Printable View
[QUOTE=antanta;533808]Я себе и друзьям написал утилитку, 4 кб на диске. Прописывается в *\RunОпределяет наличие авторана и автоматически прибивает. Если флешка защищена от записи (а файл есть), сообщает о неудачной попытке. Кому интересно, могу поделиться :)
KIS при установке страшно ругается, правда.[/QUOTE]
Поделитесь . Попробуем .
Panda хорошо вакцинирует, проверено на Kido.
[QUOTE=Travoed;534422]Поделитесь . Попробуем .[/QUOTE]
MD5 92B7D944CF3087809B307B3FEE3478DB
Ссылка - [url]http://zalil.ru/upload/28343620[/url]
Программа копирует себя в папку с виндой, прописывается в автозапуск без изысков, в "*/CurrentVersion/Run".
Проверял только на XP.
я сам лично пользуюсь USB Disk Security, и доволен и установливаю друзьям на комп тоже.
Видел такое (или подобное). Не понял суть действия. Выходит такое красивое окно каждый раз. Оно что-то кроме авторана способно находить? Если да, то лучше ли, чем нормальный антивирь? Вряд ли... Для меня существует мотив использовать собственные поделки - я знаю, что они делают. Желающим могу дать исходник.
Только не пинаться, это писано на основе моей второй в жизни проги на асме. Только там было наоборот, создавался файл на флехе, с непарламентским названием. Друзей пугал :) Кстати, в отличие от многих кривых вирей, не выдавал ошибку при невозможности записать файл.
Не подумайте, что отстаиваю свое поделие. И написал-то его "на коленке", под влияним ситуации :)
Есть оптимисты, которые форматируют в ntfs и выставляют "супер-пермишны". Ну, от студ[B]э[/B]нтов спасет. Каким образом можно еще "вакцинировать" ? Файловые атрибуты снимаются еще легше, чем разрешения.
"Хороший русский язык помогает". Языки программирования - тоже :) Даже админам.
Хех, на нашем местном форуме недавно удалили мой пост за кусок кода на паскале (процедура удаляет файлы рекурсивно по расширению). Оказывается, это был вредоносный код! :))) А я еще на ВИ грешил.
Воспользовался Panda USB Vaccine, и сунул в зараженный комп, с которого как минимум два вируса постоянно домой притаскивал. На этот раз на флешке чисто. Даже удивлен, честно говоря. Понимаю, почему авторан не переписан, а вот почему вирусы не решили себя дальше записывать на флешку без авторана? Тупые что ли:) Хотя может наоборот - без авторана их все равно пользователь не запустит, потому что все время в скрытых папках прячутся.
может уже обсуждалось, не нашла...
Подскажите, пожалуйста, как отключить/включить автозапуск только для диска C (флешки, телефоны и т.п.)?
Вроде бы можно скриптом для AVZ.
Просто на всех остальных автозапуск нужен.
[QUOTE=Эйфория;563103]может уже обсуждалось, не нашла...
Подскажите, пожалуйста, как отключить/включить автозапуск только для диска C (флешки, телефоны и т.п.)?
Вроде бы можно скриптом для AVZ.
Просто на всех остальных автозапуск нужен.[/QUOTE]Можно с помощью мастера устранения проблем AVZ отключить автозапуск с нужных дисков.
Либо выполнить скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]
(компьютер перезагрузится). Скрипт отключет автозапуск на всех дисках, кроме оптических
Можно пойти еще дальше и запретить запуск исполняемых файлов с флешки, путем создания дополнительных правил для пути по которому предположительно будет находится флешка. Я делаю так, в моей системе четыре диска то есть A:\, C:\, D:\, E:\. Значит при подключении флешки ей будут присвоины F:\, G:\, H:\, I:\, и.т.д.
Делаем следующее: запускаем консоль управления (пуск- выполнить- secpol.msc) разворачиваем вкладку «Политики ограниченного использования программ» выбираем «Дополнительные правила» в правом окошке отобразятся правила (там их должно быть 4-ре), клацаем правой кнопкой мыши на пустом поле и выбираем «создать правило для пути» в появившемся окошке в графе «путь» теперь нужно указать предполагаемые пути местонахождения флешки, пишем F:\, в графе «уровень безопасности» можно выбрать один из параметров: разрешено, не разрешено оставляем по умолчанию "не разрешено", все, жмем ОК правило создано, тоже самое делаем для G:\, H:\, I:\, и.т.д. в зависимости сколько Вы одновременно используете сменных носителей. Теперь даже если Вы нечаянно запустите какой то например *exeшник ничего не получится. Прошу высказаться по этому поводу, помогут ли такие правила, или зловреды смогут обойти их?
[B]G-E-K[/B], мера безопасности не должна настолько (ну прям как вирус! :))ограничивать пользователя.
Отключающий авторан reg-файл для системы+пандовская вакцина на флешке - вполне достаточно.
[QUOTE]G-E-K, мера безопасности не должна настолько (ну прям как вирус! )ограничивать пользователя.
Отключающий авторан reg-файл для системы+пандовская вакцина на флешке - вполне достаточно.[/QUOTE]
Ну не совсем согласен.
Ограничение только в том что нельзя будет установить какую то прогу с флешки, а прейдёться перенести ее в другое место.
Пандовская вакцина это на Вашей флешке, а как быть с другими?
Понятно если Вы единственный пользователь, то запуск исполняемого файла с флешки стремится к нулю, а как быть если Вашим компьютером пользуются другие люди со своими флешками и не все знают что такое авторан и что флешку после сношением с другим ПК сначала нужно сканировать а потом открывать, как защитится?
[B]G-E-K[/B], при таком подходе (неквалифицированные пользователи со своими флешками да на моём компьютере) вряд ли что вообще поможет. :)
Кстати, файлы, которые у них не получится запустить с флешки, они вполне могут скопировать на винт и запустить какую-нибудь "радость" оттуда.
Допускаю, что для определённых ситуаций запрет запуска с флешки вполне может пригодиться, но далеко не для всех случаев.
Мне такой вариант точно не подойдёт - на флешке куча софта, тестовых вариантов загрузки, которые по определению дожны работать именно с флешки.
[B]1[/B]. через АВЗ отключил ауторан дисков
[B]2[/B]. немного расщедрился и купил SandBoXIE;
включил форсирование всех съемных носителей (включая ДВД) и всё путём: ни с сёрфом Инета, ни с триалками, ни с флехами особых проблем за последние года 2-3 не замечено (но иногда забываю отключить))
Вот так, хотя, пока научился- пару сисек набил)
[QUOTE] при таком подходе (неквалифицированные пользователи со своими флешками да на моём компьютере) вряд ли что вообще поможет.
Кстати, файлы, которые у них не получится запустить с флешки, они вполне могут скопировать на винт и запустить какую-нибудь "радость" оттуда. [/QUOTE]
При таком ходе событий полностью с Вами согласен.
[QUOTE]Мне такой вариант точно не подойдёт - на флешке куча софта, тестовых вариантов загрузки, которые по определению дожны работать именно с флешки.[/QUOTE]
Ну так ничего ж не мешает засунуть весь софт в отдельную папку и для нее создать правило разрешающее запуск исполняемых файлов. Так как всякая зараза в основном прописывается в корне диска, то ее запуск будет невозможен, а Ваш софт будет прекрасно работать:).
Хотя может быть Вы и правы, такие ограничения скорее для параноиков (ну вроде меня:D), я постоянно работаю с такими ограничениями, не испытывая никакого дискомфорта.
[QUOTE=VV2006;570271]Отключающий авторан reg-файл для системы+пандовская вакцина на флешке - вполне достаточно.[/QUOTE]
Есть вирус, который скрывает папки и создает екзешники с их названием и значком папки, тобишь этот метод не спасет флешку от заражения.
[B]G-E-K[/B], вот, к примеру, тот же ntdetect.com из корня убрать в каталог не получится, Вы же понимаете.
[B]Surfer[/B], это от Проводника он скрывает, а от Far manager'а - не укрыться, и всякие левые значки ему пофег.
Понятно, что не автораном единым... Поэтому для "рисковых" или заражённых компов есть такие заготовки: флешка с защитой от записи, загрузочная флешка с невидимым из Windows разделом. Жаль, переключатель случайно "уработал" - приятно было наблюдать, как вирусы выбрасывают жалобные окошки: типа, не могу писать, снимите защиту от записи! :)
Кстати, если не загромождать корни своих флешек, а Проводнику предпочесть Far, это позволит замечать вирусы на "подопытных" флешках раньше антивирусов.
[QUOTE]вот, к примеру, тот же ntdetect.com из корня убрать в каталог не получится, Вы же понимаете.[/QUOTE]
Честно говоря не совсем понимаю, каким образом можно использовать ntdetect.com после загрузки ОС с жесткого диска, объясните нубу. Если какой то файл нельзя переместить с корня диска то опять же выход есть, создаем правило для хеша этого файла и он будет запускаться хоть с корня, хоть с каталога.
Я согласен что не все захотят возится с политикой ограниченного использования программ. Ну в общем каждый сам для себя выбирает методы защиты в зависимости от конкретной ситуации, я описал свой, для кого то он будет приемлем для кого то нет.
[B]G-E-K[/B], MobaLiveUSB_0.2.exe, MobaLiveCD_v2.1.exe можно тестировать загрузку с флешки без лишних перезагрузок. ntdetect.com используется для вариантов загрузки NT-систем с USB-HDD: ntldr (меню boot.ini) --> grldr (меню menu.lst GRUB4DOS).
моя проблема частично связана с названием темы:
предыстория
моя флешка отформатирована в ntfs. на ней был создан файл autorun.inf скрытый/ридонли и с него были убраны все права (вкладка безопасность была пустая)..
однако флешка все таки заразилась вирусом с перезаписью авторан.инф - то ли кидо, то ли авторанер, суть не в этом..
т.к. usbvaccine на fat32 легко перезаписывалась некоторыми вирусами, с правами вирусы тоже справились, решила попробовать usbvaccine на ntfs, флешка была вставлена в компьютер с резидентно висящей usbvaccine
usbvaccine после вставки флешки выкинула окно и зависла
теперь собственно просьба - помогите найти autorun.inf :)
судя по тому что ни файл, ни каталог, с таким именем не создаются - такой файл уже есть. любой другой файл каталог создаются беспроблем и других проблем с флешкой до сих пор не было. тьфу-тьфу..
чекдиском флешку проверяла )
на fat32 файл отображался, просто к нему не было доступа.. почему же на ntfs его невидно (проверяла на разных компьютерах с windows xp)?
или это всё-таки нормально что autorun.inf не отображается? :)
[IMG]http://s3.sendpic.ru/i/10129/i/cRn.jpeg[/IMG]
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 35 минут[/I][/B][/color][/size]
глянула winhex'ом содержимое флешки, нашлось два autorun.inf явно не тех что нужно.. я даже опустошила флешку и даже затерла eraser'ом всё свободное место на флешке для чистоты эксперимента (без полного форматирования)
проверила снова winhex'ом - уже точно autorun.inf нет!
почему же всё равно не создается autorun.inf? есть варианты? :)
[COLOR="Silver"]хорошее бы получилось решение задачи по ТРИЗу: и файла нет, и защита есть ))) [/COLOR]
[B]Юльча[/B], можно просто проверить, чудеса ли это резидентной защиты usbvaccine: попробовать создать autorun.inf на флешке, подключенной к другому компу, или загрузившись с другой системы на этом же копе.
[QUOTE]судя по тому что ни файл, ни каталог, с таким именем не создаются - такой файл уже есть.[/QUOTE]Не факт, думается, вполне возможно реализовать запрет на создание файла с определённым именем и другими средствами.