# Форум на русском языке  > Основы информационной безопасности  > Microsoft Windows  > Windows для опытных пользователей  >  Как полностью обезопаситься от autorun-нов?

## Talanius

Добрый день! Думаю не меня одного достали вирусы кочующие с одного компа на другой на флэшках. Помогите пожалуйста решить эту проблему.

Имеется примерно три десятка компов разбросанных по магазинам в разных концах города. На всех стоит Win XP SP2 rus corp + KAV v7.0.0125 или v7.0.1.321.  Инета в большинстве магазинов нет, соответственно базы обновляются вручную, примерно раз в неделю.
Компы служат для приема заказов у клиентов, так что поросячий визг каспера сышен каждые пять минут. Ну и соответственно то одна машина, то другая, несмотря на присутсвие каспера, переодически хватает заразу.

На всех машинах через групповые политики отключен автозапуск всех дисков. 

Ранее я полагал, что отключение автозапуска, предотвращает выполнение команд в файле autorun.inf, но как я понял, на самом деле эта процедура лишь предотвращает *автоматическое выполнение* содержимого авторана, *при подключении* фэшки или вставке диска. Кода же юзер открывает флэшку двойным кликом в эксплорере, содержимое авторана приспокойненько исполняется, и как результат -- зараженная машина  :Sad: 

Подскажите пожалуйста, можно ли как-нибуть запретить системе вообще обращать внимание на autorun.inf ?
Или может есть способ запретить системе выполнение исполняемых файлов на всех сменных носителях (что также по идее должно решить проблему) ?

Вобщем помогите люди добрые кто чем может, а то сил моих уже нет бороться с этой пакостью  :Shocked: .

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

Отключите автозапуск (*не путать с автозагрузкой!!!*) на всех дисках.

----------


## Talanius

2Maxim 
скачал, установил, снял все галки, применил, перезагрузился (на всякий случай), вставляю диск в CD-юк, открываю его -- *СРАБАТЫВАЕТ АВТОЗАПУСК!!!*, т.е. выполняется содержимое autorun.inf

другие идеи есть?

p.s. кстати, а причем тут автозагрузка, или я чего-то не понял?

----------


## drongo

http://virusinfo.info/showthread.php?t=16459

----------


## ed13

_Talanius_, в данном случае, на мой взгляд, логичнее исключить эксплореер... Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...

----------


## Vinni

Ну а "кардинальное" решение - это политика ограниченного использования программ, тогда пользователь вообще не запустит НИЧЕГО кроме того, что разрешено.
Как минимум, IMHO надо запретить исполнение из "C:\Documents and Settings". Но я "наоборот" - запрещаю по default и разрешаю нужные, соотв. пользователи "выкуривают" и с CD-юками, и с флэшками, и с остальным хламом из и-нета, в т.ч. и с вирусами (то есть они безобидно валяются в профиле, откуда их в учётке юзера можно пытаться даже запустить "руками" :-) )

----------


## Talanius

2drongo 
в ветке
'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie  s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков

скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?

2ed13
переучивать юзеров с эксплорера на тотал слишком уж сложно  :Wink: 

2Vinni 
собственно я уже думал об этом, но если существует менее радикальный способ, то все-таки хотелось бы обойтись без "драконовских" мер  :Smiley:

----------


## Макcим

> 2drongo 
> в ветке
> 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie  s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков
> 
> скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?


Полагаю первый запрещает автозапуск с определенных носителей, второй запрещает автозапуск вообще.

----------


## drongo

Можно испортить ассоциацию файлов .inf , например поменять на notepad.exe .Правда если есть нужные программы, которые используют .inf - они работать перестанут.

----------


## psw

В сети появились ссылки на найденные автораны такого содержания
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор  :Smiley: 
Авторан со всех дисков выключен.

----------


## XP user

> В сети появились ссылки на найденные автораны такого содержания
> [autorun]
> open = calc.exe
> shell\Open\Command=calc.exe
> shell\Open\Default=1
> shell\Explore\Command=calc.exe
> shell\Autoplay\Command=calc.exe
> 
> При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор 
> Авторан со всех дисков выключен.


Это потому что когда вы просто вставляете USBDrive, MountPoints2 обновляется сразу же новыми параметрами - политики Explorer обходятся очень просто. Есть защита против этого: просто отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение'. Никакой Brontok и пр. вашу машину уже не заразит через авторан...  :Wink: 
P.S.: Ключ MountPoints2 находится здесь:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Explorer\MountPoints2]
для всех юзеров отдельно.

Paul

----------


## psw

А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?

----------


## XP user

> А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?


Я думаю, что лучше перед добавлением новых дисков отредактировать Разрешения MountPoints2 обратно. Заранее разрешить то, что ещё нет - не знаю...  :Smiley: 
P.S.: Надо будет искать как это работает. По умолчанию Windows делает доступными ВСЕВОЗМОЖНЫЕ диски. Я те, которые не нужны сделал недоступными.

Paul

----------


## akok

> _Talanius_, Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...


ООчень полезная вещь....если честно сам долго переучивался....теперь использую стандартный интерфейс (windows) только когда работаю с рабочим столом или папкой Мои документы...все остальные операции с файлами только через Total Commander...довольно часто спасал от авторанчиков...откроешь флешку, а там *.inf, *.vbs и другие радости жизни из 10 случаев в 3 антивирус не распознал заразу.

----------


## DoSTR

Можно запретить запуск любых программ с USB -флэшек.

Что бы случайно не произошел запуск трояна, с помошью
C:\WINDOWS\system32\secpol.msc
"Политики ограниченного испльзования программ" -> "Дополнительные правила" ->"Создать правило для пути"
для пути - если у вас флешка на "f:\" поставить "Не разрешено".
(+еще другие возможные старшие буквы *G:\*, *H:\*, *I:\*... на случай того если клиент одновременно вставил несколько USB, например сотовый и свою флешку+Флешку продавца+...)

т.е. Windows XP будет блокировать запуск исполняемых файлов из этого диска/папки.

P.S.
 Не стоит писать: !!!
C:\
т.к. будет запрещен запуск программ с системного диска!


_Примечание_
Можно 
C:\WINDOWS\system32\secpol.msc
запустить по другому:
Пуск-> Панель управления-> Администрирование-> *Локальная политика безопасности*

----------


## XP user

@ *DoSTR*:

Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство. Сами создайте, пожалуйста такой авторан для этого устройства и убедитесь:


```
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
```

Это безопасно. Просто вместо Explorer.exe, калькулятор будет запускаться когда вы щёлкаете дважды на устройство, и на него не распространяются эти ограничения. 
Решение: запретить системе доступ к параматрам MountPoints2 через запрет админ группы на этот ключ. Система (при наличие у вас админ прав) изменяет эти параметры каждый раз, когда вы вставляете новое устройство в обходе вами указанных политик. 
P.S.: Ваш вариант сработает только, если у юзера хватает дисциплины НЕ щёлкать дважды, а открыть диск через клик правой кнопкой мыши + open. На практике у пользователей нет такой дисциплины. Кроме того, Троян сам может ещё щёлкать...
P.S.2: Ещё одна особенность - Политики Windows применяются достаточно поздно в процессе загрузки Windows. Зловред может успеть запускаться (если машина уже заражена) ДО ТОГО, как применяются эти политики.

Paul

----------


## psw

Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.

----------


## XP user

> Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.


В этом примере да. Спасибо за поправку!  :Smiley: 
Как раз сегодня в разделе 'Помогите' опять пример, где автозапуск отключён и всё равно заражаются:
http://virusinfo.info/showthread.php?t=18512
P.S.: Пользователи-умники вставляют диск и нажимают одновренменно на клавишу Shift, и запрет авторан тоже снимается!

Paul

----------


## psw

Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.

----------


## XP user

> Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
> Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
> Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.


Боюсь, что да.  :Roll Eyes (Sarcastic): 

Обход кнопкой Shift тоже можно блокировать по моему через secpol. Точно не помню (у меня XP Home). 

Всегда новые пути обхода политик secpol открываются. Я не стал бы пологаться на эти политики. Ещё раз упоминаю, что политики грузятся с опозданием. Если вы забыли снять устройство - поздно. Другое дело когда Windows уже загрузилась полностью - тогда есть вероятность, что политики действуют. 

P.S.: Вариант с блокировкой доступа к MountPoints2 сам считаю наилучшим...
В связи с этим надо отметить, что и в MountPoints2 может быть предусмотрен Autorun для определённых ранее уже использованных устройств (тоже обход политик!). Следует чистить эти параметры до того, как блокировать доступ (просто удалить ключ целиком - создаётся чистый ключ при перезагрузке).

Paul

----------


## drongo

А разве не быстрее inf добавить в script defender http://www.analogx.com/CONTENTS/down...em/sdefend.htm , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> А разве не быстрее inf добавить в script defender http://www.analogx.com/CONTENTS/down...em/sdefend.htm , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.


Вы недооцениваете malware (или вернее - переоцениваете script defender).
Дайте, пожалуйста, несколько примеров, где авторан так удобно, что риск оправдан - откуда вы будете знать, что программа хорошая или нет когда вы получаете алерты? HIPS хорошо, но меня лично раздражает - большинство вопросов задаёт о хороших программах. 
Mы узнали в данной теме, что проблема не всегда в самом авторане, а в MountPoints2, который каждый раз, когда вы вставляете устройство, отредактируется самой ОС. Вы думаете, что script defender против этого тоже предупреждает?

Paul

----------


## DoSTR

> Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство.


Прочел, создал  и убедился в том, что калькулятор при политике "Не разрешено" не запускается. :Wink: 

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков. 
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.  :Cheesy:

----------


## XP user

> Прочел, создал  и убедился в том, что калькулятор при политике "Не разрешено" не запускается.
> 
> У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков. 
> При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.


Я рад за вас, но проверяйте всё-таки содержание MountPoints2... 
Система действительно туда пишет инфу о запуске уже известных устройств. Она могла писать туда инструкции до того, как вы создали политику...  :Smiley: 

Paul

----------


## drongo

Я бы хотел уточнить , то что вы предлагаете практически: 
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже? 
Пользователь и так стоит с правами только на чтение.

----------


## XP user

> Я бы хотел уточнить , то что вы предлагаете практически: 
> то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже? Пользователь и так стоит с правами только на чтение.


Риска в удалении ключа MountPoints2 нет - Windows создаст этот параметр заново, но уже чистый. Нужны права админа. Проверьте все устройства (работают ли они). 
Потом посмотрите права всех пользователей MountPoints кроме 'Системы'. *В левой колонке (=РАЗРЕШЕНИЯ) НИЧЕГО НЕ ТРОГАЕМ!* Мы в правой колонке отметим 'ЗАПРЕТИТЬ' на все параметры кроме 'Чтение'. Если так не делать могут быть проблемы при необходимости отмены данной политики.
P.S.: Картинку почему-то форум не разрешает вставить. Тогда дам ссылку на описание по-английски:
http://virusanalysts.blogspot.com/20...infection.html
Четвёртая картинка показывает как надо.

Paul

----------


## drongo

На картинке галки стоят напротив Deny  -> Read 
получается чтение тоже запретить.  :Smiley:  
или системе в этом случае всё равно ?

----------


## XP user

> На картинке галки стоят напротив Deny  -> Read 
> получается чтение тоже запретить.  
> или системе в этом случае всё равно ?


Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
http://techrepublic.com.com/5208-623...sageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений?  :Smiley: 

Paul

----------


## drongo

> Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
> http://techrepublic.com.com/5208-623...sageID=2319929
> P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений? 
> 
> Paul


в кaментах указано в XPpro есть более элегантный способ через  gui ,  что -то не нахожу .
P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные  @ no-script  :Wink:

----------


## XP user

> P.s.
> По моему всё дело в скриптах, нужно добавить наш сайт в доверенные  @ no-script


Уже сделано. НЕ помогает. 'Прав нет' и всё...  :Cool: 

Paul

----------


## drongo

> Уже сделано. НЕ помогает. 'Прав нет' и всё... 
> 
> Paul


Антона проси, у меня нет прав поиграться с твоими настройками  :Smiley:

----------


## XP user

> Антона проси, у меня нет прав поиграться с твоими настройками


OK.  :Wink: 

Paul

----------


## pig

> [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
> ....
> Пользователь и так стоит с правами только на чтение.


HKCR - это личный пользовательский куст реестра. Там у текущего пользователя всегда полные права.

----------


## psw

> Прочел, создал  и убедился в том, что калькулятор при политике "Не разрешено" не запускается.
> 
> У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков. 
> При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.


А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.

----------


## XP user

> А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.


Именно потому что в ключе MountPoints2 видимо уже есть 'приказ' для вашего устройства.  :Wink: 
Надеюсь, что вы заметили, что DoSTR отредактировал своё изначальное сообщение? - Политики должны быть по другому созданы. Надеюсь, что он сам выйдет и скажет о своих опытах. 
Потом - удержание 'Shift' тоже отменывает эти политики. Любопытно, может ли Троян это cделать, и если да, как? Пытаюсь найти ответ. Трюк с MountPoints2 - хороший. Долой, Бронток!  :Cheesy: 

Paul

----------


## drongo

http://nick.brown.free.fr/blog/2007/...ick-worms.html
Вот такая магия обмана : а авторана нет   :Smiley: 


```
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

----------


## XP user

> ```
> REGEDIT4
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
> @="@SYS:DoesNotExist"
> ```


В-Е-Л-И-К-О-Л-Е-П-Н-О-! Но только против .ini варианты. Существуют и другие расширения авторана. Блок на MountPoints2 не совсем отменяется.  :Smiley: 

Надо ещё заметить, что '@SYS:_DoesNotExist' НЕ распространяется на автозапуск CDRom и DVD!
Чтобы отключить их надо всё-таки отредактировать следующий ключ:
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\Cdrom*.
*Autorun* = *0*
P.S.: Установка любого плеера может отменить последнюю меру. Следите!

Paul

----------


## drongo

я бы не отказался от утилиты  с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только  при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.

----------


## XP user

> я бы не отказался от утилиты  с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только  при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.


А в антивируснике этого нельзя задать? Или хотя бы мониторить MountPoints2?

Paul

----------


## drongo

Добавил в мониторинге реестра данный ключик  в кис.  Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить  :Smiley:

----------


## XP user

> Добавил в мониторинге реестра данный ключик  в кис.  Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить


Угу. Меня тоже интересует параметр @SYS:
Если с ним можно убить авторан, сказав ОС, что такое не существует на машине, то тогда уже предвижу кашмары убийства защиты таким путём. Гугл ничего не даёт, кроме вами приведённого трюка с Autorun в разделе IniFileMapping.

Paul

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

значит скоро будет новая волна  зверьков с новыми качествами, будет весело  :Smiley:

----------


## Virtual

УРААА наконец то нашлось хоть какоето средство от этой напасти
всем принявшим участие большой респект.

мой регфайл применяемый ...


```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

добавлено

все теперь эти ключи реестра прописываются принудительно, при каждом старте рабочей станции в домене, результат превосходит все мыслимые ожидания, 

если стоит антивирус то он влегкую успевает проверить флешку,
а если обычный пользователь, у которого скрытые файлы и так не показываются, по умолчанию, то он и неподозревает были вирусы на сменном носителе или нет...
авторана нет, а сам запустить не может так как не видит что запустить

----------


## Marielito07

_p2u_
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!

и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun

----------


## Virtual

все, вроде действует безотказно, кстати на флешках у меня такой авторан лежит...

----------


## XP user

> _p2u_
> Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!


Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?



> и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun


Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.

Paul

----------


## Surfer2000

Господа, занятная дискуссия, но каков же её вывод:
1. Каким образом можно отключить автозапуск с флэш-накопителей и жёстких дисков?

2. Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?

----------


## akok

> Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?


Это признак инфекции.
Начните с темы в "Помогите", выполните правила и вам помогут.

----------


## Marielito07

> Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?


Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun. Ну почему же, в таком случае зачем вообще антивирусная программа ведь можно занести к себе такого неизвестного зверя самостоятельно другими способами, к тому же не все malware сразу прямиком создают autorun и поймать неизвестного зверька который будет в autorun`е это 1 из 10 случаев, имхо!




> Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.


Я про то когда меняли значение в реестре там когда грузиться експлорер при двойном щелчке мышкой

----------


## Surfer2000

aKoK,
вы правы, но у меня была такая ситуация:
инфекция уничтожена (точно!), а файлы всё равно не видны.
Помогло восстановление системы до ранее созданной (безвирусной) точки восстановления.

Единственное, что меня пугает, это то, что у меня разрешён автозапуск с флэш-носителей и жёстких и сетевых дисков (по крайней мере, так пишет AVZ).

----------


## XP user

> Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun.


Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан.  :Smiley: 

Paul

----------


## Marielito07

> Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан. 
> 
> Paul


Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?

----------


## XP user

> Нет я понимаю, просто MountPoints2 желанного результа нам не дает!


Какой ДЛЯ ВАС желанный результат если все уже довольны?



> И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?


Вы прочитали вообще тему с начала до конца? Если да, то тогда какой рецепт вам ещё нужен, скажите?

Paul

----------


## Marielito07

ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!

*Добавлено через 19 минут*

Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?

*Добавлено через 34 минуты*

Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?

----------


## XP user

> ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает


Только совокупность мер даст полноценную защиту. Хотелось бы увидеть обоснование того, что ' не один из них толком не работает'. Как вы это установили?



> И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!


Этот ключ MountPoints2 (я это уже писал) можно без вредных последствий удалить. Он после перезагрузки восстанавливается, но уже чистым. Наличие autorun там не объязательно - при любым обращении к диску Windows там производит изменения. Если вы ранее уже разрешили хоть один раз автозапуск по данному устройству, и вы потом устанавливаете запрет на автозапуск, то тогда может запросто случиться, что Windows решит, что вы всё-таки хотите, чтобы устройство само по себе запускалось. На это играют создатели зловредов.



> Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?


Файл autorun может находится в других местах на компьютере если он заражён, и лишь ссылаться на какое-нибудь устройство. Потом, файл autorun может быть ещё скрытым. В таких случаях требуется специальные инструменты, такие как AVZ, чтобы обнаружить его.



> Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?


Подумаю сначала как вам объяснить лучше, ОК?

Paul

----------


## Marielito07

Жду ответа, заранее спасибо!

*Добавлено через 1 час 19 минут*

Хех, только что на работе принесли флешку, еще не настроил у себя запрет на автозапуск, и как в тему там была autorun.inf, но nod32 его быстро продетектил и снес а копию в карантин отправил!

*Добавлено через 7 минут*

А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected

----------


## XP user

> А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected


Я не пользователь Нода, но может быть эта папка - скрытая? Для того, чтобы посмотреть скрытые папки надо:
Мой Компьютер - Сервис - Свойства папки - Вид. 
Крутить вниз и 
* снять галочку, где стоит 'Скрывать защищённые системные файлы' (рекомендуется) и 
* ниже ещё отметить 'Показать скрытые файлы и папки'.
Применить - ОК.

Paul

----------


## Marielito07

Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?

----------


## PavelA

@Marielito07 Версия Нода какая и базы от какого числа?

----------


## Marielito07

ESET NOD32 Antivirus 3.0.621.0

Virus signature database: 2841 (20080131)
Update module: 1023 (20080229)
Antivirus and antispyware scanner module: 1107 (20080303)
Advanced heuristics module: 1070 (20080212)
Archive support module: 1074 (20080307)
Cleaner module: 1026 (2008022 :Cool:

----------


## PavelA

THK

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Marielito07

> THK


Was ist das?

----------


## Surfer2000

Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...

Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?

----------


## Virtual

еще раз повторюсь, вот это


```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

записанное в файл a.reg
и выполненое! комп перегрузить. разве не отключает полностью авторан и не позволяет вам видеть скрытые файлы и папки, (если вы их включите в свойствах проводника, кстати если свойств у вас небыло то они появятся!)
???

или просто скачайте
http://virusinfo.info/attachment.php...9&d=1205166769
и выполните 1.reg и 2.reg

*Добавлено через 7 минут*




> Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
> Но все же, что по поводу Автозапусков?


качай вложение и запускай!, можеш все содержимое архива себе в корень флешки положить, и к друзьям сходить

----------


## PavelA

> Das ist "Thank you" oder "i'm thinking"
> Хотя может быть я ошибся...
> 
> Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?


Можно сделать так: в AVZ Файл -- Восст. системы - п.6,8 -- Выполнить.

Да, это именно Thank you (THK)

----------


## Surfer2000

Понял, всем огромное спасибо за помощь!

P.S. 
Virual,
А авторан с CD данные рег файлы отключают?

----------


## Shark

Кхе, кхе...
Прочитано, понято. А я хочу рассказать, как сделал я.
Находим прогу TweakXP (кому - то уже искать не нужно. *см. Аттач*)  - она запустится на Service Pack 2 и только там...
После установки нужно запустить прогу и проследовать в направлении
_My Computer ->AutoPlay -> Drives_.

Справа будет список дисков.

Снимите галочки напротив дисков, автозапуск которых Вам не нужен.
(У меня отключены все диски, кроме локальных) и нажмите Apply.

Будут отключены все диски, с которых сняты эти отметки....
*Для пользователей Антивируса Касперского: необходимо разрешать действия с Реестром!*

Закрыть программу.
Всё! Автозапуск отменён!

----------


## XP user

> TweakUI ... Drives...


Проблема-то как раз в тех дисках, которые доступны, *Shark*. Даже если там запретить автозапуск через TweakUI, есть определённые условия, при которых эти запреты просто обходятся.

Сначала 'добрый' вариант - Допустим вы установили запрет на автозапуск доступного CD-Rom (я это уже годами делаю). Теперь установите какой-нибудь агрессивный плеер типа RealPlayer или QuickTime. Хотя TweakUI показывает, что автозапуска нету (галочка же снята для Autoplay CD-ROM), если проверить реестр, то тогда оказывается, что плееры отменили запрет автозапуска!

Теперь кошмарный вариант - вы установили запрет автозапуска для всех дисков, сняли все галочки доступных дисков, кроме вам нужных - остальные недоступны совсем (так у меня). А теперь запустите на своём компе кого-нибудь из семейства Бронтока (желательно посвежее) и сообщите о результатах - Автозапуск отменён, или...?  :Roll Eyes (Sarcastic): 

Paul

----------


## Virtual

> Понял, всем огромное спасибо за помощь!
> 
> P.S. 
> Virual,
> А авторан с CD данные рег файлы отключают?


а сам еще не проверил? :Stick Out Tongue: 
отключается как класс авторан!!

результат этого и еще 2 топиков данного сайта.

----------


## psw

Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. http://virusinfo.info/showthread.php?t=19909)?
Если это так, то пропаганда защиты *здоровых* компьютеров становится очень важной.

----------


## XP user

> Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. http://virusinfo.info/showthread.php?t=19909)?


Это вы правильно поняли.



> Если это так, то пропаганда защиты *здоровых* компьютеров становится очень важной.


P.S.: Я лично только этим и занимаюсь...

P.S.2: Кстати, нашёл ещё один забавный способ к дополнению того, что я ранее привёл:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\AutoplayHandlers\CancelAutopla  y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы). 

Paul

----------


## Surfer

Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами *RHS* будет достаточно ?

----------


## Pili

Или создать каталог autorun.inf и attrib rs

----------


## XP user

> Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
> Пустого файла Autorun.inf с аттрибутами *RHS* будет достаточно ?


Я не знаю, насколько это правда, но на одном хакерском форуме в США читал, что и это уже обходится. Защита от записи, возможно, лушче. Но даже если у вас на флэшке стоит файл авторан, если вы на компьютере введёте это:


```
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

то тогда этот файл не должен запускаться, так как Windows не будет знать как его запускать - он же не существует. Этот хак говорит Windows, что Autorun.inf на самом деле файл конфиг с периода ДО Win95, когда реестра ещё не было, и всё делалось через .ini файлы. В данном случае, Windows поймёт всё так: 'Слушай, Билл, дорогой, каждый раз, когда тебе надо работать с файлом autorun.inf, не используй параметры самого файла, ладно? Ты найдёшь как делать всё в _HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist_.'
Но так как этот ключ не существует (=DoesNotExist), параметры - пусты. В результате и ничего не автозапускается, и никаких параметров не добавляется к режиму двойного клика explorer'a. Только когда вы дико начинаете нажать на исполнительные файлы на флэшке можно заразить комп, что вы таком случае заслужили...
Кроме того можно ещё задать:


```
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
```

Это текстовые параметры файлов, которые не должны автозапускаться. В данном случае *.* = любые.
P.S.: Естественно надо добавить ключи к тем, которые мониторятся постоянно вашей защитой. Вот так я добавил в Комодо 3:



Paul

----------


## Marielito07

А в Nod32 или в Agnitum не подскажите как это сделать?

----------


## XP user

> А в Nod32 или в Agnitum не подскажите как это сделать?


По моему ни в том, ни в другом продукте монитора реестра нет...

Отменил свои высказывания насчёт MountPoints2 - мониторить надо, удалить права для всех лучше НЕ надо. То, что надо делать указано здесь:
http://virusinfo.info/showthread.php?t=20291

Paul

----------


## PavelA

> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\AutoplayHandlers\CancelAutopla  y\Files]
> В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы). 
> 
> Paul


Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.

----------


## Virtual

> Наилучшее решение на мой взгляд следующее (уже применил у себя):
> 1. Пуск - Выполнить - regedit


вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана  :Wink: 
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи! :Cheesy: /

----------


## XP user

> Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.


Ничего страшнего нет на самом деле в этом - всё, что там указано НЕ БУДЕТ АВТОЗАПУСКАТЬСЯ. Можно в принципе очистить всё как у меня на картинке указано. 
*.* = НИКАКИЕ файлы не будут автоматически запускаться).






> вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
> хак с авторан.инф мне более по душе, и он универсален!
> пошел легким путем:
> в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана 
> + теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!/


Я рад, что помогло.  :Smiley: 

Paul

----------


## oie71

А как прописать права на Mountpoints2 через политику - ключики то лежат в ветке карентюзер и политикой их достать не получается  :Sad: 

на все новые профиля можно через Default. А на уже существующие как?

----------


## zerocorporated

> А как прописать права на Mountpoints2 через политику - ключики то лежат в ветке карентюзер и политикой их достать не получается 
> 
> на все новые профиля можно через Default. А на уже существующие как?


HKEY_USERS - там настройки пользователей хранятся. Кроме Default другие разделы ещё посмотрите.

Об какой политике речь?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## oie71

о политике домена под 2003 сервером.
у меня больше 100 машин - вручную заколебаюсь ходить по реестрам...

тоесть, я спрашивал, как прописать права на HKEY_USERS/бла-бла/бла-бла... через политику 2003 домена

или, может кто знает как из батника прописать права на ветку/ключ реестра  - тогда можна будет засунуть батник в политику "OnLogon" и все юзеры на автомате получат права (вернее отрубят себе права  :Smiley:  ) при входе в систему.

----------


## zerocorporated

> о политике домена под 2003 сервером.
> у меня больше 100 машин - вручную заколебаюсь ходить по реестрам...
> 
> тоесть, я спрашивал, как прописать права на HKEY_USERS/бла-бла/бла-бла... через политику 2003 домена
> 
> или, может кто знает как из батника прописать права на ветку/ключ реестра  - тогда можна будет засунуть батник в политику "OnLogon" и все юзеры на автомате получат права (вернее отрубят себе права  ) при входе в систему.


Скажите что за ключ вам сменить нужно батник написать можно. Боюсь что к каждого пользователя уникальный HKEY_USERS\S-1-5-20 и т.д. ключи.

Cacls - можно настроить доступ к файлам
reg - работа с ключами реестра

Настройка доступа к ключам реестра как делается через bat файлы мне неизвестно... хотя можно попробовать Secedit применить нужный шаблон к ПК

----------


## oie71

да я все о том-же  :Smiley:  - о autorun...
хочу автоматом УБРАТЬ (задать) права на 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Explorer\MountPoints2
и все подветки через политики 2003 домена или через батник

----------


## XP user

> да я все о том-же  - о autorun...
> хочу автоматом УБРАТЬ (задать) права на 
> HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Explorer\MountPoints2
> и все подветки через политики 2003 домена или через батник


Знаете, автоматом для всех я не стал бы это делать. Я заметил, что не только explorer.exe туда обращается. Некоторые программы могут перестать работать нормально вплоть до вызова синнего экрана. Всё, чтобы эффективно отключить авторан описано здесь (*zerocorporated* написал рег файл):
http://virusinfo.info/showthread.php?t=20291
Если это всё вложить в батник, будет более, чем достаточно.  :Smiley: 

Paul

----------


## Vinni

> Настройка доступа к ключам реестра как делается через bat файлы мне неизвестно...


SetACL.exe (http://SetACL.sf.net)

----------


## oie71

Я это читал.
батник давно уже в политике.

получается, что п.5 , все-таки, не рекомендуется?

А как насчёт autorun.vbs? - если использовать только батник такого содержания (см. ниже) - они будут подгружатся автоматом или нет?



```
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
```

----------


## PavelA

@oie71 Тексты вставляй через [CODE], они правильнее читаться будут.

----------


## XP user

@*oie71*


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\AutoplayHandlers\CancelAutopla  y\Files]
"*.*"=""
```

указывает на то, что ни одного из указанных там файлов не должен автозапускаться. ('*.* = 'любой' - здесь 'никакой').

Paul

----------


## oie71

надеюсь эта авторановская зараза отстанет.

Спасибо.

----------


## XP user

> надеюсь эта авторановская зараза отстанет.


Я тоже надеюсь, но не забудьте, что поведение пользователей всё равно всё определяет - скоро будут известны эти меры по всей России, и что-нибудь придумают против этого - это же Windows.  :Wink: 

Paul

----------


## oie71

У меня Симантек корп 10 - иногда пропускает гад...

Посему все эти батнички , все-таки, пользу приносят.

----------


## XP user

> Посему все эти батнички , все-таки, пользу приносят.


Конечно, как же без них? Для безопасности надо сначала ОС и сетевые приложения настроить, и только потом поставить себе 'защиту'...  :Smiley: 

Paul

----------


## Pili

Защищаем сами носители. Утилита Flash Drive Disinfector создает каталоги с именем autorun.inf на дисках (не забудьте подключить флешки и др.  съемные носители) - не удаляейте эти каталоги (в тех же целях вручную создавать файлы autorun.inf не рекомендуется, по непроверенным данным появились зловреды, которые переписывают файл autorun.inf)

----------


## zerocorporated

> Защищаем сами носители. Утилита Flash Drive Disinfector создает каталоги с именем autorun.inf на дисках (не забудьте подключить флешки и др.  съемные носители) - не удаляейте эти каталоги (в тех же целях вручную создавать файлы autorun.inf не рекомендуется, по непроверенным данным появились зловреды, которые переписывают файл autorun.inf)


А в чем защита заключается?

----------


## Pili

zerocorporated, на вашу флешку, если вы подсоедините её к зараженному компьютру (например у знакомых), не запишутся зловреды типа autorun.inf, соответственно такая флешка не заразит другие системы.

----------


## zerocorporated

> zerocorporated, на вашу флешку, если вы подсоедините её к зараженному компьютру (например у знакомых), не запишутся зловреды типа autorun.inf, соответственно такая флешка не заразит другие системы.


Ну, у меня по любому не запишутся - зашита от записи аппаратная есть  :Smiley: 

Честно сказать не понял что зловреду файл autorun.inf записать помешает? то что он получив список файлов в папке увидит папку с именем autorun.inf и все? Нужно поэкспериментировать...

----------


## Pili

zerocorporated, я не про вашу конкретно систему, ваша система (и флешка тоже)  может и защищена, а фотоаппарат, а сотовый? А у других?
Попробуйте создать каталог, а потом файл с тем же именем, сразу поймете фокус ) Утилита делает чуть лучше, ставит атрибуты и в каталог кладет файл "lpt3.This folder was created by Flash_Disinfector"

----------


## zerocorporated

> zerocorporated, я не про вашу конкретно систему, ваша система (и флешка тоже)  может и защищена, а фотоаппарат, а сотовый? А у других?
> Попробуйте создать каталог, а потом файл с тем же именем, сразу поймете фокус ) Утилита делает чуть лучше, ставит атрибуты и в каталог кладет файл "lpt3.This folder was created by Flash_Disinfector"


 :Smiley:  Оригинально

----------


## Surifon

Возможно встреваю не по теме. Но я таким образом пытался бороться с вирусом, удалял autorun.inf, создавал свой - всё равно он удалялся (причём даже если окошко с редактированием кода файла открыто) и вирус прописывал свой. То есть правило, о недоступе к файлу, который открыт и который имеет такое же имя легко обходится вирусом. Хотя я так экспериментировал на жёстких дисках, в флешках по-другому?

----------


## XP user

> Но я таким образом пытался бороться с вирусом, удалял autorun.inf, создавал свой - всё равно он удалялся (причём даже если окошко с редактированием кода файла открыто) и вирус прописывал свой. То есть правило, о недоступе к файлу, который открыт и который имеет такое же имя легко обходится вирусом. Хотя я так экспериментировал на жёстких дисках, в флешках по-другому?


Меры по предотвращению авторана можно только принимать на _здоровой_ ОС. 
К Flash_Disinfector'у скептически отношусь - думаю, что метод срабатывает против _хороших, добрых_ программ, но что зловред научится его обходить если других мер не предпринимать, которые ранее обсудились...

Paul

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SDA

Нашел интересную утилиту, программа отключает автозапуск USB устройств, анализирует файлы, которые были предназначены для автовыполнения и блокирует потенциально опасные операции http://virusinfo.info/showthread.php...697#post213697

----------


## GrAnd

День добрый!

По поводу Flash_Desinfector и иже с ним.

Раньше я использовал похожую но свою защиту:

1. Флешка конвертируется в NTFS (это если отформатирована в FAT/FAT32).
2. На ней создается файл autorun.inf с содержимым:


```
[autorun]
Icon=имя_иконки.ico
Label=имя_флешки
```

3. На этот файл устанавливаются атрибуты RHSA.
4. Так же на нее скидывается иконка и на нее устанавливаются такие же атрибуты.
5. Для файла autorun.exe в "Безопасности" для всех запрещаются следующие опции:

Создание файлов/запись данных
Создание папок/дозапись данных
Запись атрибутов
Запись дополнительных атрибуьов
Удаление
Смена разрешений
Смена владельца

Это проделывал под учеткой администратора домена. В результате, снять защиту с записи мог только администратор конкретного домена в конкретном домене. Ибо именно он оказывался прописанным во владельцах. На других машинках домена и в других доменах это не проходило (не должно было, во всяком случае).

Вроде бы все работало нормально. Но, может быть, просто не привелось использовать ее на зараженной машинке. Кроме того, при вставке флешки, она появлялась со своей иконкой и именем. А понты, как известно, дороже денег. Ну и для понтов же такую же шнягу на хардах проделал.

Но вот прочитал про Дезинфектор и решил его испробывать.
Скачал, запустил ... Никакого эффекта. Ну я понял, что мешают мои аутораны на дисках. Удалил с одного. Запустил снова. На нем появилась директория autorun.inf с файлом "lpt3.This folder was created by Flash_Disinfector", у которого сняты практически все возможные разрешения. Таким образом я не могу удалить этот файл и эту папку.

Посему, два вопроса:

1. Как по вашему, насколько была эффективна применяемая мною защита?
2. Как теперь удалить эту папку? Хочу понтов, а она их не дает сделать.

----------


## Vinni

> Это проделывал под учеткой администратора домена. В результате, снять защиту с записи мог только администратор конкретного домена в конкретном домене. Ибо именно он оказывался прописанным во владельцах. На других машинках домена и в других доменах это не проходило (не должно было, во всяком случае).
> 
> 1. Как по вашему, насколько была эффективна применяемая мною защита?


Чушь. У любого локального администратора есть неотъемлемое право стать владельцем объекта, а у владельца есть неотъемлемое право менять атрибуты.

----------


## GrAnd

> Чушь. У любого локального администратора есть неотъемлемое право стать владельцем объекта, а у владельца есть неотъемлемое право менять атрибуты.


И действительно чушь ... Не учел этого я что-то.
Зашел под локальным админом и за три приема удалил этот файл.

А у системы есть право менять владельца и/или рзрешения?
Если так, то троян, захвативший систему и действующий от ее имени, может превосходно этим воспользоваться. Так получается?

Впрочем, защита предлагаемая Дезинфектором, тоже, как оказалось, легко снимается.
В CLI зашел в папочку autorun.inf и дал команду "DEL *.*". Или еще по короткому имени удалить можно (а по длинному почему-то не хочет, наверное из-за имени "устройства" lpt3). С другими вариантами удаления не экспериментировал - надоело.
После чего папочка превосходно удалилась.

Так что, защита Дезинфектора такая же туфтень, как и моя, даже туфтовее. А моя хотя бы понты тюнинговые на флешки/диски навешивает.

----------


## zerocorporated

> А у системы есть право менять владельца и/или рзрешения?
> Если так, то троян, захвативший систему и действующий от ее имени, может превосходно этим воспользоваться. Так получается?


У системы есть такие права на сколько мне известно.

----------


## Virtual

> А у системы есть право менять владельца и/или рзрешения?


да есть и как не обидно, даже больше чем у админа :Angry: 
например у
system
.есть права запуска процессов от имени пользователя (про рунас ненапоминать, это просто оболочка для сервиса  :Wink: )
."ходить" на стол "Winlogon"
и т.д.
чего нет ни у одного пользователя

----------


## acid

Я думаю если нельзя избавиться от авторанов на уровне системы, тогда почему не попробывать пойти программным путем. Вот нашел правда еще не тестировал хочется услышать ваше мнение по поводу этих программ.  
StopAutorun 1.31 ссылка: http://soft.oszone.net/program/5319/StopAutorun/ эта программа Freeware и еще одна но уже Shareware  
1st Disk Drive Protector 3.0 ссылка: http://soft.oszone.net/program/5268/...ive_Protector/

----------


## zerocorporated

> Я думаю если нельзя избавиться от авторанов на уровне системы


http://virusinfo.info/showthread.php?t=20291

----------


## acid

Хотел узнать а сколько всего разделов MountPoints2 в реестре, я нашел 3. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur  rentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explo  rer\MountPoints2
HKEY_USERS\S-1-5-21-1547161642-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Exp  lorer\MountPoints2
Удалил и перегрузил комп и уже чистые разделы занес для мониторинга Касперу при этом запретив изменения и удаления в разделах а как на счет чтения тоже запретить?

----------


## XP user

> а как на счет чтения тоже запретить?


Нет, ни в коем случае!

Paul

----------


## evilone_

это все здорово а как избавиться(запретить изменения) авторана не устройств а именно системы?
тот что загружаются при запуске ОС?

----------


## Firza

> как избавиться(запретить изменения) авторана ... системы?


В OS семейство Windows NT есть такая замечательна вещь как "Разграничение прав доступа” (permisisons). Можно поставить запрет на изменение (добавление), в местах автоматического запуска программ (Registry, User Startup, All Users Startup). 
Конечно, если пользователь работает с правами “Ограниченного Пользователя”, то данные запреты будут на много эффективней, нежели, если пользователь все делает с правами Администратора.

----------


## evilone_

> "Разграничение прав доступа” (permisisons). Можно поставить запрет на изменение (добавление), в местах автоматического запуска программ (Registry, User Startup, All Users Startup).


 О, а если можно подробнее где именно настраивается эти параметры? работа по администратором (ХР СП2)
пасиб

----------


## zerocorporated

> О, а если можно подробнее где именно настраивается эти параметры? работа по администратором (ХР СП2)
> пасиб


Если локальные диски у вас отформатированы под файловую систему NTFS то у каждого объекта (Файлы, папки) есть права доступа. Их можно изменять если *снять* галочку в свойствах папки "Использовать простой и общий доступ к файлам". Потом в свойствах папки появиться вклад "Безопасность". В ней можно настроить права доступа.

В реестре тоже можно настраивать права. В стандартной программе regedit можно правой кнопкой нажать на нужном нам ключе и зайти во вкладку "Разрешения"

P.S: Хочется ещё добавить что нужно знать что вы делаете. Изменив неправильно права доступа вы можете навредить системе.

----------


## acid

Нашел и четвертый MountPoints2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Explorer\MountPoints2, тож загнал в Каспера. Воткнул флешку потом картридер и они создали два пустых раздела в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Explorer\MountPoints2\CPC\Volume без ключей внутри, которые при перезагрузки пропадают.

----------


## Eduarts

Прочел все возможные посты в интернете. Неужели так и придется решать проблему через тернии к звездам (типа, отключением автозапуска, использованием  альтернативного метода открытия файлов, всё ручками, а проблемы от  того, что ты чайник и не догоняешь, что другого решения нет).  Флешка была заражена. AVZ не помог, KIS 2009 удалил 2 файла , но проблему не решил, BitDefender не видит. Cureit (от доктора) нашел (autorun.inf I:\Win32.HLLW.Autoruner.2489, удален). Вроде, без проблем сейчас …

----------


## evilone_

так автозапуск дисков отключается любым твикером зачем мудрить?
TuneUp Utilities 2008:

лучше скажите на какие ветки и какие права ставить чтобы запретить программам прописывать себя в автозагрузку?

----------


## XP user

> так автозапуск дисков отключается любым твикером зачем мудрить?


Обходится раз-два-три, *evilone_*. В этом как раз прикол.  :Smiley: 



> лучше скажите на какие ветки и какие права ставить чтобы запретить программам прописывать себя в автозагрузку?


Любой достойный анти-вирус/HIPS может следить за этим если вы это задаёте в настройках...
И чтобы более подробно отвечать на ваш вопрос: в старых добрых временах всё ограничивалось до следующих способов:
http://www.oszone.ru/3338/
Естественно можно запретить запись туда. 
Но увы, сейчас мне лично известны уже примерно 60 способов (не могу их привести по определённым соображениям), и я нахожу всё новые и новые...

Paul

----------


## Eduarts

Мне всё время казалось, что компьютер должен облегчать и ускорять, в какой-то мере упрощать, экономить  время. Решение любой проблемы зависит от того, насколько  правильно определена первопричина. Лечить надо причину, а не следствия. Как я понимаю, дальше будет хуже (я о проблеме заражения вирусом съемных носителей информации). Фотоаппараты, мр3 плееры, флешки,  всё это используется в разных условиях и не только с проверенными источниками или техникой.

----------


## XP user

> Лечить надо причину, а не следствия.


Всё относительно просто решается, *Eduarts* - не сидите под Админ; работать надо как Ограниченный Пользователь (уже после грамотной настройки ОС разумеется).

Paul

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## evilone_

> Любой достойный анти-вирус/HIPS может следить за этим если вы это задаёте в настройках...


Антивирусы не люблю  :Smiley:  а какой толковый HIPS посоветуете чтобы не сильно грузил систему?

----------


## XP user

> Антивирусы не люблю  а какой толковый HIPS посоветуете чтобы не сильно грузил систему?


Я, честно говоря, не люблю ни то, ни другое. 

Из тех программ HIPS, которые я тестировал я порекомендовал бы:
Бесплатная: System Safety Monitor (русский язык тоже знает); выбрать Free.
Платная:Defense Wall
Её автор - участник данного форума *rav*.

Paul

----------


## rav

Только русскоязычная версия DefenseWall старая.

----------


## XP user

> Только русскоязычная версия DefenseWall старая.


Oops! Не знал. Я дал ссылку на русский раздел сайта, но я, естественно, тестировал английскую версию, так как я с английским лучше дружусь, чем с русским...

Paul

----------


## santy

Paul, нет ли в ваших планах написания работы, которая обобщила бы многие ваши рекомендации по безопасной работе в системе Windows?

----------


## XP user

> Paul, нет ли в ваших планах написания работы, которая обобщила бы многие ваши рекомендации по безопасной работе в системе Windows?


Вряд ли, если только на английском, может быть...  :Smiley: 
Здесь уже есть отличная книга Николая Головко, где описано то, о чём вы говорите:
Безопасный Интернет. Универсальная защита для Windows ME - Vista

Мне нечего добавить, если только некоторые экстремальные способы защиты как, например:
Как обезвредить Internet Explorer?
и
Борьба с автозапуском новыми методами

Paul

----------


## santy

> Вряд ли, если только на английском, может быть... 
> Здесь уже есть отличная книга Николая Головко, где описано то, о чём вы говорите:
> Безопасный Интернет. Универсальная защита для Windows ME - Vista
> Мне нечего добавить, если только некоторые экстремальные способы защиты как, например:
> Как обезвредить Internet Explorer?
> и
> Борьба с автозапуском новыми методами
> Paul


Хотелось бы иметь книгу "навырост". (Как "игра в классики" Кортасара.) Данная редакция "Безопасный Интернет. Универсальная защита..." , на мой взгляд, содержит в основном обзор программ защиты, а так же настроек системных служб и частично реестра и может быть полезна лишь на определенном этапе знаний.

----------


## 1205

И кстати очень хотелось бы, чтобы в книгу добавили больше информации о службах и настройках их в Windows Vista. Я попытался настроить службы по аналогии с ХР, но очень многие там называются по-другому, поэтому возникали затруднения. В книге описано несколько Вистовских служб, которых нет в ХР, но мало. У меня в Windows Vista на ноутбуке гораздо больше служб, и я не уверен, что все они нужны (какие-то службы проверки лицензий или еще как-то так). 
И "Защитник Windows" надо отключать не через службы, а саму программу (там есть пункт "административное отключение"), иначе при каждой загрузке системы будет сообщение об ошибке инициализации этой службы.

----------


## XP user

> Хотелось бы иметь книгу "навырост". (Как "игра в классики" Кортасара.) Данная редакция "Безопасный Интернет. Универсальная защита..." , на мой взгляд, содержит в основном обзор программ защиты, а так же настроек системных служб и частично реестра и может быть полезна лишь на определенном этапе знаний.


Я сейчас играю с идей создать что-нибудь вроде Security Now!. Каждую неделю, допустим, новый топик, который интересен и чайникам, и экспертам. Это будет, скорее всего, не здесь. Потом сообщу...



> И "Защитник Windows" надо отключать не через службы, а саму программу (там есть пункт "административное отключение"), иначе при каждой загрузке системы будет сообщение об ошибке инициализации этой службы.


Да. За раздел про Висту не могу отвечать, так как я сам не пользовался (ещё) этим чудом. Но знаю из опыта настройки Висты у других, что есть такое, и многие другие тайны ещё...  :Wink: 

Paul

----------


## ir0n

> Я сейчас играю с идей создать что-нибудь вроде Security Now!. Каждую неделю, допустим, новый топик, который интересен и чайникам, и экспертам. Это будет, скорее всего, не здесь. Потом сообщу...


Чрезвычайно интересная идея! Признаться, Паул, мне очень не хватает Ваших советов и идей.  :Sad:  Всё время возникают какие-то вопросы и проблемы, и приходится их как-то решать...

----------


## RobinFood

http://support.microsoft.com/default...rss&spid=11707

----------


## Virtual

ну млин конечно, тема появилась пол года назад, лично я бился над решением ее уже год назад, а мелкомягкие спохватились только 11.08.2008
ща качаю и буду "зырить" че же они там менять будут, давно хотел вычислить модули ответственные за авторан и не только.

ЗЫ блин если уже космонавты на флешках в космос таскают эти каки...




> Временное решение
> Временное решение
> Были проверены обходные способы решения проблемы, указанные ниже. 
> 
> Перейти к началу страницы
> Способ 1. Запрет создания файлов Autorun.inf в общих папках
> Чтобы предотвратить вызов функции автоматического запуска и запретить всем программам записывать файлы Autoun.inf на подключенные сетевые диски, выполните действия, описанные ниже.1.	Удалить все файлы Autorun.inf из корневого каталога подключенного сетевого диска. 
> 2.	Отнимите у всех право Создать для корневого каталога подключенного сетевого диска. 
> 
> ...


 :Angry:  :Cheesy:  :Cheesy:  :Cheesy: *млин ну не идиоты ли?
п1. млин если у процесса есть права админа то ему пофиг безопасность папок, что можно запретить то и можно разрешить, ну а если учесть что в корне теперь вообще ничего создавать незя, то это...
п.2 я вообще в осадок выпал, перевожу... если болит голова то лучше ее отрезать :Angry: 

ну их нафиг, мне больше подуше



```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
```

----------


## 777sasa

http://mechanicuss.livejournal.com/195192.html

PROTECT.BAT version 1.6 (by [info]mechanicuss, вакцинирующая часть by [info]eugenius_nsk)
-------------------------------------------------------
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF
-------------------------------------------------------

----------


## Nickon

А я вот не смог у себя найти эту политику... У меня Win 2003 сервер, может она как-то по другому называется?

http://virusinfo.info/showpost.php?p...8&postcount=15

----------


## Erekle

Есть ещё один способ, но...  :Smiley:

----------

