Как полностью обезопаситься от autorun-нов?

[XP user]

Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить

Угу. Меня тоже интересует параметр @SYS:
Если с ним можно убить авторан, сказав ОС, что такое не существует на машине, то тогда уже предвижу кашмары убийства защиты таким путём. Гугл ничего не даёт, кроме вами приведённого трюка с Autorun в разделе IniFileMapping.

Paul

[drongo]

значит скоро будет новая волна зверьков с новыми качествами, будет весело

[Virtual]

УРААА наконец то нашлось хоть какоето средство от этой напасти
всем принявшим участие большой респект.

мой регфайл применяемый ...

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

добавлено

все теперь эти ключи реестра прописываются принудительно, при каждом старте рабочей станции в домене, результат превосходит все мыслимые ожидания,

если стоит антивирус то он влегкую успевает проверить флешку,
а если обычный пользователь, у которого скрытые файлы и так не показываются, по умолчанию, то он и неподозревает были вирусы на сменном носителе или нет...
авторана нет, а сам запустить не может так как не видит что запустить

[Marielito07]

p2u
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!

и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun

[Virtual]

все, вроде действует безотказно, кстати на флешках у меня такой авторан лежит...

[XP user]

p2u
Это все хорошо с MountPoints2 но что если вставляются абсолютно левая флешка еще не разу не зарегистрированная на этом компе, у мну например на работе часто такие флехи приносят, я думаю что лучший вариант это при каждом использование флешки жать Shift и сканить девайс антивирусом!

Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?

и обьясните плз какая разница между Explore и Broser, когда вы изменяли Autorun

Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.

Paul

[Surfer2000]

Господа, занятная дискуссия, но каков же её вывод:
1. Каким образом можно отключить автозапуск с флэш-накопителей и жёстких дисков?

2. Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?

[akok]

Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?

Это признак инфекции.
Начните с темы в "Помогите", выполните правила и вам помогут.

[Marielito07]

Наша цель - чтобы ни одна флежкла не запускалась автоматически. А что проверка антивирусом даст, если там неизвестный ещё зверь лежит?

Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun. Ну почему же, в таком случае зачем вообще антивирусная программа ведь можно занести к себе такого неизвестного зверя самостоятельно другими способами, к тому же не все malware сразу прямиком создают autorun и поймать неизвестного зверька который будет в autorun`е это 1 из 10 случаев, имхо!

Не понял, что вы имеете в виду. Перефразируйте, полалуйста, ваш вопрос.

Я про то когда меняли значение в реестре там когда грузиться експлорер при двойном щелчке мышкой

[Surfer2000]

aKoK,
вы правы, но у меня была такая ситуация:
инфекция уничтожена (точно!), а файлы всё равно не видны.
Помогло восстановление системы до ранее созданной (безвирусной) точки восстановления.

Единственное, что меня пугает, это то, что у меня разрешён автозапуск с флэш-носителей и жёстких и сетевых дисков (по крайней мере, так пишет AVZ).

[XP user]

Насколько я понял то модификация MountPoints2 нам требуемого рзультат не даст, так как нужно постоянно переделивать каждой новой флешке права в реестре на этот autorun.

Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан.

Paul

[Marielito07]

Нет. Вы видимо не понимаете о чём мы здесь - надо ЗАПРЕТИТЬ (= НИКОМУ НЕ РАЗРЕШАТЬ) авторан.

Paul

Нет я понимаю, просто MountPoints2 желанного результа нам не дает!
И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?

[XP user]

Нет я понимаю, просто MountPoints2 желанного результа нам не дает!

Какой ДЛЯ ВАС желанный результат если все уже довольны?

И можно подвести итоги всё таки к чему пришли, есть ли готовый рецепт по решению проблемы?

Вы прочитали вообще тему с начала до конца? Если да, то тогда какой рецепт вам ещё нужен, скажите?

Paul

[Marielito07]

ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает
И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!

Добавлено через 19 минут

Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?

Добавлено через 34 минуты

Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?

[XP user]

ЭЭмм, прочитать прочитал, но что толку одни советуют копаться в настройках Политики безопасности, другие(в частности ВЫ) что нужно модифицировать MoutinPrints2, но в результате не один из них толком не работает

Только совокупность мер даст полноценную защиту. Хотелось бы увидеть обоснование того, что ' не один из них толком не работает'. Как вы это установили?

И потом у мну например когда откриваешь параметры MountinPrints2 там "чёрт ногу сломит" как разобрать какая ветка к какой флешке относится, так как файла autotun как такового нету!

Этот ключ MountPoints2 (я это уже писал) можно без вредных последствий удалить. Он после перезагрузки восстанавливается, но уже чистым. Наличие autorun там не объязательно - при любым обращении к диску Windows там производит изменения. Если вы ранее уже разрешили хоть один раз автозапуск по данному устройству, и вы потом устанавливаете запрет на автозапуск, то тогда может запросто случиться, что Windows решит, что вы всё-таки хотите, чтобы устройство само по себе запускалось. На это играют создатели зловредов.

Почему в моей флешке срабатывет автозапуск хотя там нету ниодного autorun файла?

Файл autorun может находится в других местах на компьютере если он заражён, и лишь ссылаться на какое-нибудь устройство. Потом, файл autorun может быть ещё скрытым. В таких случаях требуется специальные инструменты, такие как AVZ, чтобы обнаружить его.

Скажите плз в чем разница между обычным Автозапуском который происходит когда вставляешь то ли флешку толи CD, и выскакивает шилдик с переченью того что можно выбрать, либо открыть как папку либо прослушать музыку, либо еще что то - от того авторана что идет двойным щелчком, и может ли в первом случае быть звери или это стандартные фишки win и они не могут изменятся пользователями?

Подумаю сначала как вам объяснить лучше, ОК?

Paul

[Marielito07]

Жду ответа, заранее спасибо!

Добавлено через 1 час 19 минут

Хех, только что на работе принесли флешку, еще не настроил у себя запрет на автозапуск, и как в тему там была autorun.inf, но nod32 его быстро продетектил и снес а копию в карантин отправил!

Добавлено через 7 минут

А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected

[XP user]

А где nod32 хранит файлы которые в карантине, а то у мну что то нету папки Infected по C:\ProgramFiles\ESET\Infected

Я не пользователь Нода, но может быть эта папка - скрытая? Для того, чтобы посмотреть скрытые папки надо:
Мой Компьютер - Сервис - Свойства папки - Вид.
Крутить вниз и
* снять галочку, где стоит 'Скрывать защищённые системные файлы' (рекомендуется) и
* ниже ещё отметить 'Показать скрытые файлы и папки'.
Применить - ОК.

Paul

[Marielito07]

Да нет я вообще пользуюсь Total Commander`м -там у меня настроено Показывать скрытые и системные файлы, поэтому не вариант папки нету!
Но все же, что по поводу Автозапусков?

[PavelA]

@Marielito07 Версия Нода какая и базы от какого числа?

[Marielito07]

ESET NOD32 Antivirus 3.0.621.0

Virus signature database: 2841 (20080131)
Update module: 1023 (20080229)
Antivirus and antispyware scanner module: 1107 (20080303)
Advanced heuristics module: 1070 (20080212)
Archive support module: 1074 (20080307)
Cleaner module: 1026 (2008022