Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 66.

Удобная программка для борьбы с флэш-вирусами

  1. #1
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    15
    Вес репутации
    59

    Удобная программка для борьбы с флэш-вирусами

    Для борьбы с флэш-вирусами есть удобная бесплатная программка: Flashcontrol v. 2.5.
    http://www.taurussoft.narod.ru/
    Последний раз редактировалось AndreyKa; 19.03.2008 в 11:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от opv88 Посмотреть сообщение
    Для борьбы с флэш-вирусами есть удобная бесплатная программка: Flashcontrol v. 2.5.
    http://www.taurussoft.narod.ru/
    Жаль, что на narod.ru лежит - домен у меня заблокирован из-за его грустной истории по распространению зловредов...

    Paul
    Последний раз редактировалось AndreyKa; 19.03.2008 в 11:36.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скопировал описание для тех, кто не может или не хочет туда сходить:
    Программа Flashcontrol v. 2.5 предназначена для удаления вирусов и вредоносных программ, которые внедряются в автозапуск дисков и используют файл "autorun.inf".

    Программа имеет следующие возможности:

    удаление заблокированных, скрытых и системных файлов "autorun.inf"
    удаление исполняемых файлов вредоносных программ
    контроль за появлением вредоносных программ в реальном времени и их удаление в случае проникновения
    появление сообщения(названия внедряющейся программы) при проникновении вредоносной программы
    возможность удаления нескольких вредоносных программ, одновременно внедряющихся на вашу флешку
    В отличие от аналога anti_autorun удаляет не только файлы autorun.*, но и сам вирус
    В новой версии добавлена программа "Flashcontrol menu.exe", позволяющая проверить весь компьютер (корневые каталоги и системные папки)на наличие autorun-вирусов.
    горячие клавиши Ctrl+Alt+Q позволяют выйти из программы для безопасного извлечения флешки
    В версии 2.2 добавлены следующие функции:

    Улучшенная очистка реестра (открытие доступа к реестру,появление свойств папки в меню,разблокирование диспетчера задач)
    Поиск распространенного вируса в системных папках
    Улучшена Flashcontrol menu, сообщение о подключении нового устройства появляется автоматически
    Несколько мелких улучшений
    В версии 2.3 добавлен список исключений, позволяющий внести туда программы, которые не будут подвержены удалению, а также реализована система управления программой с помощью иконки в трее (рядом с системными часами). В версии 2.3b добавлено оформление программы в стиле Windows XP.

    В версии 2.4 произведены следующие изменения:

    В меню добавлен пункт "отключить сообщения", который позволяет отключить сообщения о появлении вируса
    В меню добавлен пункт "Language", который позволяет поменять язык интерфейса программы.
    В Flashcontrol menu также добавлена поддержка смены языка
    Более продвинутая система чистки реестра

    Улучшения версии 2.5:

    возможность выгрузки уже загруженных в память вирусов
    улучшение оформления интерфейса программы
    улучшения очистки автозагрузки (теперь задействованы все варианты)
    возможность безопасно извлечь флэшку при загруженной программе, что не удавалось ранее
    теперь программа проверяет все доступные диски сразу, так что нет необходимости в “Flashcontrol menu.exe” – теперь он не поставляется с основной программой
    (с)http://www.taurussoft.narod.ru
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Невероятно опасная программа, не советую. Она один раз в 5 секунд тупо пробивает корень всех доступных дисков, ищет autorun.inf. Найдя его сканирует секцию [AutoRun], и обнаружив в ней имена EXE файлов думает, что это злобный вирус (автор видимо никогда в своей жизни не видел флешек с утилитой криптозащиты, которая стартует автораном). Дальше смешнее - вместо блокировки файла и запроса он без запроса убивается autorun.inf и ведет удаление файла с именем из INF файла с корне диска, папках автозагрузки, и в папке system32 !!! Т.е. если зловред называет себя скажем java.exe, то данный "антивирус" оптом прибъет легитимный java.exe в system32 ... Вот такие вот дела (я на полигоне в качестве имени указал ntoskrnl.exe - последствия надеюсь понятны ). Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ...

  6. #5
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    60
    Вес репутации
    59
    Цитата Сообщение от p2u Посмотреть сообщение
    Жаль, что на narod.ru лежит - домен у меня заблокирован из-за его грустной истории по распространению зловредов...

    Paul
    Сорри за оффтоп, а что за история с narod.ru?

  7. #6
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    15
    Вес репутации
    59
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Невероятно опасная программа, не советую. Она один раз в 5 секунд тупо пробивает корень всех доступных дисков, ищет autorun.inf. Найдя его сканирует секцию [AutoRun], и обнаружив в ней имена EXE файлов думает, что это злобный вирус (автор видимо никогда в своей жизни не видел флешек с утилитой криптозащиты, которая стартует автораном). Дальше смешнее - вместо блокировки файла и запроса он без запроса убивается autorun.inf и ведет удаление файла с именем из INF файла с корне диска, папках автозагрузки, и в папке system32 !!! Т.е. если зловред называет себя скажем java.exe, то данный "антивирус" оптом прибъет легитимный java.exe в system32 ... Вот такие вот дела (я на полигоне в качестве имени указал ntoskrnl.exe - последствия надеюсь понятны ). Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ...
    Что касается ntoskrnl.exe и прочих системных файлов, то они удалены не будут. Уже вчера было замечено это упущение и обновлен архив нас сайте, но видимо обновление появилось только сегодня. Во вторых: "Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ..." - программа выгружает из памяти "зловред", а что касается пяти секунд, то этого интервала вполне достаточно, чтобы выгрузить из памяти вирус. Также если вы заметили, то в проге есть список исключений, добавляй туда любые файлы и они не будут удалены. Очень уважаю ваше придирчивое отношение к делу, но если выбирать между Anti_autorun, Usb scan и прочих подобных программах, то Flashcontrol - лучшая в своем роде.

    Добавлено через 3 минуты

    Цитата Сообщение от p2u Посмотреть сообщение
    Жаль, что на narod.ru лежит - домен у меня заблокирован из-за его грустной истории по распространению зловредов...

    Paul
    Есть зеркала на сайтах:

    1. http://freesoft.ru/?id=673742
    2. http://z.one.kz/2008/01/09/flashcontrol_v21.html
    3. http://softsearch.ru/programs/282-64...download.shtml
    4. http://www.softlenta.ru/ap/n181203.shtml
    5. http://soft-best.ws/forum/index.php?...0&#entry199039
    6. http://www.alloynews.ru/news/690092.html

    А также можно порыться в любой поисковой системе, например google, введя название проги.
    Последний раз редактировалось opv88; 19.03.2008 в 16:56. Причина: Добавлено

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от opv88 Посмотреть сообщение
    Во вторых: "Понятное дело, что 5-секундный таймер не даст гарантии того, что зловред не успеет запуститься ..." - программа выгружает из памяти "зловред", а что касается пяти секунд, то этого интервала вполне достаточно, чтобы выгрузить из памяти вирус.
    Если распространяющийся на флешке зловред применит руткит-защиту, то попытка убиения процесса ровным счетом ничего не даст - на установку драйвера защиты зловреду нужны миллисекунды.
    Второй момент - зловред может переименовать свой файл, создать несколько его копий с заранее неизвестными именами, и прописать все это в автозапуск и т.п., и подобная "выгрузка из памяти" опять же ровным счетом ничего не даст.
    Если зловред установит свою DLL, а не будет создавать процесс - то "выгрузка процесса из памяти ничего не даст"
    PS: чтобы рассуждать о надежности защиты подобной программой, стоит начать с типового примера, например с Worm.Win32.AutoRun.cvx. Данный зловред создает троянский поток в системном процессе (если точно - то в explorer.exe), а троянский поток вызовом чего-то типа taskkill не убить ... и все, система заражена. Далее он внедряет свою DLL во все процессы, и использует свой собственный процесс, имя исполняемого файла процесса совершенно не связано с именем, прописанным в autorun.inf. Почему я привел в пример этого зверя ? Потому, что этот зверь весьма распространен, именно ему принадлежат файлы AMVO.EXE и AMVO0.DLL - элементарный поиск по форуму покажет распространенность аналогов этой заразы. Flashcontrol пропускает заражение этой штукой, а затем раз в 10-15 секунд выкидывает окно о том, что удален вирус ... (таймер программы + таймер трояна в случайном сочетании). Вот такие пироги ... аналогично получается с остальными Flash вирусами
    Последний раз редактировалось Зайцев Олег; 19.03.2008 в 17:42.

  9. #8
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    15
    Вес репутации
    59
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Если распространяющийся на флешке зловред применит руткит-защиту, то попытка убиения процесса ровным счетом ничего не даст - на установку драйвера защиты зловреду нужны миллисекунды.
    Второй момент - зловред может переименовать свой файл, создать несколько его копий с заранее неизвестными именами, и прописать все это в автозапуск и т.п., и подобная "выгрузка из памяти" опять же ровным счетом ничего не даст.
    Если зловред установит свою DLL, а не будет создавать процесс - то "выгрузка процесса из памяти ничего не даст"
    PS: чтобы рассуждать о надежности защиты подобной программой, стоит начать с типового примера, например с Worm.Win32.AutoRun.cvx. Данный зловред создает троянский поток в системном процессе (если точно - то в explorer.exe), а троянский поток вызовом чего-то типа taskkill не убить ... и все, система заражена. Далее он внедряет свою DLL во все процессы, и использует свой собственный процесс, имя исполняемого файла процесса совершенно не связано с именем, прописанным в autorun.inf. Почему я привел в пример этого зверя ? Потому, что этот зверь весьма распространен, именно ему принадлежат файлы AMVO.EXE и AMVO0.DLL - элементарный поиск по форуму покажет распространенность аналогов этой заразы. Flashcontrol пропускает заражение этой штукой, а затем раз в 10-15 секунд выкидывает окно о том, что удален вирус ... (таймер программы + таймер трояна в случайном сочетании). Вот такие пироги ... аналогично получается с остальными Flash вирусами
    Насчет остальных я бы поспорил. А так все верно. Но если вирусок создаст свой поток, то ни один антивирус вас не спасет. Антивирусы типа Каспера или NOD'а вообще не выгружают из памяти вирусы, а требуют перезагрузку системы. Но прога помогает часто. Не пересчитать всех вирусов, которые она удалила. Однако, согласен, на мощное средство против борьбы с вирусами не тянет. Но я ведь и не говорил, что ВСЕГДА спасает. Может не спасти и антивирус со свежими базами, ведь так? Если внимательно прочитать инфу о проге, то становится понятен принцип ее действия. Изначально она задумывалась как средство для удаления вирусов, которые лень удалять вручную и чистить автозагрузку, занимаясь поиском этой заразы. Задача была выполнена. А использовать ее или нет - ваше дело, я ж не против. Но среди подобных программ, которые я видел, эта действительно пока лучшая.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от opv88 Посмотреть сообщение
    Насчет остальных я бы поспорил. А так все верно. Но если вирусок создаст свой поток, то ни один антивирус вас не спасет. Антивирусы типа Каспера или NOD'а вообще не выгружают из памяти вирусы, а требуют перезагрузку системы.
    Монитор антивируса отловит запуск зловреда и проверит его перед запуском, а не после. Если опознает - то заблокирует. Если не опознает - в дело включится проактивная защита, она есть в большинстве антивирусов. Он отловит потенциально опасное действие (а запись в память процесса и создание удаленных потоков однозначно контролируются), и блокирует его, выдавая запрос ...
    Цитата Сообщение от opv88 Посмотреть сообщение
    Но прога помогает часто. Не пересчитать всех вирусов, которые она удалила. Однако, согласен, на мощное средство против борьбы с вирусами не тянет...
    Согласно данным моего анализатора, она подавит примерно 5% существующих разновидностей Flash вирусов. Остальные увы прорвутся ...
    Могу подсказать, как решить такую проблему "идеалогически правильно": нужно создать ядреный драйвер, который отловит обращения к autorun файлам на сменных носителях. Обнаружив это драйвер блокирует операцию и передает информацию второму компоненту программы - UserMode GUI приложению. Оно в свою очередь выдает запрос пользователю о том, что дескать так вот и так, имеется такой-то авторан, он пытается запустить такое-то приложение, наши действия - блокировать, блокировать и удалить, разрешить однократно, разрешить и добавить в доверенные. В зависимости от выбора пользователя GUI передает драйверу команду, и он либо разрешает продолжение операции, либо блокирует ее и убивает файл. Вот в такой ситуации мышь не проскочит.

  11. #10
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    15
    Вес репутации
    59
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Монитор антивируса отловит запуск зловреда и проверит его перед запуском, а не после. Если опознает - то заблокирует. Если не опознает - в дело включится проактивная защита, она есть в большинстве антивирусов. Он отловит потенциально опасное действие (а запись в память процесса и создание удаленных потоков однозначно контролируются), и блокирует его, выдавая запрос ...

    Согласно данным моего анализатора, она подавит примерно 5% существующих разновидностей Flash вирусов. Остальные увы прорвутся ...
    Могу подсказать, как решить такую проблему "идеалогически правильно": нужно создать ядреный драйвер, который отловит обращения к autorun файлам на сменных носителях. Обнаружив это драйвер блокирует операцию и передает информацию второму компоненту программы - UserMode GUI приложению. Оно в свою очередь выдает запрос пользователю о том, что дескать так вот и так, имеется такой-то авторан, он пытается запустить такое-то приложение, наши действия - блокировать, блокировать и удалить, разрешить однократно, разрешить и добавить в доверенные. В зависимости от выбора пользователя GUI передает драйверу команду, и он либо разрешает продолжение операции, либо блокирует ее и убивает файл. Вот в такой ситуации мышь не проскочит.
    Это уже Firewall какой-то получается!

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от opv88 Посмотреть сообщение
    Это уже Firewall какой-то получается!
    Почему Firewall - обычный монитор-блокиратор, причем не очень сложный. Пример такого блокиратора - AVZGuard , он пресекает зловредное поведение на время лечения (но он отлавливает событие и блокирует его по принципу свой-чужой, а не по желанию пользователя). Тут самое главное в том, что нужно перехватить и блокировать обращение к соответствующему файлу (скажем autorun.inf), и до вынесения вердикта по нему и тому, что он запускает держать эту блокировку. Тогда все становится на места - зверь не прошмыгнет, если конечно пользователь ему это не разрешит в явном виде ... и проблема с тем, что он куда-то внедрится, скопируется и т.п. снимается. А его реализация в виде KernelMode драйвера распространяет его действие на всю систему, т.е. если даже например я попробую открыть autorun.inf с флешки в блокиноте, то это действие будет блокировано и будет выдан запрос. Побочный эффект - из драйвера несложно отловить и создание autorun.inf - и не просто блокировать его, но и отловить, какой процесс это делает ... что позволит эффективно воевать с активным червяком

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для NRA
    Регистрация
    17.03.2008
    Сообщений
    375
    Вес репутации
    206
    Ого, титаны разума - даже просто почитать приятно

    На данный момент все "сменные" носители (DVD/Alcohol/Flash) автоматически запускаются под SandBoxie (там опция такая есть) и Ваши проблемы мне не понятны.
    Не совсем панацея, но пока помогает (хотя SUBST'ом можно нарулить глупостей)

  14. #13

  15. #14
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Не знаю... мне лично пока и отключение автозапуска со всех дисков помогает
    Обходится легко из-за того, что система может создать исключение к этому правилу в MountPoints2. Лучше так:

    Код:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"
    Таким образом система просто тупо не узнаёт autorun.inf и проблема решена.

    Paul
    Последний раз редактировалось XP user; 20.03.2008 в 18:43.

  16. #15
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    60
    Вес репутации
    59
    Что значит не познает?

  17. #16
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Marielito07 Посмотреть сообщение
    Что значит не познает?
    Возможно, как не-носитель языка использовал не ту приставку. 'Узнает' имел в виду (поправил). В ключе указано - 'autorun.inf на компе НЕ СУЩЕСТВУЕТ'. Значит - ОС не может выполнять содержание несуществующего файла.

    Paul

  18. #17
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    15
    Вес репутации
    59
    Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от opv88 Посмотреть сообщение
    Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.
    Ничего зловред не включит ... Чтобы включить автозапуск зловреду необходимо запуститься при помощи этого самого автозапуска, который отключен

  20. #19
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от opv88 Посмотреть сообщение
    Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.
    На системе с настройками по умолчанию - да, возможно. Хотя *любой* немного преувеличено, конечно... У меня, например, на каждом шагу по всем мне известным методам заражения стоит ловушка готова для любого зверя - в депресняк они попадают все у меня вместе со своими отчаянными создателями...
    P.S.: Не пользуюсь защитой в традиционном смысле...

    Paul

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    105
    кол-во зловредов на компе прямо пропорционально радиусу кривизны рук
    Могу вам сказать, что отключив автозапуск в реестре вы ничего не добьетесь. Любой вирус включит его за секунду.
    есть более конструктивное решение?..
    кстати, мне пока ни разу не встречался вирь с такой функцией)
    forum.kasperskyclub.ru

Страница 1 из 4 1234 Последняя

Похожие темы

  1. Методика борьбы с вирусами, использующими маскировку процесса
    От Allan Stark в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 10.10.2010, 22:06
  2. последствия борьбы с вирусами (заявка №16997)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 25.04.2010, 12:00
  3. Ответов: 11
    Последнее сообщение: 22.02.2009, 01:53
  4. Метод борьбы с компьютерными вирусами
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 21
    Последнее сообщение: 31.07.2007, 17:35
  5. Ответов: 0
    Последнее сообщение: 29.06.2006, 14:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00219 seconds with 19 queries