-
Сообщение от
drongo
Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить
Угу. Меня тоже интересует параметр @SYS:
Если с ним можно убить авторан, сказав ОС, что такое не существует на машине, то тогда уже предвижу кашмары убийства защиты таким путём. Гугл ничего не даёт, кроме вами приведённого трюка с Autorun в разделе IniFileMapping.
Paul
Последний раз редактировалось XP user; 24.02.2008 в 18:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
значит скоро будет новая волна зверьков с новыми качествами, будет весело
-
-
УРААА наконец то нашлось хоть какоето средство от этой напасти
всем принявшим участие большой респект.
мой регфайл применяемый ...
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
добавлено
все теперь эти ключи реестра прописываются принудительно, при каждом старте рабочей станции в домене, результат превосходит все мыслимые ожидания,
если стоит антивирус то он влегкую успевает проверить флешку,
а если обычный пользователь, у которого скрытые файлы и так не показываются, по умолчанию, то он и неподозревает были вирусы на сменном носителе или нет...
авторана нет, а сам запустить не может так как не видит что запустить
Последний раз редактировалось Virtual; 07.03.2008 в 21:10.
-
Junior Member
- Вес репутации
- 60
p2u
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!
и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun
-
все, вроде действует безотказно, кстати на флешках у меня такой авторан лежит...
Последний раз редактировалось drongo; 15.04.2008 в 22:22.
-
Сообщение от
Marielito07
p2u
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!
Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?
Сообщение от
Marielito07
и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun
Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.
Paul
-
Junior Member
- Вес репутации
- 59
Господа, занятная дискуссия, но каков же её вывод:
1. Каким образом можно отключить автозапуск с флэш-накопителей и жёстких дисков?
2. Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?
Не совершайте бездумных поступков - люди могут потерять к вам доверие...
-
Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?
Это признак инфекции.
Начните с темы в "Помогите", выполните правила и вам помогут.
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?
Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun. Ну почему же, в таком случае зачем вообще антивирусная программа ведь можно занести к себе такого неизвестного зверя самостоятельно другими способами, к тому же не все malware сразу прямиком создают autorun и поймать неизвестного зверька который будет в autorun`е это 1 из 10 случаев, имхо!
Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.
Я про то когда меняли значение в реестре там когда грузиться експлорер при двойном щелчке мышкой
-
Junior Member
- Вес репутации
- 59
aKoK,
вы правы, но у меня была такая ситуация:
инфекция уничтожена (точно!), а файлы всё равно не видны.
Помогло восстановление системы до ранее созданной (безвирусной) точки восстановления.
Единственное, что меня пугает, это то, что у меня разрешён автозапуск с флэш-носителей и жёстких и сетевых дисков (по крайней мере, так пишет AVZ).
Не совершайте бездумных поступков - люди могут потерять к вам доверие...
-
Сообщение от
Marielito07
Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun.
Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан.
Paul
-
Junior Member
- Вес репутации
- 60
Сообщение от
p2u
Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан.
Paul
Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?
-
Сообщение от
Marielito07
Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
Какой ДЛЯ ВАС желанный результат если все уже довольны?
Сообщение от
Marielito07
И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?
Вы прочитали вообще тему с начала до конца? Если да, то тогда какой рецепт вам ещё нужен, скажите?
Paul
-
Junior Member
- Вес репутации
- 60
ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!
Добавлено через 19 минут
Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?
Добавлено через 34 минуты
Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?
Последний раз редактировалось Marielito07; 11.03.2008 в 02:05.
Причина: Добавлено
-
Сообщение от
Marielito07
ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
Только совокупность мер даст полноценную защиту. Хотелось бы увидеть обоснование того, что ' не один из них толком не работает'. Как вы это установили?
Сообщение от
Marielito07
И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!
Этот ключ MountPoints2 (я это уже писал) можно без вредных последствий удалить. Он после перезагрузки восстанавливается, но уже чистым. Наличие autorun там не объязательно - при любым обращении к диску Windows там производит изменения. Если вы ранее уже разрешили хоть один раз автозапуск по данному устройству, и вы потом устанавливаете запрет на автозапуск, то тогда может запросто случиться, что Windows решит, что вы всё-таки хотите, чтобы устройство само по себе запускалось. На это играют создатели зловредов.
Сообщение от
Marielito07
Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?
Файл autorun может находится в других местах на компьютере если он заражён, и лишь ссылаться на какое-нибудь устройство. Потом, файл autorun может быть ещё скрытым. В таких случаях требуется специальные инструменты, такие как AVZ, чтобы обнаружить его.
Сообщение от
Marielito07
Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?
Подумаю сначала как вам объяснить лучше, ОК?
Paul
Последний раз редактировалось XP user; 11.03.2008 в 13:36.
-
Junior Member
- Вес репутации
- 60
Жду ответа, заранее спасибо!
Добавлено через 1 час 19 минут
Хех, только что на работе принесли флешку, еще не настроил у себя запрет на автозапуск, и как в тему там была autorun.inf, но nod32 его быстро продетектил и снес а копию в карантин отправил!
Добавлено через 7 минут
А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected
Последний раз редактировалось Marielito07; 11.03.2008 в 15:01.
Причина: Добавлено
-
Сообщение от
Marielito07
А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected
Я не пользователь Нода, но может быть эта папка - скрытая? Для того, чтобы посмотреть скрытые папки надо:
Мой Компьютер - Сервис - Свойства папки - Вид.
Крутить вниз и
* снять галочку, где стоит 'Скрывать защищённые системные файлы' (рекомендуется) и
* ниже ещё отметить 'Показать скрытые файлы и папки'.
Применить - ОК.
Paul
-
Junior Member
- Вес репутации
- 60
Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?
-
@Marielito07 Версия Нода какая и базы от какого числа?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
ESET NOD32 Antivirus 3.0.621.0
Virus signature database: 2841 (20080131)
Update module: 1023 (20080229)
Antivirus and antispyware scanner module: 1107 (20080303)
Advanced heuristics module: 1070 (20080212)
Archive support module: 1074 (20080307)
Cleaner module: 1026 (2008022