Как полностью обезопаситься от autorun-нов?

[PavelA]

THK

[Marielito07]

THK

Was ist das?

[Surfer2000]

Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...

Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?

[Virtual]

еще раз повторюсь, вот это

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

записанное в файл a.reg
и выполненое! комп перегрузить. разве не отключает полностью авторан и не позволяет вам видеть скрытые файлы и папки, (если вы их включите в свойствах проводника, кстати если свойств у вас небыло то они появятся!)
???

или просто скачайте
http://virusinfo.info/attachment.php...9&d=1205166769
и выполните 1.reg и 2.reg

Добавлено через 7 минут

Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?

качай вложение и запускай!, можеш все содержимое архива себе в корень флешки положить, и к друзьям сходить

[PavelA]

Das ist "Thank you" oder "i'm thinking"
Хотя может быть я ошибся...

Так что там по поводу того, как отобразить скрытые системные файлы, не отображаемые проводником?

Можно сделать так: в AVZ Файл -- Восст. системы - п.6,8 -- Выполнить.

Да, это именно Thank you (THK)

[Surfer2000]

Понял, всем огромное спасибо за помощь!

P.S.
Virual,
А авторан с CD данные рег файлы отключают?

[Shark]

Кхе, кхе...
Прочитано, понято. А я хочу рассказать, как сделал я.
Находим прогу TweakXP (кому - то уже искать не нужно. см. Аттач) - она запустится на Service Pack 2 и только там...
После установки нужно запустить прогу и проследовать в направлении
My Computer ->AutoPlay -> Drives.

Справа будет список дисков.

Снимите галочки напротив дисков, автозапуск которых Вам не нужен.
(У меня отключены все диски, кроме локальных) и нажмите Apply.

Будут отключены все диски, с которых сняты эти отметки....
Для пользователей Антивируса Касперского: необходимо разрешать действия с Реестром!

Закрыть программу.
Всё! Автозапуск отменён!

[XP user]

TweakUI ... Drives...

Проблема-то как раз в тех дисках, которые доступны, Shark. Даже если там запретить автозапуск через TweakUI, есть определённые условия, при которых эти запреты просто обходятся.

Сначала 'добрый' вариант - Допустим вы установили запрет на автозапуск доступного CD-Rom (я это уже годами делаю). Теперь установите какой-нибудь агрессивный плеер типа RealPlayer или QuickTime. Хотя TweakUI показывает, что автозапуска нету (галочка же снята для Autoplay CD-ROM), если проверить реестр, то тогда оказывается, что плееры отменили запрет автозапуска!

Теперь кошмарный вариант - вы установили запрет автозапуска для всех дисков, сняли все галочки доступных дисков, кроме вам нужных - остальные недоступны совсем (так у меня). А теперь запустите на своём компе кого-нибудь из семейства Бронтока (желательно посвежее) и сообщите о результатах - Автозапуск отменён, или...?

Paul

[Virtual]

Понял, всем огромное спасибо за помощь!

P.S.
Virual,
А авторан с CD данные рег файлы отключают?

а сам еще не проверил?
отключается как класс авторан!!

результат этого и еще 2 топиков данного сайта.

[psw]

Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. http://virusinfo.info/showthread.php?t=19909)?
Если это так, то пропаганда защиты здоровых компьютеров становится очень важной.

[XP user]

Я правильно понимаю, что через механизм авторана начинает ползти действительно опасная зараза (см. http://virusinfo.info/showthread.php?t=19909)?

Это вы правильно поняли.

Если это так, то пропаганда защиты здоровых компьютеров становится очень важной.

P.S.: Я лично только этим и занимаюсь...

P.S.2: Кстати, нашёл ещё один забавный способ к дополнению того, что я ранее привёл:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).

Paul

[Surfer]

Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами RHS будет достаточно ?

[Pili]

Или создать каталог autorun.inf и attrib rs

[XP user]

Допустим компьютер мы защитили от авторунов, а как защитить флешку ?
Пустого файла Autorun.inf с аттрибутами RHS будет достаточно ?

Я не знаю, насколько это правда, но на одном хакерском форуме в США читал, что и это уже обходится. Защита от записи, возможно, лушче. Но даже если у вас на флэшке стоит файл авторан, если вы на компьютере введёте это:

Код:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

то тогда этот файл не должен запускаться, так как Windows не будет знать как его запускать - он же не существует. Этот хак говорит Windows, что Autorun.inf на самом деле файл конфиг с периода ДО Win95, когда реестра ещё не было, и всё делалось через .ini файлы. В данном случае, Windows поймёт всё так: 'Слушай, Билл, дорогой, каждый раз, когда тебе надо работать с файлом autorun.inf, не используй параметры самого файла, ладно? Ты найдёшь как делать всё в HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist.'
Но так как этот ключ не существует (=DoesNotExist), параметры - пусты. В результате и ничего не автозапускается, и никаких параметров не добавляется к режиму двойного клика explorer'a. Только когда вы дико начинаете нажать на исполнительные файлы на флэшке можно заразить комп, что вы таком случае заслужили...
Кроме того можно ещё задать:

Код:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Это текстовые параметры файлов, которые не должны автозапускаться. В данном случае *.* = любые.
P.S.: Естественно надо добавить ключи к тем, которые мониторятся постоянно вашей защитой. Вот так я добавил в Комодо 3:



Paul

[Marielito07]

А в Nod32 или в Agnitum не подскажите как это сделать?

[XP user]

А в Nod32 или в Agnitum не подскажите как это сделать?

По моему ни в том, ни в другом продукте монитора реестра нет...

Отменил свои высказывания насчёт MountPoints2 - мониторить надо, удалить права для всех лучше НЕ надо. То, что надо делать указано здесь:
http://virusinfo.info/showthread.php?t=20291

Paul

[PavelA]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).

Paul

Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.

[Virtual]

Наилучшее решение на мой взгляд следующее (уже применил у себя):
1. Пуск - Выполнить - regedit

вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!/

[XP user]

Чутка оффтопика: Сегодня слазал в этот ключик. Система стоит давно, досталась по наследству. Сколько же там вариантов имен файлов лежит, просто ужас. Что-то надо делать с этим ключиком более глобальное, не удивлюсь, если какая-нибудь очередная программа не добавит туда еще имен своих файлов.

Ничего страшнего нет на самом деле в этом - всё, что там указано НЕ БУДЕТ АВТОЗАПУСКАТЬСЯ. Можно в принципе очистить всё как у меня на картинке указано.
*.* = НИКАКИЕ файлы не будут автоматически запускаться).

вот имменно это для меня и не подошло!, так как требовалась автоматизация и срочная...
хак с авторан.инф мне более по душе, и он универсален!
пошел легким путем:
в политику домена в макрос старта системы прописал ключики реестра, на следующий день все пользователи домена обнаружили отсутствие авторана
+ теперь при каждом включении раб станций ключи перезаписываются, так на всяк случай, да и новым станциям лишним не будет. /вошел в дом, авторан отключи!/

Я рад, что помогло.

Paul

[oie71]

А как прописать права на Mountpoints2 через политику - ключики то лежат в ветке карентюзер и политикой их достать не получается

на все новые профиля можно через Default. А на уже существующие как?