Поделитесь . Попробуем .Сообщение от antanta
Я себе и друзьям написал утилитку, 4 кб на диске. Прописывается в *\RunОпределяет наличие авторана и автоматически прибивает. Если флешка защищена от записи (а файл есть), сообщает о неудачной попытке. Кому интересно, могу поделиться
KIS при установке страшно ругается, правда.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Panda хорошо вакцинирует, проверено на Kido.
MD5 92B7D944CF3087809B307B3FEE3478DB
Ссылка - http://zalil.ru/upload/28343620
Программа копирует себя в папку с виндой, прописывается в автозапуск без изысков, в "*/CurrentVersion/Run".
Проверял только на XP.
я сам лично пользуюсь USB Disk Security, и доволен и установливаю друзьям на комп тоже.
Видел такое (или подобное). Не понял суть действия. Выходит такое красивое окно каждый раз. Оно что-то кроме авторана способно находить? Если да, то лучше ли, чем нормальный антивирь? Вряд ли... Для меня существует мотив использовать собственные поделки - я знаю, что они делают. Желающим могу дать исходник.
Только не пинаться, это писано на основе моей второй в жизни проги на асме. Только там было наоборот, создавался файл на флехе, с непарламентским названием. Друзей пугал
Не подумайте, что отстаиваю свое поделие. И написал-то его "на коленке", под влияним ситуации
Есть оптимисты, которые форматируют в ntfs и выставляют "супер-пермишны". Ну, от студэнтов спасет. Каким образом можно еще "вакцинировать" ? Файловые атрибуты снимаются еще легше, чем разрешения.
"Хороший русский язык помогает". Языки программирования - тоже
Хех, на нашем местном форуме недавно удалили мой пост за кусок кода на паскале (процедура удаляет файлы рекурсивно по расширению). Оказывается, это был вредоносный код!
Воспользовался Panda USB Vaccine, и сунул в зараженный комп, с которого как минимум два вируса постоянно домой притаскивал. На этот раз на флешке чисто. Даже удивлен, честно говоря. Понимаю, почему авторан не переписан, а вот почему вирусы не решили себя дальше записывать на флешку без авторана? Тупые что ли
может уже обсуждалось, не нашла...
Подскажите, пожалуйста, как отключить/включить автозапуск только для диска C (флешки, телефоны и т.п.)?
Вроде бы можно скриптом для AVZ.
Просто на всех остальных автозапуск нужен.
Можно с помощью мастера устранения проблем AVZ отключить автозапуск с нужных дисков.
Либо выполнить скрипт:
(компьютер перезагрузится). Скрипт отключет автозапуск на всех дисках, кроме оптическихКод:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
Можно пойти еще дальше и запретить запуск исполняемых файлов с флешки, путем создания дополнительных правил для пути по которому предположительно будет находится флешка. Я делаю так, в моей системе четыре диска то есть A:\, C:\, D:\, E:\. Значит при подключении флешки ей будут присвоины F:\, G:\, H:\, I:\, и.т.д.
Делаем следующее: запускаем консоль управления (пуск- выполнить- secpol.msc) разворачиваем вкладку «Политики ограниченного использования программ» выбираем «Дополнительные правила» в правом окошке отобразятся правила (там их должно быть 4-ре), клацаем правой кнопкой мыши на пустом поле и выбираем «создать правило для пути» в появившемся окошке в графе «путь» теперь нужно указать предполагаемые пути местонахождения флешки, пишем F:\, в графе «уровень безопасности» можно выбрать один из параметров: разрешено, не разрешено оставляем по умолчанию "не разрешено", все, жмем ОК правило создано, тоже самое делаем для G:\, H:\, I:\, и.т.д. в зависимости сколько Вы одновременно используете сменных носителей. Теперь даже если Вы нечаянно запустите какой то например *exeшник ничего не получится. Прошу высказаться по этому поводу, помогут ли такие правила, или зловреды смогут обойти их?
G-E-K, мера безопасности не должна настолько (ну прям как вирус!
Отключающий авторан reg-файл для системы+пандовская вакцина на флешке - вполне достаточно.
Ну не совсем согласен.G-E-K, мера безопасности не должна настолько (ну прям как вирус! )ограничивать пользователя.
Отключающий авторан reg-файл для системы+пандовская вакцина на флешке - вполне достаточно.
Ограничение только в том что нельзя будет установить какую то прогу с флешки, а прейдёться перенести ее в другое место.
Пандовская вакцина это на Вашей флешке, а как быть с другими?
Понятно если Вы единственный пользователь, то запуск исполняемого файла с флешки стремится к нулю, а как быть если Вашим компьютером пользуются другие люди со своими флешками и не все знают что такое авторан и что флешку после сношением с другим ПК сначала нужно сканировать а потом открывать, как защитится?
G-E-K, при таком подходе (неквалифицированные пользователи со своими флешками да на моём компьютере) вряд ли что вообще поможет.
Кстати, файлы, которые у них не получится запустить с флешки, они вполне могут скопировать на винт и запустить какую-нибудь "радость" оттуда.
Допускаю, что для определённых ситуаций запрет запуска с флешки вполне может пригодиться, но далеко не для всех случаев.
Мне такой вариант точно не подойдёт - на флешке куча софта, тестовых вариантов загрузки, которые по определению дожны работать именно с флешки.
1. через АВЗ отключил ауторан дисков
2. немного расщедрился и купил SandBoXIE;
включил форсирование всех съемных носителей (включая ДВД) и всё путём: ни с сёрфом Инета, ни с триалками, ни с флехами особых проблем за последние года 2-3 не замечено (но иногда забываю отключить))
Вот так, хотя, пока научился- пару сисек набил)
Нас объединяет то, что разъединяет
При таком ходе событий полностью с Вами согласен.при таком подходе (неквалифицированные пользователи со своими флешками да на моём компьютере) вряд ли что вообще поможет.
Кстати, файлы, которые у них не получится запустить с флешки, они вполне могут скопировать на винт и запустить какую-нибудь "радость" оттуда.
Ну так ничего ж не мешает засунуть весь софт в отдельную папку и для нее создать правило разрешающее запуск исполняемых файлов. Так как всякая зараза в основном прописывается в корне диска, то ее запуск будет невозможен, а Ваш софт будет прекрасно работатьМне такой вариант точно не подойдёт - на флешке куча софта, тестовых вариантов загрузки, которые по определению дожны работать именно с флешки.
Хотя может быть Вы и правы, такие ограничения скорее для параноиков (ну вроде меня), я постоянно работаю с такими ограничениями, не испытывая никакого дискомфорта.
Есть вирус, который скрывает папки и создает екзешники с их названием и значком папки, тобишь этот метод не спасет флешку от заражения.
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
G-E-K, вот, к примеру, тот же ntdetect.com из корня убрать в каталог не получится, Вы же понимаете.
Surfer, это от Проводника он скрывает, а от Far manager'а - не укрыться, и всякие левые значки ему пофег.
Понятно, что не автораном единым... Поэтому для "рисковых" или заражённых компов есть такие заготовки: флешка с защитой от записи, загрузочная флешка с невидимым из Windows разделом. Жаль, переключатель случайно "уработал" - приятно было наблюдать, как вирусы выбрасывают жалобные окошки: типа, не могу писать, снимите защиту от записи!
Кстати, если не загромождать корни своих флешек, а Проводнику предпочесть Far, это позволит замечать вирусы на "подопытных" флешках раньше антивирусов.
Честно говоря не совсем понимаю, каким образом можно использовать ntdetect.com после загрузки ОС с жесткого диска, объясните нубу. Если какой то файл нельзя переместить с корня диска то опять же выход есть, создаем правило для хеша этого файла и он будет запускаться хоть с корня, хоть с каталога.вот, к примеру, тот же ntdetect.com из корня убрать в каталог не получится, Вы же понимаете.
Я согласен что не все захотят возится с политикой ограниченного использования программ. Ну в общем каждый сам для себя выбирает методы защиты в зависимости от конкретной ситуации, я описал свой, для кого то он будет приемлем для кого то нет.
G-E-K, MobaLiveUSB_0.2.exe, MobaLiveCD_v2.1.exe можно тестировать загрузку с флешки без лишних перезагрузок. ntdetect.com используется для вариантов загрузки NT-систем с USB-HDD: ntldr (меню boot.ini) --> grldr (меню menu.lst GRUB4DOS).
моя проблема частично связана с названием темы:
предыстория
моя флешка отформатирована в ntfs. на ней был создан файл autorun.inf скрытый/ридонли и с него были убраны все права (вкладка безопасность была пустая)..
однако флешка все таки заразилась вирусом с перезаписью авторан.инф - то ли кидо, то ли авторанер, суть не в этом..
т.к. usbvaccine на fat32 легко перезаписывалась некоторыми вирусами, с правами вирусы тоже справились, решила попробовать usbvaccine на ntfs, флешка была вставлена в компьютер с резидентно висящей usbvaccine
usbvaccine после вставки флешки выкинула окно и зависла
теперь собственно просьба - помогите найти autorun.inf
судя по тому что ни файл, ни каталог, с таким именем не создаются - такой файл уже есть. любой другой файл каталог создаются беспроблем и других проблем с флешкой до сих пор не было. тьфу-тьфу..
чекдиском флешку проверяла )
на fat32 файл отображался, просто к нему не было доступа.. почему же на ntfs его невидно (проверяла на разных компьютерах с windows xp)?
или это всё-таки нормально что autorun.inf не отображается?
Добавлено через 5 часов 35 минут
глянула winhex'ом содержимое флешки, нашлось два autorun.inf явно не тех что нужно.. я даже опустошила флешку и даже затерла eraser'ом всё свободное место на флешке для чистоты эксперимента (без полного форматирования)
проверила снова winhex'ом - уже точно autorun.inf нет!
почему же всё равно не создается autorun.inf? есть варианты?
хорошее бы получилось решение задачи по ТРИЗу: и файла нет, и защита есть )))
Последний раз редактировалось Юльча; 30.01.2010 в 01:52. Причина: Добавлено
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
Юльча, можно просто проверить, чудеса ли это резидентной защиты usbvaccine: попробовать создать autorun.inf на флешке, подключенной к другому компу, или загрузившись с другой системы на этом же копе.
Не факт, думается, вполне возможно реализовать запрет на создание файла с определённым именем и другими средствами.судя по тому что ни файл, ни каталог, с таким именем не создаются - такой файл уже есть.
Ваши права в разделе
Ответить с цитированием
