.inf и ведет удаление файла с именем из INF файла с корне диска, папках автозагрузки, и в папке system32 !!! Т.е. если зловред называет себя скажем java.exe, то данный "антивирус" оптом прибъет легитимный java.exe в system32 ... Вот такие вот дела (я на полигоне в качестве имени указал ntoskrnl.exe - последствия надеюсь понятны  ). Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ...


Что касается ntoskrnl.exe и прочих системных файлов, то они удалены не будут. Уже вчера было замечено это упущение и обновлен архив нас сайте, но видимо обновление появилось только сегодня. Во вторых: "Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ..." - программа выгружает из памяти "зловред", а что касается пяти секунд, то этого интервала вполне достаточно, чтобы выгрузить из памяти вирус. Также если вы заметили, то в проге есть список исключений, добавляй туда любые файлы и они не будут удалены. Очень уважаю ваше придирчивое отношение к делу, но если выбирать между Anti_autorun, Usb scan и прочих подобных программах, то Flashcontrol - лучшая в своем роде.

*Добавлено через 3 минуты*




> Жаль, что на narod.ru лежит - домен у меня заблокирован из-за его грустной истории по распространению зловредов...
> 
> Paul


Есть зеркала на сайтах:

1. http://freesoft.ru/?id=673742
2. http://z.one.kz/2008/01/09/flashcontrol_v21.html
3. http://softsearch.ru/programs/282-64...download.shtml
4. http://www.softlenta.ru/ap/n181203.shtml
5. http://soft-best.ws/forum/index.php?...0&#entry199039
6. http://www.alloynews.ru/news/690092.html

А также можно порыться в любой поисковой системе, например google, введя название проги.

----------


## Зайцев Олег

> Во вторых: "Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ..." - программа выгружает из памяти "зловред", а что касается пяти секунд, то этого интервала вполне достаточно, чтобы выгрузить из памяти вирус.


Если распространяющийся на флешке зловред применит руткит-защиту, то попытка убиения процесса ровным счетом ничего не даст - на установку драйвера защиты зловреду нужны миллисекунды. 
Второй момент - зловред может переименовать свой файл, создать несколько его копий с заранее неизвестными именами, и прописать все это в автозапуск и т.п., и подобная "выгрузка из памяти" опять же ровным счетом ничего не даст. 
Если зловред установит свою DLL, а не будет создавать процесс - то "выгрузка процесса из памяти ничего не даст"
PS: чтобы рассуждать о надежности защиты подобной программой, стоит начать с типового примера, например с Worm.Win32.AutoRun.cvx. Данный зловред создает троянский поток в системном процессе (если точно - то в explorer.exe), а троянский поток вызовом чего-то типа taskkill не убить ... и все, система заражена. Далее он внедряет свою DLL во все процессы, и использует свой собственный процесс, имя исполняемого файла процесса совершенно не связано с именем, прописанным в autorun.inf. Почему я привел в пример этого зверя ? Потому, что этот зверь весьма распространен, именно ему принадлежат файлы AMVO.EXE и AMVO0.DLL - элементарный поиск по форуму покажет распространенность аналогов этой заразы. Flashcontrol пропускает заражение этой штукой, а затем раз в 10-15 секунд выкидывает окно о том, что удален вирус ... (таймер программы + таймер трояна в случайном сочетании). Вот такие пироги ... аналогично получается с остальными Flash вирусами

----------


## opv88

> Если распространяющийся на флешке зловред применит руткит-защиту, то попытка убиения процесса ровным счетом ничего не даст - на установку драйвера защиты зловреду нужны миллисекунды. 
> Второй момент - зловред может переименовать свой файл, создать несколько его копий с заранее неизвестными именами, и прописать все это в автозапуск и т.п., и подобная "выгрузка из памяти" опять же ровным счетом ничего не даст. 
> Если зловред установит свою DLL, а не будет создавать процесс - то "выгрузка процесса из памяти ничего не даст"
> PS: чтобы рассуждать о надежности защиты подобной программой, стоит начать с типового примера, например с Worm.Win32.AutoRun.cvx. Данный зловред создает троянский поток в системном процессе (если точно - то в explorer.exe), а троянский поток вызовом чего-то типа taskkill не убить ... и все, система заражена. Далее он внедряет свою DLL во все процессы, и использует свой собственный процесс, имя исполняемого файла процесса совершенно не связано с именем, прописанным в autorun.inf. Почему я привел в пример этого зверя ? Потому, что этот зверь весьма распространен, именно ему принадлежат файлы AMVO.EXE и AMVO0.DLL - элементарный поиск по форуму покажет распространенность аналогов этой заразы. Flashcontrol пропускает заражение этой штукой, а затем раз в 10-15 секунд выкидывает окно о том, что удален вирус ... (таймер программы + таймер трояна в случайном сочетании). Вот такие пироги ... аналогично получается с остальными Flash вирусами


Насчет остальных я бы поспорил. А так все верно. Но если вирусок создаст свой поток, то ни один антивирус вас не спасет. Антивирусы типа Каспера или NOD'а вообще не выгружают из памяти вирусы, а требуют перезагрузку системы. Но прога помогает часто. Не пересчитать всех вирусов, которые она удалила. Однако, согласен, на мощное средство против борьбы с вирусами не тянет. Но я ведь и не говорил, что ВСЕГДА спасает. Может не спасти и антивирус со свежими базами, ведь так? Если внимательно прочитать инфу о проге, то становится понятен принцип ее действия. Изначально она задумывалась как средство для удаления вирусов, которые лень удалять вручную и чистить автозагрузку, занимаясь поиском этой заразы. Задача была выполнена. А использовать ее или нет - ваше дело, я ж не против. Но среди подобных программ, которые я видел, эта действительно пока лучшая.

----------


## Зайцев Олег

> Насчет остальных я бы поспорил. А так все верно. Но если вирусок создаст свой поток, то ни один антивирус вас не спасет. Антивирусы типа Каспера или NOD'а вообще не выгружают из памяти вирусы, а требуют перезагрузку системы.


Монитор антивируса отловит запуск зловреда и проверит его перед запуском, а не после. Если опознает - то заблокирует. Если не опознает - в дело включится проактивная защита, она есть в большинстве антивирусов. Он отловит потенциально опасное действие (а запись в память процесса и создание удаленных потоков однозначно контролируются), и блокирует его, выдавая запрос ...



> Но прога помогает часто. Не пересчитать всех вирусов, которые она удалила. Однако, согласен, на мощное средство против борьбы с вирусами не тянет...


Согласно данным моего анализатора, она подавит примерно 5% существующих разновидностей Flash вирусов. Остальные увы прорвутся ... 
Могу подсказать, как решить такую проблему "идеалогически правильно": нужно создать ядреный драйвер, который отловит обращения к autorun файлам на сменных носителях. Обнаружив это драйвер блокирует операцию и передает информацию второму компоненту программы - UserMode GUI приложению. Оно в свою очередь выдает запрос пользователю о том, что дескать так вот и так, имеется такой-то авторан, он пытается запустить такое-то приложение, наши действия - блокировать, блокировать и удалить, разрешить однократно, разрешить и добавить в доверенные. В зависимости от выбора пользователя GUI передает драйверу команду, и он либо разрешает продолжение операции, либо блокирует ее и убивает файл. Вот в такой ситуации мышь не проскочит.

----------


## opv88

> Монитор антивируса отловит запуск зловреда и проверит его перед запуском, а не после. Если опознает - то заблокирует. Если не опознает - в дело включится проактивная защита, она есть в большинстве антивирусов. Он отловит потенциально опасное действие (а запись в память процесса и создание удаленных потоков однозначно контролируются), и блокирует его, выдавая запрос ...
> 
> Согласно данным моего анализатора, она подавит примерно 5% существующих разновидностей Flash вирусов. Остальные увы прорвутся ... 
> Могу подсказать, как решить такую проблему "идеалогически правильно": нужно создать ядреный драйвер, который отловит обращения к autorun файлам на сменных носителях. Обнаружив это драйвер блокирует операцию и передает информацию второму компоненту программы - UserMode GUI приложению. Оно в свою очередь выдает запрос пользователю о том, что дескать так вот и так, имеется такой-то авторан, он пытается запустить такое-то приложение, наши действия - блокировать, блокировать и удалить, разрешить однократно, разрешить и добавить в доверенные. В зависимости от выбора пользователя GUI передает драйверу команду, и он либо разрешает продолжение операции, либо блокирует ее и убивает файл. Вот в такой ситуации мышь не проскочит.


Это уже Firewall какой-то получается!

----------


## Зайцев Олег

> Это уже Firewall какой-то получается!


Почему Firewall - обычный монитор-блокиратор, причем не очень сложный. Пример такого блокиратора - AVZGuard , он пресекает зловредное поведение на время лечения (но он отлавливает событие и блокирует его по принципу свой-чужой, а не по желанию пользователя). Тут самое главное в том, что нужно перехватить и блокировать обращение к соответствующему файлу (скажем autorun.inf), и до вынесения вердикта по нему и тому, что он запускает держать эту блокировку. Тогда все становится на места - зверь не прошмыгнет, если конечно пользователь ему это не разрешит в явном виде ... и проблема с тем, что он куда-то внедрится, скопируется и т.п. снимается. А его реализация в виде KernelMode драйвера распространяет его действие на всю систему, т.е. если даже например я попробую открыть autorun.inf с флешки в блокиноте, то это действие будет блокировано и будет выдан запрос. Побочный эффект - из драйвера несложно отловить и создание autorun.inf - и не просто блокировать его, но и отловить, какой процесс это делает ... что позволит эффективно воевать с активным червяком

----------


## NRA

Ого, титаны разума - даже просто почитать приятно  :Wink: 

На данный момент все "сменные" носители (DVD/Alcohol/Flash) автоматически запускаются под SandBoxie (там опция такая есть) и Ваши проблемы мне не понятны.
 Не совсем панацея, но пока помогает (хотя SUBST'ом можно нарулить глупостей)

----------


## zerocorporated

Не знаю... мне лично пока и отключение автозапуска со всех дисков помогает

----------


## XP user

> Не знаю... мне лично пока и отключение автозапуска со всех дисков помогает


Обходится легко из-за того, что система может создать исключение к этому правилу в MountPoints2. Лучше так:



```
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

Таким образом система просто тупо не узнаёт autorun.inf и проблема решена.

Paul

----------


## Marielito07

Что значит не познает?

----------


## XP user

> Что значит не познает?


Возможно, как не-носитель языка использовал не ту приставку. 'Узнает' имел в виду (поправил). В ключе указано - 'autorun.inf на компе НЕ СУЩЕСТВУЕТ'. Значит - ОС не может выполнять содержание несуществующего файла.

Paul

----------


## opv88

Могу вам  сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.

----------


## Зайцев Олег

> Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.


Ничего зловред не включит ... Чтобы включить автозапуск зловреду необходимо запуститься при помощи этого самого автозапуска, который отключен  :Smiley:

----------


## XP user

> Могу вам  сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.


На системе с настройками по умолчанию - да, возможно. Хотя *любой* немного преувеличено, конечно... У меня, например, на каждом шагу по всем мне известным методам заражения стоит ловушка готова для любого зверя - в депресняк они попадают все у меня вместе со своими отчаянными создателями...  :Smiley:  
P.S.: Не пользуюсь защитой в традиционном смысле...

Paul

----------


## vidocq89

кол-во зловредов на компе прямо пропорционально радиусу кривизны рук



> Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.


есть более конструктивное решение?.. 
кстати, мне пока ни разу не встречался вирь с такой функцией)

----------


## ALEX(XX)

> кол-во зловредов на компе прямо пропорционально радиусу кривизны рук


Логично

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> кол-во зловредов на компе прямо пропорционально радиусу кривизны рук


А точнее - квадрату это радиуса  :Smiley:  Например что мешает нажать и подержать левый shift ...

----------


## Marielito07

Прошу прощения за оффтоп, но обьясните плз в чем разница межде автораном когда вставляешь флешку(для защиты используют выше сказаний Shift) и двойным щелчком на саму флешку при ее открытии(тут отключают его в реестре MountPoints)?
И что более опасное,что важнее применять?

----------


## XP user

> Прошу прощения за оффтоп, но обьясните плз в чем разница межде автораном когда вставляешь флешку(для защиты используют выше сказаний Shift) и двойным щелчком на саму флешку при ее открытии(тут отключают его в реестре MountPoints)?
> И что более опасное,что важнее применять?


http://ru.wikipedia.org/wiki/Autorun.inf
В принципе автозапуск работает как указано на картинке.



НО: многие USB-контроллеры на самом деле устройства с Прямым Доступом к Памяти - им пофигу-мороз Майкрософтские политики, и тем более ваши. Наиболее эффектнивное решение в данный момент - запрет чтения autorun.inf в системе вообще, например как указано в сообщении №14. Как только и это обходят, что-нибудь новое придумаем...  :Cheesy: 

Paul

----------


## PavelA

> А точнее - квадрату это радиуса  Например что мешает нажать и подержать левый shift ...


Торопливость, желание по-быстрее сделать работу: скопировать документ, например.
Забывчивость.
Незнание этого приема вообще.

----------


## XP user

Кстати, нашёл ещё один забавный способ к дополнению того, что я ранее привёл:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\AutoplayHandlers\CancelAutopla  y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, при наличии которых 'AutoPlay' на CD-Rom и флэшке запрешается. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы). Вот так:



Paul

----------


## Marielito07

А как винда находит на флешке есть ли там Autoplay file types, просто если она имеет доступ и уже сканирует на похожие типы файлов для автозапуска ну то есть  Nero, WindowsMediplayer...  то флешка уже открыта получается
кстати пробовал в Win 2000 поставить Разрешение только на чтение, но не получается ставит на все галки сразу полный запрет!

----------


## XP user

> А как винда находит на флешке есть ли там Autoplay file types, просто если она имеет доступ и уже сканирует на похожие типы файлов для автозапуска ну то есть  Nero, WindowsMediplayer...  то флешка уже открыта получается
> кстати пробовал в Win 2000 поставить Разрешение только на чтение, но не получается ставит на все галки сразу полный запрет!


Я написал в инструкциях (которые были назначены ПРОФЕССИОНАЛАМ), что если вы хотите запретить, то тогда *левую колонку с разрешениями НЕЛЬЗЯ трогать.* Надо наоборот отметить правую колонку с запретами. Если вы НЕ профессионал, то тогда оставьте ключи, в которых вы не разбираетесь в покое. Так мне будет спокойнее на душе. Спасибо. 
Проще задать в вашей программе защиты, чтобы она мониторила/запретила обращение к этим ключам.
Один из первых ключей, который Windows читает, это именно IniFileMapping. Если там запрет стоит на autorun.inf (или вернее - что такое не существует на компе), то тогда она дальше уже не будет пытаться искать ничего.
Кроме того, раздел 'AutoplayHandlers' тоже из первых параметров, которые определяют что будет в случае 'монтирования' устройств. *.* как параметр исключает запуск autorun.* (то есть - другие расширения того же автозапуска).

Paul

----------


## Marielito07

Ну зачем вы меня так "попускаете", профессионал - понятие растяжимое, был бы я профессионалом не задавал такие вопросы, да и потом профессионалами не рождаются а становятся,  кстати вы пишете крайне не разборчиво , я все никак не пойму в чем разница между автозапуском и тем когда щелкаешь дважды по пиктограмме диска, и что более опаснее, и потом в regedt32 крайняя колонка и так скрыта по сему менять что либо там не получиться, так что не переживайте!

----------


## XP user

> Ну зачем вы меня так "попускаете", профессионал - понятие растяжимое, был бы я профессионалом не задавал такие вопросы, да и потом профессионалами не рождаются а становятся,


Я говорил о том, что надо либо чётко выполнить указания (относится к всем подобным случаям ограничения админ прав), либо оставить параметры в покое, иначе результат может быть не очень хорошим мяко говоря. Никак не хотел обидеть вас. Сам я пользуюсь XP Home. Поэтому параметры и настройки могут не совпадать с теми, которые на других версиях Windows. Блокировка через программу защиты (монитор реестра) всё-таки предпочтительна...



> кстати вы пишете крайне не разборчиво


Крайне не разборчиво даже? Спасибо, что сказали - буду работать над собой и над языком. Я как иностранец стараюсь, но не всегда получается. Предлагаю переходить на английскую ветку форума и задать ваши вопросы там. На английском у меня ГОРАЗДО лучше получается...



> я все никак не пойму в чем разница между автозапуском и тем когда щелкаешь дважды по пиктограмме диска, и что более опаснее,


Думаю, что разницы нет - одно не опаснее другого. Всё зависит от того, что задано в файле autorun.inf и в других местах, определяющих автозапуск того, что находится на устройствах... Факты, которые доказали бы иначе в Гугле пока не нашёл. Я дал вам ссылку на то, что известно про авторан. Вот ещё раз:
http://ru.wikipedia.org/wiki/Autorun.inf



> и потом в regedt32 крайняя колонка и так скрыта по сему менять что либо там не получиться, так что не переживайте!


Хорошо, успокоили.  :Smiley: 

Paul

----------


## Marielito07

Спасибо за понимание и терпение, последний вопрос а не могли бы вы кинуть пример того как можно управлять автозапуском, ну то есть тем самым когда вставляешь флешку и появляеться шильдик с переченью свойст, открыть как папку или с помощью Nero или с windows media player, а то не совсем понятно как может зловред попасть!

----------


## XP user

> Спасибо за понимание и терпение, последний вопрос а не могли бы вы кинуть пример того как можно управлять автозапуском, ну то есть тем самым когда вставляешь флешку и появляеться шильдик с переченью свойст, открыть как папку или с помощью Nero или с windows media player, а то не совсем понятно как может зловред попасть!


ОК. Обзор всех известных спопобов борьбы с автозапуском. 
*1 + 2* - классический подход - отключить через политики Windows.
*3, 4, 5* - закрытие дыр в 1+2.

1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic  es\Cdrom
Установить значение параметра AutoRun равным *0* и перезагрузиться.

2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение *ff* (шестнадцатеричная) или *255* (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру (типа REG_SZ) со *значением* (не названием!)


```
@SYS:DoesNotExist
```

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\AutoplayHandlers\CancelAutopla  y\Files
Создать строковый параметр типа REG_SZ с *названием* 

```
*.*
```

 (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ *НЕ ДОЛЖНЫ* 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

5) Удалить ВСЕ ключи MountPoints2 которые вы находите в реестре и перезагрузить комп. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате.

Способы для зловредов попасть на компе спрашиваете... Основные:
* Копировать откуда-то файл и записать на флэшку без предварительной проверки (часто на работе бывает). При включённом автозапуске заражение гарантировано.
* Запускать заражённый файл (любой) - часто это вложения в почте, медиа файлы, фотки, и т.д.
* Щёлкать на ссылку сайта, где лежит заражённый файл, при включённых скриптах в браузере - зловред автоматически устанавливается без вашего участия.
* Установить предположительно интересную программку из Интернета
* Эксплойт через админ шары [+ NetBIOS] в локалке (так черви часто 'работают').

Автозапуск часто не причина заражения, а один из мощных способов через которых зловред *выживает*, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован.

Paul

----------


## oneGog

Может быть добавить эту информацию в ЧАВО ?
*     Отключение автозапуска с разных носителей*

----------


## Зайцев Олег

Стоит еще добавить, что по данным моего анализатора 
зловреды Trojan-PSW.Win32.OnLineGames.*, Worm.Win32.AutoRun.* интересуются параметром 'NoDriveTypeAutoRun' и модифицируют его (т.е. это зловреды, распространяющиеся на флешках, причем многие зловреды модифицируют этот ключ в HKCU и не трогают в HKLM). К параметру Services\Cdrom практически ни один зловред интереса не проявляет, с IniFileMapping\Autorun.inf дела обстоят аналогично.

----------


## demos

А нельзя ли отформатировать флешку в NTFS создать папку root куда все имеют доступ только для чтения, кроме учетки "домашнего компа",она имеет полный доступ, создать папку user куда всем разрешен доступ чтения/записи. Разрешить всем только чтения корня диска и запретить запись в корень. У себя так и сделал.

question>А чем форматировать? Стандартно толко фат и фат32
answer>Правой кнопкой на диске - свойства - вкладка оборудование - выбираете там флешку - свойства - вкладка политика - оптимизировать для выполнения становится доступным ntfs. Далее проделываете тот же путь, только оптимизируете для быстрого удаления.

Естественно если флешка используеться спецефично, вариант не подойдет. Т.к. NTFS...

----------


## zerocorporated

> А нельзя ли отформатировать флешку в NTFS создать папку root куда все имеют...


Ну не в этом же вопрос... флэшки все свои ташют зараженные.
Да и не факт что зловред не сменит права доступа на флэшке.

----------


## demos

> 3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
> Дать строковому параметру (типа REG_SZ) со *значением* (не названием!)
> 
> 
> ```
> @SYS:DoesNotExist
> ```


Не понятно, а как тогда строковой параметр *назвать*?
У меня вообще autorun.inf небыло :-/

----------


## Marielito07

> question>А чем форматировать? Стандартно толко фат и фат32
> answer>Правой кнопкой на диске - свойства - вкладка оборудование - выбираете там флешку - свойства - вкладка политика - оптимизировать для выполнения становится доступным ntfs. Далее проделываете тот же путь, только оптимизируете для быстрого удаления.


Гы, не совсем понял, в какие это ворота?
Ликбез с самим собой?

----------


## demos

> Гы, не совсем понял, в какие это ворота?
> Ликбез с самим собой?


Ну просто в свое время у меня возник такой вопрос и я в такой замысловтой форме дал пояснение -) типо сам сабой напрашивающий вопрос и тут же ответ а-ля мини faq :-D

помогите с предыдущим постом про реестр...

----------


## anton_dr

Это чтоб не ждать вопросов "А как отформатировать флешку в NTFS?"

----------


## Marielito07

> Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате.
> Paul


А можно подробней тут где этот самый монитор находится, я так понял что это в самом антивирусе или как, если да то у мну nod32.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

> Ну просто в свое время у меня возник такой вопрос и я в такой замысловтой форме дал пояснение -) типо сам сабой напрашивающий вопрос и тут же ответ а-ля мини faq :-D
> 
> помогите с предыдущим постом про реестр...


Должно быть вот так: http://virusinfo.info/showthread.php?p=199992


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

----------


## XP user

> Не понятно, а как тогда строковой параметр *назвать*?
> У меня вообще autorun.inf небыло :-/


Если нет такого раздела, то тогда надо его создать. Параметр называется 'по умолчанию' (в скобках). Здесь всё подробно даже с картинками:
http://virusinfo.info/showthread.php?t=20291



> А можно подробней тут где этот самый монитор находится, я так понял что это в самом антивирусе или как, если да то у мну nod32.


А я не знаю, есть ли в NOD32 монитор реестра...

Paul

----------


## drongo

> А я не знаю, есть ли в NOD32 монитор реестра...
> 
> Paul


нет там.

----------


## slippery

здесь я соглашусь с opv88... ->> прога Flashcontrol лучше чем anti_avtorun
и вот эти понты, там типо создаеться троянский поток в системном процессе ))
простым пользователям по барабану какие там потоки создаються... им главное чтоб слосило все под корень ))) и кстати врядли им когда нибудь пригодиться пользоваться утилитой криптозащиты
это прога для совершенно беззащитных и безпомощных пользователей, для тех кто сложнее WinAmpa , программы боль не встечал
а уж если у кого то проги с флешки запускаються autorun.inf ом , будьте любезны - ручками
в любом случае наличие этой проги у пользователя все же лучше чем ничего!!!
ПРАВДА, opv88??? )))

----------


## Murat

[Так  какую  программу посоветовали бы ?
Устал от вируса: Trojan.Nsanti.Packed . Псоле двойного клика на диск , антивируска находи и лечит вирус C:\docum..\User\Local..\Temp\slun.dll
После повторного клика , такая же "тема"...
Буду благодарен за помощь...

----------


## Зайцев Олег

> [Так какую программу посоветовали бы ?
> Устал от вируса: Trojan.Nsanti.Packed . Псоле двойного клика на диск , антивируска находи и лечит вирус C:\docum..\User\Local..\Temp\slun.dll
> После повторного клика , такая же "тема"...
> Буду благодарен за помощь...


По имени зловреда мой анализатор идентифицировал зверя как Worm.Win32.AutoRun.btv. Он создает ряд файлов в системе, в частности c:\windows\system32\amvo.exe и c:\windows\system32\amvo0.dll, а также d.com и autorun.inf в корне дисков. Если антивирус не справляется с ним, что стоит обратиться в раздел "Помогите" данной конференции (перед созданием темы обязательно выполнить правила раздела)

----------


## tch

С месяц назад притащили на работу AMVO. на флешке был авторан и u.bat. Удалось справиться следующим образом: из под тотал командера была переименована amvo.exe. Во втором окне увидел, что u.bat исчез! После перезагрузки он не восстановился. Затем регедитом убрал из реестра все упоминания об этих файлах и удалил dll.
Вопрос - насколько корректно было проведено лечение? Про virusinfo.info я тогда не знал, поэтому лечил на коленке...

----------


## psw

Занятный вариант защиты, когда по каким-либо причинам авторан требуется
http://blog.didierstevens.com/programs/usbvirusscan/
С исходниками. Отслеживается WM_DEVICECHANGE/DBT_DEVICEARRIVAL и запускается что-то, заданное пользователем заранее (например, антивирус с жесткого диска). Но, наверное, в каких-то случаях может и не успеть сработать - не одна же эта программа получает это сообщение.

----------


## opv88

На 20 июня 2008 года намечен выпуск новой версии Flashcontrol (v.3.0), переписанной на другом языке программирования с исправлением всех предыдущих недостатков, в том числе наличие всяческих таймеров, мониторящих систему и т.д. Буду рад всякой критике с вашей стороны.

----------


## zerocorporated

> На 20 июня 2008 года намечен выпуск новой версии Flashcontrol (v.3.0), переписанной на другом языке программирования с исправлением всех предыдущих недостатков, в том числе наличие всяческих таймеров, мониторящих систему и т.д. Буду рад всякой критике с вашей стороны.


Вы бета версию не выпустите перед основным релизом?

----------


## opv88

> Вы бета версию не выпустите перед основным релизом?


Выпуск бета-версии не планируется... Зачем? Ведь и так ждать осталось не очень долго. А если будут ошибки или недоработки (или возникнут новые потребности в улучшении программы), то все будет компенсироваться за счет новых версий. В принципе, программа почти готова. Сейчас идет лишь улучшение интерфейса и тестирование.

----------


## Medeya

Извиняюсь если не в тему, но есть ли альтернатива тестируемого варианта, т.е уже готовая для применения программа, блокирующая занесение вирусов на флешку?

----------


## opv88

> Извиняюсь если не в тему, но есть ли альтернатива тестируемого варианта, т.е уже готовая для применения программа, блокирующая занесение вирусов на флешку?


Есть версия 2.5 программы Flashcontrol, которую можно скачать с того же сайта: www.taurussoft.narod.ru

----------


## opv88

20 июня 2008 года вышла новая версия Flashcontrol - 3.0, которая была успешно размещена на сайте www.taurussoft.narod.ru. Скачивайте и используйте! Обо всех найденных ошибках, недоделках или глюках просьба сообщать непосредственно автору по указанному email-адресу или писать на форуме сайта. При первоначальном тестировании программы ошибок найдено не было.

----------


## zerocorporated

Протестировал.

1.Почему то при простое грузит ЦП на 40-55%  :Shocked:  ?

2.В алгоритме отключения авто-запуска странное поведение обнаружено:


```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun
```

Тут неправильный тип данных выставляется, нужен REG_DWORD а ставится REG_BINARY. В принципе если система их воспринимает то все нормально... но с твикерами могут возникнуть проблемы.

----------


## Зайцев Олег

> Протестировал.
> 
> 1.Почему то при простое грузит ЦП на 40-55%  ?


Это чтобы показать значимость и сложность алгоритма защиты  :Smiley:  На самом деле у программы есть папка images, там есть BMP файлы -картинки для кнопок. И они со страшной скоростью непрерывно в мертвом цикле подгружаются с диска и обрабатываются. ЦП будет подгружен на 15-80% (в зависимости от мощности ПК), диск - аналогично (в зависимости от кеша). Кол-во чтений поражает воображение - порядка 50 тысяч операций в минуту на средне-дохлом ПК

----------


## opv88

> Это чтобы показать значимость и сложность алгоритма защиты  На самом деле у программы есть папка images, там есть BMP файлы -картинки для кнопок. И они со страшной скоростью непрерывно в мертвом цикле подгружаются с диска и обрабатываются. ЦП будет подгружен на 15-80% (в зависимости от мощности ПК), диск - аналогично (в зависимости от кеша). Кол-во чтений поражает воображение - порядка 50 тысяч операций в минуту на средне-дохлом ПК


По поводу рисунков в формате bmp вы подметили абсолютно точно. Пожалуй, проще будет загрузить все рисунки при старте программы, а потом изменять. Возможно, процессор будет нагружен поменьше.

----------


## Зайцев Олег

> По поводу рисунков в формате bmp вы подметили абсолютно точно. Пожалуй, проще будет загрузить все рисунки при старте программы, а потом изменять. Возможно, процессор будет нагружен поменьше.


Это не я подметил - а одна хитроумная железка  :Smiley:  Тут конечно картинки следует однократно загрузить, и перезагружать только при смене скина (хотя зачем скины программе, которая должна по сути быть невидимой для юзера и жрать минимум ресурсов ... но это уже вопросы дизайна). И если это кнопки, то можно вообще все в одну BMP-шку поместить (высота кнопок идентична, поэтому можно сделать BMP высотой в кнопку и шириной W*N*2, где W - ширина кнопки, N - их количество, 2 - с учетом того, что картинки лежат парами - прорисованные в нажатом и ненажатом виде, или в активном-неактивном)

----------


## opv88

> Это не я подметил - а одна хитроумная железка  Тут конечно картинки следует однократно загрузить, и перезагружать только при смене скина (хотя зачем скины программе, которая должна по сути быть невидимой для юзера и жрать минимум ресурсов ... но это уже вопросы дизайна). И если это кнопки, то можно вообще все в одну BMP-шку поместить (высота кнопок идентична, поэтому можно сделать BMP высотой в кнопку и шириной W*N*2, где W - ширина кнопки, N - их количество, 2 - с учетом того, что картинки лежат парами - прорисованные в нажатом и ненажатом виде, или в активном-неактивном)


Собственно, это уже сделано - картинки однократно загружаются, и перезагружаются только при смене скина. Также добавлена маска для более приличного вида кнопок.
Конечно, можно и кнопки поместить в одну bmp-шку, но просто уже не хочется возиться. Но спорить не буду, это кто как хочет.
P.S. Измененный вариант пока не выкладывал, еще некоторые тонкие детали дорабатываю.

----------


## fotorama

> здесь я соглашусь с opv88... ->> прога Flashcontrol лучше чем anti_avtorun
> и вот эти понты, там типо создаеться троянский поток в системном процессе ))
> простым пользователям по барабану какие там потоки создаються... им главное чтоб слосило все под корень ))) и кстати врядли им когда нибудь пригодиться пользоваться утилитой криптозащиты
> это прога для совершенно беззащитных и безпомощных пользователей, для тех кто сложнее WinAmpa , программы боль не встечал
> а уж если у кого то проги с флешки запускаються autorun.inf ом , будьте любезны - ручками
> в любом случае наличие этой проги у пользователя все же лучше чем ничего!!!
> ПРАВДА, opv88??? )))


Позвольте не согласиться с вами... Вы забываете про многие группы людей которые испльзуют криптозащиту, причем они даже не знают какого слова. Например сейчас стало очень много приходящих бухгалтеров т.е 1 бухгалтер сидя усебя дома может обслужевать огромное количество фирм (встречал до 15 фирм ) при помощи различных программ типf банк клиента, при этом бухгалтер кроме своих програм освоем ПК знает еще только как его включить.....
Так вот эти  банк клиенты и используют крипто защиту на съемных носителях.....  Сис админов у таких людей отродясь не было, а ПК чинят/чистят/востанавливают  влутьшем случае в сервис центрах ито если тот окончательно загнется, чаще всего у этих людей есть какойнибудь внук/сын/сосед Вася который наслушаеться разговоро или начитается форумов о способах защиты и начнет их все применять даже не понимая принцип их работы.... представляю что будет если такой Вася поставит данную программу такому бухгалтеру....... 
Так что я полностью согласен с  Олегом в том что программа опасная и что как минимум в описание должен быть пункт с предостережениями по этому поводу....
П/с
На мой взгляд пока самые удобные и относительно простые стособы борьбы с флеш-живностью описаны в этих темах : защита флешки и Борьба с автозапуском новыми методами

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## opv88

> Позвольте не согласиться с вами... Вы забываете про многие группы людей которые испльзуют криптозащиту, причем они даже не знают какого слова. Например сейчас стало очень много приходящих бухгалтеров т.е 1 бухгалтер сидя усебя дома может обслужевать огромное количество фирм (встречал до 15 фирм ) при помощи различных программ типf банк клиента, при этом бухгалтер кроме своих програм освоем ПК знает еще только как его включить.....
> Так вот эти  банк клиенты и используют крипто защиту на съемных носителях.....  Сис админов у таких людей отродясь не было, а ПК чинят/чистят/востанавливают  влутьшем случае в сервис центрах ито если тот окончательно загнется, чаще всего у этих людей есть какойнибудь внук/сын/сосед Вася который наслушаеться разговоро или начитается форумов о способах защиты и начнет их все применять даже не понимая принцип их работы.... представляю что будет если такой Вася поставит данную программу такому бухгалтеру....... 
> Так что я полностью согласен с  Олегом в том что программа опасная и что как минимум в описание должен быть пункт с предостережениями по этому поводу....
> П/с
> На мой взгляд пока самые удобные и относительно простые стособы борьбы с флеш-живностью описаны в этих темах : защита флешки и Борьба с автозапуском новыми методами


К старой версии программы может это и применимо, а к новой не совсем. Указанные Вами ссылки на "простые способы борьбы с флеш-живностью" не дают достаточно эффективных результатов.

----------


## Гриша

Вы знаете способ как обойти защиту предложенную Паулом?  :Smiley:

----------


## opv88

> Вы знаете способ как обойти защиту предложенную Паулом?


Нет. По указанным ссылкам такой защиты не нашел, объясните плз.

----------


## Гриша

http://virusinfo.info/showthread.php?t=20291

----------


## opv88

> http://virusinfo.info/showthread.php?t=20291


Допустим на XP данная защита сработает, а вот насчет висты я не уверен, долго придется настраивать. К тому же не очень хочется отключать у себя автозапуск.

*Добавлено через 2 минуты*

Выложил обновленный архивчик с прогой все там же www.taurussoft.narod.ru. Исправил некоторые ошибки.

----------

