PDA

Просмотр полной версии : Как полностью обезопаситься от autorun-нов?



Talanius
02.02.2008, 13:33
Добрый день! Думаю не меня одного достали вирусы кочующие с одного компа на другой на флэшках. Помогите пожалуйста решить эту проблему.

Имеется примерно три десятка компов разбросанных по магазинам в разных концах города. На всех стоит Win XP SP2 rus corp + KAV v7.0.0125 или v7.0.1.321. Инета в большинстве магазинов нет, соответственно базы обновляются вручную, примерно раз в неделю.
Компы служат для приема заказов у клиентов, так что поросячий визг каспера сышен каждые пять минут. Ну и соответственно то одна машина, то другая, несмотря на присутсвие каспера, переодически хватает заразу.

На всех машинах через групповые политики отключен автозапуск всех дисков.

Ранее я полагал, что отключение автозапуска, предотвращает выполнение команд в файле autorun.inf, но как я понял, на самом деле эта процедура лишь предотвращает автоматическое выполнение содержимого авторана, при подключении фэшки или вставке диска. Кода же юзер открывает флэшку двойным кликом в эксплорере, содержимое авторана приспокойненько исполняется, и как результат -- зараженная машина :(

Подскажите пожалуйста, можно ли как-нибуть запретить системе вообще обращать внимание на autorun.inf ?
Или может есть способ запретить системе выполнение исполняемых файлов на всех сменных носителях (что также по идее должно решить проблему) ?

Вобщем помогите люди добрые кто чем может, а то сил моих уже нет бороться с этой пакостью :O.

Макcим
02.02.2008, 14:12
Отключите автозапуск (http://virusinfo.info/showpost.php?p=157432&postcount=2) (не путать с автозагрузкой!!!) на всех дисках.

Talanius
02.02.2008, 14:51
2Maxim
скачал, установил, снял все галки, применил, перезагрузился (на всякий случай), вставляю диск в CD-юк, открываю его -- СРАБАТЫВАЕТ АВТОЗАПУСК!!!, т.е. выполняется содержимое autorun.inf

другие идеи есть?

p.s. кстати, а причем тут автозагрузка, или я чего-то не понял?

drongo
02.02.2008, 15:06
http://virusinfo.info/showthread.php?t=16459

ed13
03.02.2008, 00:24
Talanius, в данном случае, на мой взгляд, логичнее исключить эксплореер... Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...

Vinni
03.02.2008, 02:27
Ну а "кардинальное" решение - это политика ограниченного использования программ, тогда пользователь вообще не запустит НИЧЕГО кроме того, что разрешено.
Как минимум, IMHO надо запретить исполнение из "C:\Documents and Settings". Но я "наоборот" - запрещаю по default и разрешаю нужные, соотв. пользователи "выкуривают" и с CD-юками, и с флэшками, и с остальным хламом из и-нета, в т.ч. и с вирусами (то есть они безобидно валяются в профиле, откуда их в учётке юзера можно пытаться даже запустить "руками" :-) )

Talanius
03.02.2008, 06:29
2drongo
в ветке
'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков

скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?

2ed13
переучивать юзеров с эксплорера на тотал слишком уж сложно ;)

2Vinni
собственно я уже думал об этом, но если существует менее радикальный способ, то все-таки хотелось бы обойтись без "драконовских" мер :)

Макcим
03.02.2008, 09:15
2drongo
в ветке
'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков

скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?Полагаю первый запрещает автозапуск с определенных носителей, второй запрещает автозапуск вообще.

drongo
03.02.2008, 10:25
Можно испортить ассоциацию файлов .inf , например поменять на notepad.exe .Правда если есть нужные программы, которые используют .inf - они работать перестанут.

psw
22.02.2008, 20:57
В сети появились ссылки на найденные автораны такого содержания
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор :)
Авторан со всех дисков выключен.

XP user
22.02.2008, 22:03
В сети появились ссылки на найденные автораны такого содержания
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор :)
Авторан со всех дисков выключен.
Это потому что когда вы просто вставляете USBDrive, MountPoints2 обновляется сразу же новыми параметрами - политики Explorer обходятся очень просто. Есть защита против этого: просто отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение'. Никакой Brontok и пр. вашу машину уже не заразит через авторан... ;)
P.S.: Ключ MountPoints2 находится здесь:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
для всех юзеров отдельно.

Paul

psw
22.02.2008, 22:26
А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?

XP user
22.02.2008, 22:29
А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?
Я думаю, что лучше перед добавлением новых дисков отредактировать Разрешения MountPoints2 обратно. Заранее разрешить то, что ещё нет - не знаю... :)
P.S.: Надо будет искать как это работает. По умолчанию Windows делает доступными ВСЕВОЗМОЖНЫЕ диски. Я те, которые не нужны сделал недоступными.

Paul

akok
22.02.2008, 22:52
Talanius, Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...

ООчень полезная вещь....если честно сам долго переучивался....теперь использую стандартный интерфейс (windows) только когда работаю с рабочим столом или папкой Мои документы...все остальные операции с файлами только через Total Commander...довольно часто спасал от авторанчиков...откроешь флешку, а там *.inf, *.vbs и другие радости жизни из 10 случаев в 3 антивирус не распознал заразу.

DoSTR
23.02.2008, 07:36
Можно запретить запуск любых программ с USB -флэшек.

Что бы случайно не произошел запуск трояна, с помошью
C:\WINDOWS\system32\secpol.msc
"Политики ограниченного испльзования программ" -> "Дополнительные правила" ->"Создать правило для пути"
для пути - если у вас флешка на "f:\" поставить "Не разрешено".
(+еще другие возможные старшие буквы G:\, H:\, I:\... на случай того если клиент одновременно вставил несколько USB, например сотовый и свою флешку+Флешку продавца+...)

т.е. Windows XP будет блокировать запуск исполняемых файлов из этого диска/папки.

P.S.
Не стоит писать: !!!
C:\
т.к. будет запрещен запуск программ с системного диска!


Примечание
Можно
C:\WINDOWS\system32\secpol.msc
запустить по другому:
Пуск-> Панель управления-> Администрирование-> Локальная политика безопасности

XP user
23.02.2008, 08:45
@ DoSTR:

Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство. Сами создайте, пожалуйста такой авторан для этого устройства и убедитесь:

[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
Это безопасно. Просто вместо Explorer.exe, калькулятор будет запускаться когда вы щёлкаете дважды на устройство, и на него не распространяются эти ограничения.
Решение: запретить системе доступ к параматрам MountPoints2 через запрет админ группы на этот ключ. Система (при наличие у вас админ прав) изменяет эти параметры каждый раз, когда вы вставляете новое устройство в обходе вами указанных политик.
P.S.: Ваш вариант сработает только, если у юзера хватает дисциплины НЕ щёлкать дважды, а открыть диск через клик правой кнопкой мыши + open. На практике у пользователей нет такой дисциплины. Кроме того, Троян сам может ещё щёлкать...
P.S.2: Ещё одна особенность - Политики Windows применяются достаточно поздно в процессе загрузки Windows. Зловред может успеть запускаться (если машина уже заражена) ДО ТОГО, как применяются эти политики.

Paul

psw
23.02.2008, 09:10
Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.

XP user
23.02.2008, 09:14
Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.
В этом примере да. Спасибо за поправку! :)
Как раз сегодня в разделе 'Помогите' опять пример, где автозапуск отключён и всё равно заражаются:
http://virusinfo.info/showthread.php?t=18512
P.S.: Пользователи-умники вставляют диск и нажимают одновренменно на клавишу Shift, и запрет авторан тоже снимается!

Paul

psw
23.02.2008, 09:50
Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.

XP user
23.02.2008, 10:06
Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.
Боюсь, что да. :>

Обход кнопкой Shift тоже можно блокировать по моему через secpol. Точно не помню (у меня XP Home).

Всегда новые пути обхода политик secpol открываются. Я не стал бы пологаться на эти политики. Ещё раз упоминаю, что политики грузятся с опозданием. Если вы забыли снять устройство - поздно. Другое дело когда Windows уже загрузилась полностью - тогда есть вероятность, что политики действуют.

P.S.: Вариант с блокировкой доступа к MountPoints2 сам считаю наилучшим...
В связи с этим надо отметить, что и в MountPoints2 может быть предусмотрен Autorun для определённых ранее уже использованных устройств (тоже обход политик!). Следует чистить эти параметры до того, как блокировать доступ (просто удалить ключ целиком - создаётся чистый ключ при перезагрузке).

Paul

drongo
23.02.2008, 16:24
А разве не быстрее inf добавить в script defender http://www.analogx.com/CONTENTS/download/system/sdefend.htm , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.

XP user
23.02.2008, 16:37
А разве не быстрее inf добавить в script defender http://www.analogx.com/CONTENTS/download/system/sdefend.htm , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.
Вы недооцениваете malware (или вернее - переоцениваете script defender).
Дайте, пожалуйста, несколько примеров, где авторан так удобно, что риск оправдан - откуда вы будете знать, что программа хорошая или нет когда вы получаете алерты? HIPS хорошо, но меня лично раздражает - большинство вопросов задаёт о хороших программах.
Mы узнали в данной теме, что проблема не всегда в самом авторане, а в MountPoints2, который каждый раз, когда вы вставляете устройство, отредактируется самой ОС. Вы думаете, что script defender против этого тоже предупреждает?

Paul

DoSTR
23.02.2008, 17:20
Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство.
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.;)

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика (http://virusinfo.info/showpost.php?p=192128&postcount=15) спасает меня от червяков.
При той проблеме описанной автором в сообщении 1 (http://virusinfo.info/showpost.php?p=181673&postcount=1), способ предложенный мною кажется ему подходит как нельзя лучше. :D

XP user
23.02.2008, 17:49
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.;)

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика (http://virusinfo.info/showpost.php?p=192128&postcount=15) спасает меня от червяков.
При той проблеме описанной автором в сообщении 1 (http://virusinfo.info/showpost.php?p=181673&postcount=1), способ предложенный мною кажется ему подходит как нельзя лучше. :D
Я рад за вас, но проверяйте всё-таки содержание MountPoints2...
Система действительно туда пишет инфу о запуске уже известных устройств. Она могла писать туда инструкции до того, как вы создали политику... :)

Paul

drongo
23.02.2008, 19:27
Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже?
Пользователь и так стоит с правами только на чтение.

XP user
23.02.2008, 19:45
Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже? Пользователь и так стоит с правами только на чтение.
Риска в удалении ключа MountPoints2 нет - Windows создаст этот параметр заново, но уже чистый. Нужны права админа. Проверьте все устройства (работают ли они).
Потом посмотрите права всех пользователей MountPoints кроме 'Системы'. В левой колонке (=РАЗРЕШЕНИЯ) НИЧЕГО НЕ ТРОГАЕМ! Мы в правой колонке отметим 'ЗАПРЕТИТЬ' на все параметры кроме 'Чтение'. Если так не делать могут быть проблемы при необходимости отмены данной политики.
P.S.: Картинку почему-то форум не разрешает вставить. Тогда дам ссылку на описание по-английски:
http://virusanalysts.blogspot.com/2007/11/preventing-autorun-infection.html
Четвёртая картинка показывает как надо.

Paul

drongo
23.02.2008, 20:18
На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить. :)
или системе в этом случае всё равно ?
http://bp3.blogger.com/_CrutuWN3LFk/RzS_3T9Q5yI/AAAAAAAAACw/sDFABGw_h8M/s1600/mountpoints2-permissions.JPG

XP user
23.02.2008, 20:25
На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить. :)
или системе в этом случае всё равно ?
Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
http://techrepublic.com.com/5208-6230-0.html?forumID=101&threadID=234964&messageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений? :)

Paul

drongo
23.02.2008, 20:35
Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
http://techrepublic.com.com/5208-6230-0.html?forumID=101&threadID=234964&messageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений? :)

Paul
в кaментах указано в XPpro есть более элегантный способ через gui , что -то не нахожу .
P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script ;)

XP user
23.02.2008, 20:42
P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script ;)
Уже сделано. НЕ помогает. 'Прав нет' и всё... 8)

Paul

drongo
23.02.2008, 20:57
Уже сделано. НЕ помогает. 'Прав нет' и всё... 8)

PaulАнтона проси, у меня нет прав поиграться с твоими настройками :)

XP user
23.02.2008, 20:59
Антона проси, у меня нет прав поиграться с твоими настройками :)
OK. ;)

Paul

pig
23.02.2008, 21:10
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
....
Пользователь и так стоит с правами только на чтение.
HKCR - это личный пользовательский куст реестра. Там у текущего пользователя всегда полные права.

psw
24.02.2008, 00:40
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.;)

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика (http://virusinfo.info/showpost.php?p=192128&postcount=15) спасает меня от червяков.
При той проблеме описанной автором в сообщении 1 (http://virusinfo.info/showpost.php?p=181673&postcount=1), способ предложенный мною кажется ему подходит как нельзя лучше. :D

А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.

XP user
24.02.2008, 08:59
А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.
Именно потому что в ключе MountPoints2 видимо уже есть 'приказ' для вашего устройства. ;)
Надеюсь, что вы заметили, что DoSTR отредактировал своё изначальное сообщение? - Политики должны быть по другому созданы. Надеюсь, что он сам выйдет и скажет о своих опытах.
Потом - удержание 'Shift' тоже отменывает эти политики. Любопытно, может ли Троян это cделать, и если да, как? Пытаюсь найти ответ. Трюк с MountPoints2 - хороший. Долой, Бронток! :D

Paul

drongo
24.02.2008, 09:29
http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html
Вот такая магия обмана : а авторана нет :)

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

XP user
24.02.2008, 09:36
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
В-Е-Л-И-К-О-Л-Е-П-Н-О-! Но только против .ini варианты. Существуют и другие расширения авторана. Блок на MountPoints2 не совсем отменяется. :)

Надо ещё заметить, что '@SYS:_DoesNotExist' НЕ распространяется на автозапуск CDRom и DVD!
Чтобы отключить их надо всё-таки отредактировать следующий ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom.
Autorun = 0
P.S.: Установка любого плеера может отменить последнюю меру. Следите!

Paul

drongo
24.02.2008, 12:35
я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.

XP user
24.02.2008, 16:34
я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.
А в антивируснике этого нельзя задать? Или хотя бы мониторить MountPoints2?

Paul

drongo
24.02.2008, 17:56
Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить :)

XP user
24.02.2008, 18:06
Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить :)
Угу. Меня тоже интересует параметр @SYS:
Если с ним можно убить авторан, сказав ОС, что такое не существует на машине, то тогда уже предвижу кашмары убийства защиты таким путём. Гугл ничего не даёт, кроме вами приведённого трюка с Autorun в разделе IniFileMapping.

Paul

drongo
24.02.2008, 18:08
значит скоро будет новая волна зверьков с новыми качествами, будет весело :)

Virtual
03.03.2008, 17:50
УРААА наконец то нашлось хоть какоето средство от этой напасти
всем принявшим участие большой респект.

мой регфайл применяемый ...

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


добавлено

все теперь эти ключи реестра прописываются принудительно, при каждом старте рабочей станции в домене, результат превосходит все мыслимые ожидания,

если стоит антивирус то он влегкую успевает проверить флешку,
а если обычный пользователь, у которого скрытые файлы и так не показываются, по умолчанию, то он и неподозревает были вирусы на сменном носителе или нет...
авторана нет, а сам запустить не может так как не видит что запустить

Marielito07
10.03.2008, 18:15
p2u
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!

и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun

Virtual
10.03.2008, 19:33
все, вроде действует безотказно, кстати на флешках у меня такой авторан лежит...

XP user
10.03.2008, 19:46
p2u
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!
Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?

и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun
Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.

Paul

Surfer2000
10.03.2008, 22:18
Господа, занятная дискуссия, но каков же её вывод:
1. Каким образом можно отключить автозапуск с флэш-накопителей и жёстких дисков?

2. Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?

akok
10.03.2008, 22:35
Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?
Это признак инфекции.
Начните с темы в "Помогите" (http://virusinfo.info/forumdisplay.php?f=46), выполните правила (http://virusinfo.info/showthread.php?t=1235) и вам помогут.

Marielito07
10.03.2008, 23:08
Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?
Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun. Ну почему же, в таком случае зачем вообще антивирусная программа ведь можно занести к себе такого неизвестного зверя самостоятельно другими способами, к тому же не все malware сразу прямиком создают autorun и поймать неизвестного зверька который будет в autorun`е это 1 из 10 случаев, имхо!


Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.

Я про то когда меняли значение в реестре там когда грузиться експлорер при двойном щелчке мышкой

Surfer2000
10.03.2008, 23:41
aKoK,
вы правы, но у меня была такая ситуация:
инфекция уничтожена (точно!), а файлы всё равно не видны.
Помогло восстановление системы до ранее созданной (безвирусной) точки восстановления.

Единственное, что меня пугает, это то, что у меня разрешён автозапуск с флэш-носителей и жёстких и сетевых дисков (по крайней мере, так пишет AVZ).

XP user
10.03.2008, 23:52
Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun.
Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан. :)

Paul

Marielito07
10.03.2008, 23:56
Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан. :)

Paul
Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?

XP user
11.03.2008, 00:22
Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
Какой ДЛЯ ВАС желанный результат если все уже довольны?

И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?
Вы прочитали вообще тему с начала до конца? Если да, то тогда какой рецепт вам ещё нужен, скажите?

Paul

Marielito07
11.03.2008, 02:05
ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!

Добавлено через 19 минут

Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?

Добавлено через 34 минуты

Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?

XP user
11.03.2008, 13:31
ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
Только совокупность мер даст полноценную защиту. Хотелось бы увидеть обоснование того, что ' не один из них толком не работает'. Как вы это установили?

И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!
Этот ключ MountPoints2 (я это уже писал) можно без вредных последствий удалить. Он после перезагрузки восстанавливается, но уже чистым. Наличие autorun там не объязательно - при любым обращении к диску Windows там производит изменения. Если вы ранее уже разрешили хоть один раз автозапуск по данному устройству, и вы потом устанавливаете запрет на автозапуск, то тогда может запросто случиться, что Windows решит, что вы всё-таки хотите, чтобы устройство само по себе запускалось. На это играют создатели зловредов.

Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?
Файл autorun может находится в других местах на компьютере если он заражён, и лишь ссылаться на какое-нибудь устройство. Потом, файл autorun может быть ещё скрытым. В таких случаях требуется специальные инструменты, такие как AVZ, чтобы обнаружить его.

Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?
Подумаю сначала как вам объяснить лучше, ОК?

Paul

Marielito07
11.03.2008, 15:01
Жду ответа, заранее спасибо!

Добавлено через 1 час 19 минут

Хех, только что на работе принесли флешку, еще не настроил у себя запрет на автозапуск, и как в тему там была autorun.inf, но nod32 его быстро продетектил и снес а копию в карантин отправил!

Добавлено через 7 минут

А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected

XP user
11.03.2008, 15:22
А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected
Я не пользователь Нода, но может быть эта папка - скрытая? Для того, чтобы посмотреть скрытые папки надо:
Мой Компьютер - Сервис - Свойства папки - Вид.
Крутить вниз и
* снять галочку, где стоит 'Скрывать защищённые системные файлы' (рекомендуется) и
* ниже ещё отметить 'Показать скрытые файлы и папки'.
Применить - ОК.

Paul

Marielito07
11.03.2008, 17:16
Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?

PavelA
11.03.2008, 17:38
@Marielito07 Версия Нода какая и базы от какого числа?

Marielito07
11.03.2008, 17:50
ESET NOD32 Antivirus 3.0.621.0

Virus signature database: 2841 (20080131)
Update module: 1023 (20080229)
Antivirus and antispyware scanner module: 1107 (20080303)
Advanced heuristics module: 1070 (20080212)
Archive support module: 1074 (20080307)
Cleaner module: 1026 (20080228)

PavelA
11.03.2008, 18:23
THK

Marielito07
11.03.2008, 18:32
THK
Was ist das?

Surfer2000
13.03.2008, 23:43
Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...

Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?

Virtual
14.03.2008, 09:53
еще раз повторюсь, вот это


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

записанное в файл a.reg
и выполненое! комп перегрузить. разве не отключает полностью авторан и не позволяет вам видеть скрытые файлы и папки, (если вы их включите в свойствах проводника, кстати если свойств у вас небыло то они появятся!)
???

или просто скачайте
http://virusinfo.info/attachment.php?attachmentid=37329&d=1205166769
и выполните 1.reg и 2.reg

Добавлено через 7 минут


Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?

качай вложение и запускай!, можеш все содержимое архива себе в корень флешки положить, и к друзьям сходить

PavelA
14.03.2008, 10:18
Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...

Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?

Можно сделать так: в AVZ Файл -- Восст. системы - п.6,8 -- Выполнить.

Да, это именно Thank you (THK)

Surfer2000
15.03.2008, 18:18
Понял, всем огромное спасибо за помощь!

P.S.
Virual,
А авторан с CD данные рег файлы отключают?

Shark
15.03.2008, 19:25
Кхе, кхе...
Прочитано, понято. А я хочу рассказать, как сделал я.
Находим прогу TweakXP (кому - то уже искать не нужно. см. Аттач) - она запустится на Service Pack 2 и только там...
После установки нужно запустить прогу и проследовать в направлении
My Computer ->AutoPlay -> Drives.

Справа будет список дисков.

Снимите галочки напротив дисков, автозапуск которых Вам не нужен.
(У меня отключены все диски, кроме локальных) и нажмите Apply.

Будут отключены все диски, с которых сняты эти отметки....
Для пользователей Антивируса Касперского: необходимо разрешать действия с Реестром!

Закрыть программу.
Всё! Автозапуск отменён!

XP user
16.03.2008, 09:14
TweakUI ... Drives...
Проблема-то как раз в тех дисках, которые доступны, Shark. Даже если там запретить автозапуск через TweakUI, есть определённые условия, при которых эти запреты просто обходятся.

Сначала 'добрый' вариант - Допустим вы установили запрет на автозапуск доступного CD-Rom (я это уже годами делаю). Теперь установите какой-нибудь агрессивный плеер типа RealPlayer или QuickTime. Хотя TweakUI показывает, что автозапуска нету (галочка же снята для Autoplay CD-ROM), если проверить реестр, то тогда оказывается, что плееры отменили запрет автозапуска!

Теперь кошмарный вариант - вы установили запрет автозапуска для всех дисков, сняли все галочки доступных дисков, кроме вам нужных - остальные недоступны совсем (так у меня). А теперь запустите на своём компе кого-нибудь из семейства Бронтока (желательно посвежее) и сообщите о результатах - Автозапуск отменён, или...? :>

Paul

Virtual
16.03.2008, 12:31
Понял, всем огромное спасибо за помощь!

P.S.
Virual,
А авторан с CD данные рег файлы отключают?

а сам еще не проверил?:P
отключается как класс авторан!!

результат этого и еще 2 топиков данного сайта.

psw
16.03.2008, 12:48
Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. http://virusinfo.info/showthread.php?t=19909)?
Если это так, то пропаганда защиты здоровых компьютеров становится очень важной.

XP user
16.03.2008, 15:25
Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. http://virusinfo.info/showthread.php?t=19909)? (http://virusinfo.info/showthread.php?t=19909%29?)

Это вы правильно поняли.

Если это так, то пропаганда защиты здоровых компьютеров становится очень важной.
P.S.: Я лично только этим и занимаюсь...

P.S.2: Кстати, нашёл ещё один забавный способ к дополнению того, что я ранее привёл:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).

Paul

Surfer
25.03.2008, 20:11
Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами RHS будет достаточно ?

Pili
25.03.2008, 20:43
Или создать каталог autorun.inf и attrib rs

XP user
25.03.2008, 23:08
Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами RHS будет достаточно ?
Я не знаю, насколько это правда, но на одном хакерском форуме в США читал, что и это уже обходится. Защита от записи, возможно, лушче. Но даже если у вас на флэшке стоит файл авторан, если вы на компьютере введёте это:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
то тогда этот файл не должен запускаться, так как Windows не будет знать как его запускать - он же не существует. Этот хак говорит Windows, что Autorun.inf на самом деле файл конфиг с периода ДО Win95, когда реестра ещё не было, и всё делалось через .ini файлы. В данном случае, Windows поймёт всё так: 'Слушай, Билл, дорогой, каждый раз, когда тебе надо работать с файлом autorun.inf, не используй параметры самого файла, ладно? Ты найдёшь как делать всё в HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist.'
Но так как этот ключ не существует (=DoesNotExist), параметры - пусты. В результате и ничего не автозапускается, и никаких параметров не добавляется к режиму двойного клика explorer'a. Только когда вы дико начинаете нажать на исполнительные файлы на флэшке можно заразить комп, что вы таком случае заслужили...
Кроме того можно ещё задать:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Это текстовые параметры файлов, которые не должны автозапускаться. В данном случае *.* = любые.
P.S.: Естественно надо добавить ключи к тем, которые мониторятся постоянно вашей защитой. Вот так я добавил в Комодо 3:

http://i025.radikal.ru/0803/3a/f90d63543508.jpg

Paul

Marielito07
26.03.2008, 04:00
А в Nod32 или в Agnitum не подскажите как это сделать?

XP user
26.03.2008, 08:44
А в Nod32 или в Agnitum не подскажите как это сделать?
По моему ни в том, ни в другом продукте монитора реестра нет...

Отменил свои высказывания насчёт MountPoints2 - мониторить надо, удалить права для всех лучше НЕ надо. То, что надо делать указано здесь:
http://virusinfo.info/showthread.php?t=20291

Paul

PavelA
26.03.2008, 11:04
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).

Paul

Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.

Virtual
26.03.2008, 11:14
Наилучшее решение на мой взгляд следующее (уже применил у себя):
1. Пуск - Выполнить - regedit

вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана ;)
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!:D/

XP user
26.03.2008, 11:21
Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.
Ничего страшнего нет на самом деле в этом - всё, что там указано НЕ БУДЕТ АВТОЗАПУСКАТЬСЯ. Можно в принципе очистить всё как у меня на картинке указано.
*.* = НИКАКИЕ файлы не будут автоматически запускаться).

http://i029.radikal.ru/0803/e1/2ad3231ee053.jpg


вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!
пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана ;)
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!:D/
Я рад, что помогло. :)

Paul

oie71
08.04.2008, 15:32
А как прописать права на Mountpoints2 через политику - ключики то лежат в ветке карентюзер и политикой их достать не получается :(

на все новые профиля можно через Default. А на уже существующие как?

zerocorporated
08.04.2008, 16:25
А как прописать права на Mountpoints2 через политику - ключики то лежат в ветке карентюзер и политикой их достать не получается :(

на все новые профиля можно через Default. А на уже существующие как?

HKEY_USERS - там настройки пользователей хранятся. Кроме Default другие разделы ещё посмотрите.

Об какой политике речь?

oie71
08.04.2008, 16:59
о политике домена под 2003 сервером.
у меня больше 100 машин - вручную заколебаюсь ходить по реестрам...

тоесть, я спрашивал, как прописать права на HKEY_USERS/бла-бла/бла-бла... через политику 2003 домена

или, может кто знает как из батника прописать права на ветку/ключ реестра - тогда можна будет засунуть батник в политику "OnLogon" и все юзеры на автомате получат права (вернее отрубят себе права :) ) при входе в систему.

zerocorporated
08.04.2008, 17:46
о политике домена под 2003 сервером.
у меня больше 100 машин - вручную заколебаюсь ходить по реестрам...

тоесть, я спрашивал, как прописать права на HKEY_USERS/бла-бла/бла-бла... через политику 2003 домена

или, может кто знает как из батника прописать права на ветку/ключ реестра - тогда можна будет засунуть батник в политику "OnLogon" и все юзеры на автомате получат права (вернее отрубят себе права :) ) при входе в систему.

Скажите что за ключ вам сменить нужно батник написать можно. Боюсь что к каждого пользователя уникальный HKEY_USERS\S-1-5-20 и т.д. ключи.

Cacls - можно настроить доступ к файлам
reg - работа с ключами реестра

Настройка доступа к ключам реестра как делается через bat файлы мне неизвестно... хотя можно попробовать Secedit применить нужный шаблон к ПК

oie71
08.04.2008, 18:02
да я все о том-же :) - о autorun...
хочу автоматом УБРАТЬ (задать) права на
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
и все подветки через политики 2003 домена или через батник

XP user
09.04.2008, 09:41
да я все о том-же :) - о autorun...
хочу автоматом УБРАТЬ (задать) права на
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
и все подветки через политики 2003 домена или через батник
Знаете, автоматом для всех я не стал бы это делать. Я заметил, что не только explorer.exe туда обращается. Некоторые программы могут перестать работать нормально вплоть до вызова синнего экрана. Всё, чтобы эффективно отключить авторан описано здесь (zerocorporated написал рег файл):
http://virusinfo.info/showthread.php?t=20291
Если это всё вложить в батник, будет более, чем достаточно. :)

Paul

Vinni
09.04.2008, 09:46
Настройка доступа к ключам реестра как делается через bat файлы мне неизвестно...

SetACL.exe (http://SetACL.sf.net)

oie71
09.04.2008, 09:55
Я это читал.
батник давно уже в политике.

получается, что п.5 , все-таки, не рекомендуется?

А как насчёт autorun.vbs? - если использовать только батник такого содержания (см. ниже) - они будут подгружатся автоматом или нет?



REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom]
"AutoRun"=dword:00000000

PavelA
09.04.2008, 10:00
@oie71 Тексты вставляй через [CODE], они правильнее читаться будут.

XP user
09.04.2008, 10:11
@oie71

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
указывает на то, что ни одного из указанных там файлов не должен автозапускаться. ('*.* = 'любой' - здесь 'никакой').

Paul

oie71
09.04.2008, 10:18
надеюсь эта авторановская зараза отстанет.

Спасибо.

XP user
09.04.2008, 10:23
надеюсь эта авторановская зараза отстанет.
Я тоже надеюсь, но не забудьте, что поведение пользователей всё равно всё определяет - скоро будут известны эти меры по всей России, и что-нибудь придумают против этого - это же Windows. ;)

Paul

oie71
09.04.2008, 12:18
У меня Симантек корп 10 - иногда пропускает гад...

Посему все эти батнички , все-таки, пользу приносят.

XP user
09.04.2008, 12:24
Посему все эти батнички , все-таки, пользу приносят.
Конечно, как же без них? Для безопасности надо сначала ОС и сетевые приложения настроить, и только потом поставить себе 'защиту'... :)

Paul

Pili
09.04.2008, 12:26
Защищаем сами носители. Утилита Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) создает каталоги с именем autorun.inf на дисках (не забудьте подключить флешки и др. съемные носители) - не удаляейте эти каталоги (в тех же целях вручную создавать файлы autorun.inf не рекомендуется, по непроверенным данным появились зловреды, которые переписывают файл autorun.inf)

zerocorporated
09.04.2008, 14:00
Защищаем сами носители. Утилита Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) создает каталоги с именем autorun.inf на дисках (не забудьте подключить флешки и др. съемные носители) - не удаляейте эти каталоги (в тех же целях вручную создавать файлы autorun.inf не рекомендуется, по непроверенным данным появились зловреды, которые переписывают файл autorun.inf)

А в чем защита заключается?

Pili
09.04.2008, 14:10
zerocorporated, на вашу флешку, если вы подсоедините её к зараженному компьютру (например у знакомых), не запишутся зловреды типа autorun.inf, соответственно такая флешка не заразит другие системы.

zerocorporated
09.04.2008, 14:18
zerocorporated, на вашу флешку, если вы подсоедините её к зараженному компьютру (например у знакомых), не запишутся зловреды типа autorun.inf, соответственно такая флешка не заразит другие системы.

Ну, у меня по любому не запишутся - зашита от записи аппаратная есть :)

Честно сказать не понял что зловреду файл autorun.inf записать помешает? то что он получив список файлов в папке увидит папку с именем autorun.inf и все? Нужно поэкспериментировать...

Pili
09.04.2008, 14:28
zerocorporated, я не про вашу конкретно систему, ваша система (и флешка тоже) может и защищена, а фотоаппарат, а сотовый? А у других?
Попробуйте создать каталог, а потом файл с тем же именем, сразу поймете фокус ) Утилита делает чуть лучше, ставит атрибуты и в каталог кладет файл "lpt3.This folder was created by Flash_Disinfector"

zerocorporated
09.04.2008, 14:35
zerocorporated, я не про вашу конкретно систему, ваша система (и флешка тоже) может и защищена, а фотоаппарат, а сотовый? А у других?
Попробуйте создать каталог, а потом файл с тем же именем, сразу поймете фокус ) Утилита делает чуть лучше, ставит атрибуты и в каталог кладет файл "lpt3.This folder was created by Flash_Disinfector"

:) Оригинально

Surifon
09.04.2008, 20:46
Возможно встреваю не по теме. Но я таким образом пытался бороться с вирусом, удалял autorun.inf, создавал свой - всё равно он удалялся (причём даже если окошко с редактированием кода файла открыто) и вирус прописывал свой. То есть правило, о недоступе к файлу, который открыт и который имеет такое же имя легко обходится вирусом. Хотя я так экспериментировал на жёстких дисках, в флешках по-другому?

XP user
09.04.2008, 21:16
Но я таким образом пытался бороться с вирусом, удалял autorun.inf, создавал свой - всё равно он удалялся (причём даже если окошко с редактированием кода файла открыто) и вирус прописывал свой. То есть правило, о недоступе к файлу, который открыт и который имеет такое же имя легко обходится вирусом. Хотя я так экспериментировал на жёстких дисках, в флешках по-другому?
Меры по предотвращению авторана можно только принимать на здоровой ОС.
К Flash_Disinfector'у скептически отношусь - думаю, что метод срабатывает против хороших, добрых программ, но что зловред научится его обходить если других мер не предпринимать, которые ранее обсудились...

Paul

SDA
10.04.2008, 01:45
Нашел интересную утилиту, программа отключает автозапуск USB устройств, анализирует файлы, которые были предназначены для автовыполнения и блокирует потенциально опасные операции http://virusinfo.info/showthread.php?p=213697#post213697

GrAnd
26.06.2008, 13:11
День добрый!

По поводу Flash_Desinfector и иже с ним.

Раньше я использовал похожую но свою защиту:

1. Флешка конвертируется в NTFS (это если отформатирована в FAT/FAT32).
2. На ней создается файл autorun.inf с содержимым:

[autorun]
Icon=имя_иконки.ico
Label=имя_флешки
3. На этот файл устанавливаются атрибуты RHSA.
4. Так же на нее скидывается иконка и на нее устанавливаются такие же атрибуты.
5. Для файла autorun.exe в "Безопасности" для всех запрещаются следующие опции:

Создание файлов/запись данных
Создание папок/дозапись данных
Запись атрибутов
Запись дополнительных атрибуьов
Удаление
Смена разрешений
Смена владельца

Это проделывал под учеткой администратора домена. В результате, снять защиту с записи мог только администратор конкретного домена в конкретном домене. Ибо именно он оказывался прописанным во владельцах. На других машинках домена и в других доменах это не проходило (не должно было, во всяком случае).

Вроде бы все работало нормально. Но, может быть, просто не привелось использовать ее на зараженной машинке. Кроме того, при вставке флешки, она появлялась со своей иконкой и именем. А понты, как известно, дороже денег. Ну и для понтов же такую же шнягу на хардах проделал.

Но вот прочитал про Дезинфектор и решил его испробывать.
Скачал, запустил ... Никакого эффекта. Ну я понял, что мешают мои аутораны на дисках. Удалил с одного. Запустил снова. На нем появилась директория autorun.inf с файлом "lpt3.This folder was created by Flash_Disinfector", у которого сняты практически все возможные разрешения. Таким образом я не могу удалить этот файл и эту папку.

Посему, два вопроса:

1. Как по вашему, насколько была эффективна применяемая мною защита?
2. Как теперь удалить эту папку? Хочу понтов, а она их не дает сделать.

Vinni
26.06.2008, 13:54
Это проделывал под учеткой администратора домена. В результате, снять защиту с записи мог только администратор конкретного домена в конкретном домене. Ибо именно он оказывался прописанным во владельцах. На других машинках домена и в других доменах это не проходило (не должно было, во всяком случае).

1. Как по вашему, насколько была эффективна применяемая мною защита?Чушь. У любого локального администратора есть неотъемлемое право стать владельцем объекта, а у владельца есть неотъемлемое право менять атрибуты.

GrAnd
26.06.2008, 17:00
Чушь. У любого локального администратора есть неотъемлемое право стать владельцем объекта, а у владельца есть неотъемлемое право менять атрибуты.
И действительно чушь ... Не учел этого я что-то.
Зашел под локальным админом и за три приема удалил этот файл.

А у системы есть право менять владельца и/или рзрешения?
Если так, то троян, захвативший систему и действующий от ее имени, может превосходно этим воспользоваться. Так получается?

Впрочем, защита предлагаемая Дезинфектором, тоже, как оказалось, легко снимается.
В CLI зашел в папочку autorun.inf и дал команду "DEL *.*". Или еще по короткому имени удалить можно (а по длинному почему-то не хочет, наверное из-за имени "устройства" lpt3). С другими вариантами удаления не экспериментировал - надоело.
После чего папочка превосходно удалилась.

Так что, защита Дезинфектора такая же туфтень, как и моя, даже туфтовее. А моя хотя бы понты тюнинговые на флешки/диски навешивает.

zerocorporated
26.06.2008, 17:08
А у системы есть право менять владельца и/или рзрешения?
Если так, то троян, захвативший систему и действующий от ее имени, может превосходно этим воспользоваться. Так получается?


У системы есть такие права на сколько мне известно.

Virtual
01.07.2008, 10:02
А у системы есть право менять владельца и/или рзрешения?
да есть и как не обидно, даже больше чем у админа>:(
например у
system
.есть права запуска процессов от имени пользователя (про рунас ненапоминать, это просто оболочка для сервиса ;))
."ходить" на стол "Winlogon"
и т.д.
чего нет ни у одного пользователя

acid
29.07.2008, 22:18
Я думаю если нельзя избавиться от авторанов на уровне системы, тогда почему не попробывать пойти программным путем. Вот нашел правда еще не тестировал хочется услышать ваше мнение по поводу этих программ.
StopAutorun 1.31 ссылка: http://soft.oszone.net/program/5319/StopAutorun/ эта программа Freeware и еще одна но уже Shareware
1st Disk Drive Protector 3.0 ссылка: http://soft.oszone.net/program/5268/1st_Disk_Drive_Protector/

zerocorporated
30.07.2008, 06:01
Я думаю если нельзя избавиться от авторанов на уровне системы

http://virusinfo.info/showthread.php?t=20291

acid
30.07.2008, 14:31
Хотел узнать а сколько всего разделов MountPoints2 в реестре, я нашел 3. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explo rer\MountPoints2
HKEY_USERS\S-1-5-21-1547161642-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2
Удалил и перегрузил комп и уже чистые разделы занес для мониторинга Касперу при этом запретив изменения и удаления в разделах а как на счет чтения тоже запретить?

XP user
30.07.2008, 14:34
а как на счет чтения тоже запретить?
Нет, ни в коем случае!

Paul

evilone_
30.07.2008, 17:42
это все здорово а как избавиться(запретить изменения) авторана не устройств а именно системы?
тот что загружаются при запуске ОС?

Firza
30.07.2008, 18:44
как избавиться(запретить изменения) авторана ... системы?В OS семейство Windows NT есть такая замечательна вещь как "Разграничение прав доступа” (permisisons). Можно поставить запрет на изменение (добавление), в местах автоматического запуска программ (Registry, User Startup, All Users Startup).
Конечно, если пользователь работает с правами “Ограниченного Пользователя”, то данные запреты будут на много эффективней, нежели, если пользователь все делает с правами Администратора.

evilone_
30.07.2008, 18:50
"Разграничение прав доступа” (permisisons). Можно поставить запрет на изменение (добавление), в местах автоматического запуска программ (Registry, User Startup, All Users Startup).
О, а если можно подробнее где именно настраивается эти параметры? работа по администратором (ХР СП2)
пасиб

zerocorporated
30.07.2008, 19:21
О, а если можно подробнее где именно настраивается эти параметры? работа по администратором (ХР СП2)
пасиб

Если локальные диски у вас отформатированы под файловую систему NTFS то у каждого объекта (Файлы, папки) есть права доступа. Их можно изменять если снять галочку в свойствах папки "Использовать простой и общий доступ к файлам". Потом в свойствах папки появиться вклад "Безопасность". В ней можно настроить права доступа.

В реестре тоже можно настраивать права. В стандартной программе regedit можно правой кнопкой нажать на нужном нам ключе и зайти во вкладку "Разрешения"

P.S: Хочется ещё добавить что нужно знать что вы делаете. Изменив неправильно права доступа вы можете навредить системе.

acid
30.07.2008, 22:18
Нашел и четвертый MountPoints2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2, тож загнал в Каспера. Воткнул флешку потом картридер и они создали два пустых раздела в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\CPC\Volume без ключей внутри, которые при перезагрузки пропадают.

Eduarts
31.07.2008, 13:54
Прочел все возможные посты в интернете. Неужели так и придется решать проблему через тернии к звездам (типа, отключением автозапуска, использованием альтернативного метода открытия файлов, всё ручками, а проблемы от того, что ты чайник и не догоняешь, что другого решения нет). Флешка была заражена. AVZ не помог, KIS 2009 удалил 2 файла , но проблему не решил, BitDefender не видит. Cureit (от доктора) нашел (autorun.inf I:\Win32.HLLW.Autoruner.2489, удален). Вроде, без проблем сейчас …

evilone_
31.07.2008, 14:25
так автозапуск дисков отключается любым твикером зачем мудрить?
TuneUp Utilities 2008:
http://img508.imageshack.us/img508/5540/07312008142234ji6.jpg
лучше скажите на какие ветки и какие права ставить чтобы запретить программам прописывать себя в автозагрузку?

XP user
31.07.2008, 15:01
так автозапуск дисков отключается любым твикером зачем мудрить?
Обходится раз-два-три, evilone_. В этом как раз прикол. :)

лучше скажите на какие ветки и какие права ставить чтобы запретить программам прописывать себя в автозагрузку?
Любой достойный анти-вирус/HIPS может следить за этим если вы это задаёте в настройках...
И чтобы более подробно отвечать на ваш вопрос: в старых добрых временах всё ограничивалось до следующих способов:
http://www.oszone.ru/3338/
Естественно можно запретить запись туда.
Но увы, сейчас мне лично известны уже примерно 60 способов (не могу их привести по определённым соображениям), и я нахожу всё новые и новые...

Paul

Eduarts
31.07.2008, 15:17
Мне всё время казалось, что компьютер должен облегчать и ускорять, в какой-то мере упрощать, экономить время. Решение любой проблемы зависит от того, насколько правильно определена первопричина. Лечить надо причину, а не следствия. Как я понимаю, дальше будет хуже (я о проблеме заражения вирусом съемных носителей информации). Фотоаппараты, мр3 плееры, флешки, всё это используется в разных условиях и не только с проверенными источниками или техникой.

XP user
31.07.2008, 15:21
Лечить надо причину, а не следствия.
Всё относительно просто решается, Eduarts - не сидите под Админ; работать надо как Ограниченный Пользователь (уже после грамотной настройки ОС разумеется).

Paul

evilone_
31.07.2008, 17:59
Любой достойный анти-вирус/HIPS может следить за этим если вы это задаёте в настройках...
Антивирусы не люблю :) а какой толковый HIPS посоветуете чтобы не сильно грузил систему?

XP user
31.07.2008, 21:12
Антивирусы не люблю :) а какой толковый HIPS посоветуете чтобы не сильно грузил систему?
Я, честно говоря, не люблю ни то, ни другое.

Из тех программ HIPS, которые я тестировал я порекомендовал бы:
Бесплатная: System Safety Monitor (русский язык тоже знает); выбрать Free.
Платная:Defense Wall (http://www.softsphere.com/rus/)
Её автор - участник данного форума rav (http://virusinfo.info/member.php?u=891).

Paul

rav
01.08.2008, 13:05
Только русскоязычная версия DefenseWall старая.

XP user
01.08.2008, 14:05
Только русскоязычная версия DefenseWall старая.
Oops! Не знал. Я дал ссылку на русский раздел сайта, но я, естественно, тестировал английскую версию, так как я с английским лучше дружусь, чем с русским...

Paul

santy
05.08.2008, 12:51
Paul, нет ли в ваших планах написания работы, которая обобщила бы многие ваши рекомендации по безопасной работе в системе Windows?

XP user
05.08.2008, 13:03
Paul, нет ли в ваших планах написания работы, которая обобщила бы многие ваши рекомендации по безопасной работе в системе Windows?
Вряд ли, если только на английском, может быть... :)
Здесь уже есть отличная книга Николая Головко, где описано то, о чём вы говорите:
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.virusinfo.info/)

Мне нечего добавить, если только некоторые экстремальные способы защиты как, например:
Как обезвредить Internet Explorer? (http://virusinfo.info/showthread.php?t=24822)
и
Борьба с автозапуском новыми методами (http://virusinfo.info/showthread.php?t=20291)

Paul

santy
05.08.2008, 13:34
Вряд ли, если только на английском, может быть... :)
Здесь уже есть отличная книга Николая Головко, где описано то, о чём вы говорите:
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.virusinfo.info/)
Мне нечего добавить, если только некоторые экстремальные способы защиты как, например:
Как обезвредить Internet Explorer? (http://virusinfo.info/showthread.php?t=24822)
и
Борьба с автозапуском новыми методами (http://virusinfo.info/showthread.php?t=20291)
Paul

Хотелось бы иметь книгу "навырост". (Как "игра в классики" Кортасара.) Данная редакция "Безопасный Интернет. Универсальная защита..." , на мой взгляд, содержит в основном обзор программ защиты, а так же настроек системных служб и частично реестра и может быть полезна лишь на определенном этапе знаний.

1205
05.08.2008, 13:41
И кстати очень хотелось бы, чтобы в книгу добавили больше информации о службах и настройках их в Windows Vista. Я попытался настроить службы по аналогии с ХР, но очень многие там называются по-другому, поэтому возникали затруднения. В книге описано несколько Вистовских служб, которых нет в ХР, но мало. У меня в Windows Vista на ноутбуке гораздо больше служб, и я не уверен, что все они нужны (какие-то службы проверки лицензий или еще как-то так).
И "Защитник Windows" надо отключать не через службы, а саму программу (там есть пункт "административное отключение"), иначе при каждой загрузке системы будет сообщение об ошибке инициализации этой службы.

XP user
05.08.2008, 13:53
Хотелось бы иметь книгу "навырост". (Как "игра в классики" Кортасара.) Данная редакция "Безопасный Интернет. Универсальная защита..." , на мой взгляд, содержит в основном обзор программ защиты, а так же настроек системных служб и частично реестра и может быть полезна лишь на определенном этапе знаний.
Я сейчас играю с идей создать что-нибудь вроде Security Now! (http://www.grc.com/securitynow.htm). Каждую неделю, допустим, новый топик, который интересен и чайникам, и экспертам. Это будет, скорее всего, не здесь. Потом сообщу...

И "Защитник Windows" надо отключать не через службы, а саму программу (там есть пункт "административное отключение"), иначе при каждой загрузке системы будет сообщение об ошибке инициализации этой службы.
Да. За раздел про Висту не могу отвечать, так как я сам не пользовался (ещё) этим чудом. Но знаю из опыта настройки Висты у других, что есть такое, и многие другие тайны ещё... ;)

Paul

ir0n
06.08.2008, 01:44
Я сейчас играю с идей создать что-нибудь вроде Security Now! (http://www.grc.com/securitynow.htm). Каждую неделю, допустим, новый топик, который интересен и чайникам, и экспертам. Это будет, скорее всего, не здесь. Потом сообщу...
Чрезвычайно интересная идея! Признаться, Паул, мне очень не хватает Ваших советов и идей. :( Всё время возникают какие-то вопросы и проблемы, и приходится их как-то решать...

RobinFood
05.09.2008, 13:54
http://support.microsoft.com/default.aspx?scid=kb;en-us;953252&sd=rss&spid=11707

Virtual
05.09.2008, 19:07
ну млин конечно, тема появилась пол года назад, лично я бился над решением ее уже год назад, а мелкомягкие спохватились только 11.08.2008
ща качаю и буду "зырить" че же они там менять будут, давно хотел вычислить модули ответственные за авторан и не только.

ЗЫ блин если уже космонавты на флешках в космос таскают эти каки...


Временное решение
Временное решение
Были проверены обходные способы решения проблемы, указанные ниже.

Перейти к началу страницы
Способ 1. Запрет создания файлов Autorun.inf в общих папках
Чтобы предотвратить вызов функции автоматического запуска и запретить всем программам записывать файлы Autoun.inf на подключенные сетевые диски, выполните действия, описанные ниже.1. Удалить все файлы Autorun.inf из корневого каталога подключенного сетевого диска.
2. Отнимите у всех право Создать для корневого каталога подключенного сетевого диска.

Примечание После применения этого способа функции автоматического запуска станут недоступны с сетевых дисков.

Перейти к началу страницы
Способ 2. Запрет использования USB-устройств хранения данных
Два способа предотвращения подключения USB-устройств хранения данных описаны в следующей статье базы знаний Майкрософт:
823732 Как отключить использование USB-устройств хранения данных

Примечание После применения этого способа использовать USB-устройства хранения данных на соответствующем компьютере будет невозможно.

(С)мелкомягкие по ссылке выше

>:(:D:D:D*млин ну не идиоты ли?
п1. млин если у процесса есть права админа то ему пофиг безопасность папок, что можно запретить то и можно разрешить, ну а если учесть что в корне теперь вообще ничего создавать незя, то это...
п.2 я вообще в осадок выпал, перевожу... если болит голова то лучше ее отрезать>:(

ну их нафиг, мне больше подуше



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

777sasa
23.11.2008, 01:48
http://mechanicuss.livejournal.com/195192.html

PROTECT.BAT version 1.6 (by [info]mechanicuss, вакцинирующая часть by [info]eugenius_nsk)
-------------------------------------------------------
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF
-------------------------------------------------------

Nickon
02.12.2008, 15:26
А я вот не смог у себя найти эту политику... У меня Win 2003 сервер, может она как-то по другому называется?

http://virusinfo.info/showpost.php?p=192128&postcount=15

Erekle
17.12.2008, 15:16
Есть ещё один способ, но... (http://www.virustotal.com/analisis/a214d448de1cabb626dc157ac2562d2d) :)