Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вы недооцениваете malware (или вернее - переоцениваете script defender).
Дайте, пожалуйста, несколько примеров, где авторан так удобно, что риск оправдан - откуда вы будете знать, что программа хорошая или нет когда вы получаете алерты? HIPS хорошо, но меня лично раздражает - большинство вопросов задаёт о хороших программах.
Mы узнали в данной теме, что проблема не всегда в самом авторане, а в MountPoints2, который каждый раз, когда вы вставляете устройство, отредактируется самой ОС. Вы думаете, что script defender против этого тоже предупреждает?
Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство.
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.
У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков.
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.
У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков.
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.
Я рад за вас, но проверяйте всё-таки содержание MountPoints2...
Система действительно туда пишет инфу о запуске уже известных устройств. Она могла писать туда инструкции до того, как вы создали политику...
Paul
Последний раз редактировалось XP user; 23.02.2008 в 18:00.
Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже?
Пользователь и так стоит с правами только на чтение.
Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже? Пользователь и так стоит с правами только на чтение.
Риска в удалении ключа MountPoints2 нет - Windows создаст этот параметр заново, но уже чистый. Нужны права админа. Проверьте все устройства (работают ли они).
Потом посмотрите права всех пользователей MountPoints кроме 'Системы'. В левой колонке (=РАЗРЕШЕНИЯ) НИЧЕГО НЕ ТРОГАЕМ! Мы в правой колонке отметим 'ЗАПРЕТИТЬ' на все параметры кроме 'Чтение'. Если так не делать могут быть проблемы при необходимости отмены данной политики.
P.S.: Картинку почему-то форум не разрешает вставить. Тогда дам ссылку на описание по-английски: http://virusanalysts.blogspot.com/20...infection.html
Четвёртая картинка показывает как надо.
Paul
Последний раз редактировалось XP user; 23.02.2008 в 20:06.
На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить.
или системе в этом случае всё равно ?
Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query': http://techrepublic.com.com/5208-623...sageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений?
Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query': http://techrepublic.com.com/5208-623...sageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений?
Paul
в кaментах указано в XPpro есть более элегантный способ через gui , что -то не нахожу .
P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.
У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков.
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.
А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.
А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.
Именно потому что в ключе MountPoints2 видимо уже есть 'приказ' для вашего устройства.
Надеюсь, что вы заметили, что DoSTR отредактировал своё изначальное сообщение? - Политики должны быть по другому созданы. Надеюсь, что он сам выйдет и скажет о своих опытах.
Потом - удержание 'Shift' тоже отменывает эти политики. Любопытно, может ли Троян это cделать, и если да, как? Пытаюсь найти ответ. Трюк с MountPoints2 - хороший. Долой, Бронток!
Paul
Последний раз редактировалось XP user; 24.02.2008 в 09:10.
Причина: Поправил
В-Е-Л-И-К-О-Л-Е-П-Н-О-! Но только против .ini варианты. Существуют и другие расширения авторана. Блок на MountPoints2 не совсем отменяется.
Надо ещё заметить, что '@SYS:_DoesNotExist' НЕ распространяется на автозапуск CDRom и DVD!
Чтобы отключить их надо всё-таки отредактировать следующий ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom. Autorun = 0
P.S.: Установка любого плеера может отменить последнюю меру. Следите!
Paul
Последний раз редактировалось XP user; 24.02.2008 в 09:53.
я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.
я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.
А в антивируснике этого нельзя задать? Или хотя бы мониторить MountPoints2?