Как полностью обезопаситься от autorun-нов?

[drongo]

А разве не быстрее inf добавить в script defender http://www.analogx.com/CONTENTS/down...em/sdefend.htm , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.

[XP user]

А разве не быстрее inf добавить в script defender http://www.analogx.com/CONTENTS/down...em/sdefend.htm , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.

Вы недооцениваете malware (или вернее - переоцениваете script defender).
Дайте, пожалуйста, несколько примеров, где авторан так удобно, что риск оправдан - откуда вы будете знать, что программа хорошая или нет когда вы получаете алерты? HIPS хорошо, но меня лично раздражает - большинство вопросов задаёт о хороших программах.
Mы узнали в данной теме, что проблема не всегда в самом авторане, а в MountPoints2, который каждый раз, когда вы вставляете устройство, отредактируется самой ОС. Вы думаете, что script defender против этого тоже предупреждает?

Paul

[DoSTR]

Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство.

Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков.
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.

[XP user]

Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков.
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.

Я рад за вас, но проверяйте всё-таки содержание MountPoints2...
Система действительно туда пишет инфу о запуске уже известных устройств. Она могла писать туда инструкции до того, как вы создали политику...

Paul

[drongo]

Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже?
Пользователь и так стоит с правами только на чтение.

[XP user]

Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже? Пользователь и так стоит с правами только на чтение.

Риска в удалении ключа MountPoints2 нет - Windows создаст этот параметр заново, но уже чистый. Нужны права админа. Проверьте все устройства (работают ли они).
Потом посмотрите права всех пользователей MountPoints кроме 'Системы'. В левой колонке (=РАЗРЕШЕНИЯ) НИЧЕГО НЕ ТРОГАЕМ! Мы в правой колонке отметим 'ЗАПРЕТИТЬ' на все параметры кроме 'Чтение'. Если так не делать могут быть проблемы при необходимости отмены данной политики.
P.S.: Картинку почему-то форум не разрешает вставить. Тогда дам ссылку на описание по-английски:
http://virusanalysts.blogspot.com/20...infection.html
Четвёртая картинка показывает как надо.

Paul

[drongo]

На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить.
или системе в этом случае всё равно ?

[XP user]

На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить.
или системе в этом случае всё равно ?

Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
http://techrepublic.com.com/5208-623...sageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений?

Paul

[drongo]

Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
http://techrepublic.com.com/5208-623...sageID=2319929
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений?

Paul

в кaментах указано в XPpro есть более элегантный способ через gui , что -то не нахожу .
P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script

[XP user]

P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script

Уже сделано. НЕ помогает. 'Прав нет' и всё...

Paul

[drongo]

Уже сделано. НЕ помогает. 'Прав нет' и всё...

Paul

Антона проси, у меня нет прав поиграться с твоими настройками

[XP user]

Антона проси, у меня нет прав поиграться с твоими настройками

OK.

Paul

[pig]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
....
Пользователь и так стоит с правами только на чтение.

HKCR - это личный пользовательский куст реестра. Там у текущего пользователя всегда полные права.

[psw]

Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.

У меня дома, по ряду причин, антивирусного монитора нет и именно та политика спасает меня от червяков.
При той проблеме описанной автором в сообщении 1, способ предложенный мною кажется ему подходит как нельзя лучше.

А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.

[XP user]

А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.

Именно потому что в ключе MountPoints2 видимо уже есть 'приказ' для вашего устройства.
Надеюсь, что вы заметили, что DoSTR отредактировал своё изначальное сообщение? - Политики должны быть по другому созданы. Надеюсь, что он сам выйдет и скажет о своих опытах.
Потом - удержание 'Shift' тоже отменывает эти политики. Любопытно, может ли Троян это cделать, и если да, как? Пытаюсь найти ответ. Трюк с MountPoints2 - хороший. Долой, Бронток!

Paul

[drongo]

http://nick.brown.free.fr/blog/2007/...ick-worms.html
Вот такая магия обмана : а авторана нет

Код:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[XP user]

Код:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

В-Е-Л-И-К-О-Л-Е-П-Н-О-! Но только против .ini варианты. Существуют и другие расширения авторана. Блок на MountPoints2 не совсем отменяется.

Надо ещё заметить, что '@SYS:_DoesNotExist' НЕ распространяется на автозапуск CDRom и DVD!
Чтобы отключить их надо всё-таки отредактировать следующий ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom.
Autorun = 0
P.S.: Установка любого плеера может отменить последнюю меру. Следите!

Paul

[drongo]

я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.

[XP user]

я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.

А в антивируснике этого нельзя задать? Или хотя бы мониторить MountPoints2?

Paul

[drongo]

Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить