Printable View
[quote=drongo;192708]Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить :)[/quote]
Угу. Меня тоже интересует параметр @SYS:
Если с ним можно убить авторан, сказав ОС, что такое не существует на машине, то тогда уже предвижу кашмары убийства защиты таким путём. Гугл ничего не даёт, кроме вами приведённого трюка с Autorun в разделе IniFileMapping.
Paul
значит скоро будет новая волна зверьков с новыми качествами, будет весело :)
УРААА наконец то нашлось хоть какоето средство от этой напасти
всем принявшим участие большой респект.
мой регфайл применяемый ...
[CODE]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[/CODE]
добавлено
все теперь эти ключи реестра прописываются принудительно, при каждом старте рабочей станции в домене, результат превосходит все мыслимые ожидания,
если стоит антивирус то он влегкую успевает проверить флешку,
а если обычный пользователь, у которого скрытые файлы и так не показываются, по умолчанию, то он и неподозревает были вирусы на сменном носителе или нет...
авторана нет, а сам запустить не может так как не видит что запустить
[I]p2u[/I]
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!
и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun
все, вроде действует безотказно, кстати на флешках у меня такой авторан лежит...
[quote=Marielito07;199954][I]p2u[/I]
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом![/quote]
Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?
[quote=Marielito07;199954]и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun[/quote]
Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.
Paul
Господа, занятная дискуссия, но каков же её вывод:
1. Каким образом можно отключить автозапуск с флэш-накопителей и жёстких дисков?
2. Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?
[quote]Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?[/quote]
Это признак инфекции.
Начните с темы в [url=http://virusinfo.info/forumdisplay.php?f=46]"Помогите"[/url], выполните [url=http://virusinfo.info/showthread.php?t=1235]правила[/url] и вам помогут.
[QUOTE]Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?[/QUOTE]
Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun. Ну почему же, в таком случае зачем вообще антивирусная программа ведь можно занести к себе такого неизвестного зверя самостоятельно другими способами, к тому же не все malware сразу прямиком создают autorun и поймать неизвестного зверька который будет в autorun`е это 1 из 10 случаев, имхо!
[QUOTE]Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.[/QUOTE]
Я про то когда меняли значение в реестре там когда грузиться експлорер при двойном щелчке мышкой
aKoK,
вы правы, но у меня была такая ситуация:
инфекция уничтожена (точно!), а файлы всё равно не видны.
Помогло восстановление системы до ранее созданной (безвирусной) точки восстановления.
Единственное, что меня пугает, это то, что у меня разрешён автозапуск с флэш-носителей и жёстких и сетевых дисков (по крайней мере, так пишет AVZ).
[quote=Marielito07;200065]Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun.[/quote]
Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан. :)
Paul
[quote=p2u;200082]Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан. :)
Paul[/quote]
Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?
[quote=Marielito07;200083]Нет я понимаю, просто MountPoints2 желанного результа нам не дает![/quote]
Какой ДЛЯ ВАС желанный результат если все уже довольны?
[quote=Marielito07;200083] И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?[/quote]
Вы прочитали вообще тему с начала до конца? Если да, то тогда какой рецепт вам ещё нужен, скажите?
Paul
ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!
[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]
Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?
[quote=Marielito07;200106]ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает[/quote]
Только совокупность мер даст полноценную защиту. Хотелось бы увидеть обоснование того, что ' не один из них толком не работает'. Как вы это установили?
[quote=Marielito07;200106] И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету![/quote]
Этот ключ MountPoints2 (я это уже писал) можно без вредных последствий удалить. Он после перезагрузки восстанавливается, но уже чистым. Наличие autorun там не объязательно - при любым обращении к диску Windows там производит изменения. Если вы ранее уже разрешили хоть один раз автозапуск по данному устройству, и вы потом устанавливаете запрет на автозапуск, то тогда может запросто случиться, что Windows решит, что вы всё-таки хотите, чтобы устройство само по себе запускалось. На это играют создатели зловредов.
[quote=Marielito07;200106]Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?[/quote]
Файл autorun может находится в других местах на компьютере если он заражён, и лишь ссылаться на какое-нибудь устройство. Потом, файл autorun может быть ещё скрытым. В таких случаях требуется специальные инструменты, такие как AVZ, чтобы обнаружить его.
[quote=Marielito07;200106]Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?[/quote]
Подумаю сначала как вам объяснить лучше, ОК?
Paul
Жду ответа, заранее спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 1 час 19 минут[/I][/B][/color][/size]
Хех, только что на работе принесли флешку, еще не настроил у себя запрет на автозапуск, и как в тему там была autorun.inf, но nod32 его быстро продетектил и снес а копию в карантин отправил!
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected
[quote=Marielito07;200264] А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected[/quote]
Я не пользователь Нода, но может быть эта папка - скрытая? Для того, чтобы посмотреть скрытые папки надо:
Мой Компьютер - Сервис - Свойства папки - Вид.
Крутить вниз и
* снять галочку, где стоит 'Скрывать защищённые системные файлы' (рекомендуется) и
* ниже ещё отметить 'Показать скрытые файлы и папки'.
Применить - ОК.
Paul
Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?
@Marielito07 Версия Нода какая и базы от какого числа?
ESET NOD32 Antivirus 3.0.621.0
Virus signature database: 2841 (20080131)
Update module: 1023 (20080229)
Antivirus and antispyware scanner module: 1107 (20080303)
Advanced heuristics module: 1070 (20080212)
Archive support module: 1074 (20080307)
Cleaner module: 1026 (20080228)
THK
[quote=PavelA;200457]THK[/quote]
Was ist das?
Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...
Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?
еще раз повторюсь, вот это
[CODE]
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[/CODE]
записанное в файл a.reg
и выполненое! комп перегрузить. разве не отключает полностью авторан и не позволяет вам видеть скрытые файлы и папки, (если вы их включите в свойствах проводника, кстати если свойств у вас небыло то они появятся!)
???
или просто скачайте
[url]http://virusinfo.info/attachment.php?attachmentid=37329&d=1205166769[/url]
и выполните 1.reg и 2.reg
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
[QUOTE=Marielito07;200409]Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?[/QUOTE]
качай вложение и запускай!, можеш все содержимое архива себе в корень флешки положить, и к друзьям сходить
[QUOTE=Surfer2000;201620]Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...
Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?[/QUOTE]
Можно сделать так: в AVZ Файл -- Восст. системы - п.6,8 -- Выполнить.
Да, это именно Thank you (THK)
Понял, всем огромное спасибо за помощь!
P.S.
Virual,
А авторан с CD данные рег файлы отключают?
Кхе, кхе...
Прочитано, понято. А я хочу рассказать, как сделал я.
Находим прогу TweakXP (кому - то уже искать не нужно. [B]см. Аттач[/B]) - она запустится на Service Pack 2 и только там...
После установки нужно запустить прогу и проследовать в направлении
[I]My Computer ->AutoPlay -> Drives[/I].
Справа будет список дисков.
Снимите галочки напротив дисков, автозапуск которых Вам не нужен.
(У меня отключены все диски, кроме локальных) и нажмите Apply.
Будут отключены все диски, с которых сняты эти отметки....
[B]Для пользователей Антивируса Касперского: необходимо разрешать действия с Реестром![/B]
Закрыть программу.
Всё! Автозапуск отменён!
[quote=Shark;202410] TweakUI ... Drives...[/quote]
Проблема-то как раз в тех дисках, которые доступны, [b]Shark[/b]. Даже если там запретить автозапуск через TweakUI, есть определённые условия, при которых эти запреты просто обходятся.
Сначала 'добрый' вариант - Допустим вы установили запрет на автозапуск доступного CD-Rom (я это уже годами делаю). Теперь установите какой-нибудь агрессивный плеер типа RealPlayer или QuickTime. Хотя TweakUI показывает, что автозапуска нету (галочка же снята для Autoplay CD-ROM), если проверить реестр, то тогда оказывается, что плееры отменили запрет автозапуска!
Теперь кошмарный вариант - вы установили запрет автозапуска для всех дисков, сняли все галочки доступных дисков, кроме вам нужных - остальные недоступны совсем (так у меня). А теперь запустите на своём компе кого-нибудь из семейства Бронтока (желательно посвежее) и сообщите о результатах - Автозапуск отменён, или...? :>
Paul
[QUOTE=Surfer2000;202395]Понял, всем огромное спасибо за помощь!
P.S.
Virual,
А авторан с CD данные рег файлы отключают?[/QUOTE]
а сам еще не проверил?:P
отключается как класс авторан!!
результат этого и еще 2 топиков данного сайта.
Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. [url]http://virusinfo.info/showthread.php?t=19909)?[/url]
Если это так, то пропаганда защиты [b]здоровых[/b] компьютеров становится очень важной.
[quote=psw;202641]Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. [URL="http://virusinfo.info/showthread.php?t=19909%29?"]http://virusinfo.info/showthread.php?t=19909)?[/URL]
[/quote]
Это вы правильно поняли.
[quote=psw;202641]Если это так, то пропаганда защиты [B]здоровых[/B] компьютеров становится очень важной.[/quote]
P.S.: Я лично только этим и занимаюсь...
P.S.2: Кстати, нашёл ещё один забавный способ к дополнению того, что я ранее привёл:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).
Paul
Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами [B]RHS[/B] будет достаточно ?
Или создать каталог autorun.inf и attrib rs
[quote=Surfer;206694]Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами [B]RHS[/B] будет достаточно ?[/quote]
Я не знаю, насколько это правда, но на одном хакерском форуме в США читал, что и это уже обходится. Защита от записи, возможно, лушче. Но даже если у вас на флэшке стоит файл авторан, если вы на компьютере введёте это:
[code]REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"[/code]
то тогда этот файл не должен запускаться, так как Windows не будет знать как его запускать - он же не существует. Этот хак говорит Windows, что Autorun.inf на самом деле файл конфиг с периода ДО Win95, когда реестра ещё не было, и всё делалось через .ini файлы. В данном случае, Windows поймёт всё так: 'Слушай, Билл, дорогой, каждый раз, когда тебе надо работать с файлом autorun.inf, не используй параметры самого файла, ладно? Ты найдёшь как делать всё в [i]HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist[/i].'
Но так как этот ключ не существует (=DoesNotExist), параметры - пусты. В результате и ничего не автозапускается, и никаких параметров не добавляется к режиму двойного клика explorer'a. Только когда вы дико начинаете нажать на исполнительные файлы на флэшке можно заразить комп, что вы таком случае заслужили...
Кроме того можно ещё задать:
[code]REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""[/code]
Это текстовые параметры файлов, которые не должны автозапускаться. В данном случае *.* = любые.
P.S.: Естественно надо добавить ключи к тем, которые мониторятся постоянно вашей защитой. Вот так я добавил в Комодо 3:
[IMG]http://i025.radikal.ru/0803/3a/f90d63543508.jpg[/IMG]
Paul
А в Nod32 или в Agnitum не подскажите как это сделать?
[quote=Marielito07;206774]А в Nod32 или в Agnitum не подскажите как это сделать?[/quote]
По моему ни в том, ни в другом продукте монитора реестра нет...
Отменил свои высказывания насчёт MountPoints2 - мониторить надо, удалить права для всех лучше НЕ надо. То, что надо делать указано здесь:
[url]http://virusinfo.info/showthread.php?t=20291[/url]
Paul
[QUOTE=p2u;202724][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).
Paul[/QUOTE]
Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.
[QUOTE]Наилучшее решение на мой взгляд следующее (уже применил у себя):
[COLOR="SandyBrown"]1. Пуск - Выполнить - regedit[/COLOR][/QUOTE]
вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"[/CODE]
пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана ;)
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!:D/
[quote=PavelA;206854]Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.[/quote]
Ничего страшнего нет на самом деле в этом - всё, что там указано НЕ БУДЕТ АВТОЗАПУСКАТЬСЯ. Можно в принципе очистить всё как у меня на картинке указано.
*.* = НИКАКИЕ файлы не будут автоматически запускаться).
[IMG]http://i029.radikal.ru/0803/e1/2ad3231ee053.jpg[/IMG]
[quote=Virtual;206859] вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!
пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана ;)
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!:D/[/quote]
Я рад, что помогло. :)
Paul
А как прописать права на Mountpoints2 через политику - ключики то лежат в ветке карентюзер и политикой их достать не получается :(
на все новые профиля можно через Default. А на уже существующие как?