volk1234
31-05-2009, 02:16
Любите ли вы вирусы проникающие на компьютеры на флэшках, так как их люблю я?
В общем решил я себе сделать подспорье в работе, небольшой скриптик, который отключает все возможные способы Автозапуска. Который, как известно, является наиглавнейшим после интернета способом распространения- выживания вирусов.
Проведя небольшое исследование я выяснил – для полноценной защиты необходимо отключить автозапуск со всех устройств кроме CD\DVD (с помощью параметра NoDriveTypeAutoRun ) и установить 2 обновления – KB967715 и KB971029. Обратите внимание KB967715, KB953252 и KB950582 абсолютно идентичны по функционалу и нет нужды устанавливать их на систему одновременно. Единственное – для Windows Vista подойдет только KB950582 – этот момент скрипт обрабатывает.
Также надо защитить все сменные носители от записи на них файлов autorun.inf – для предотвращения запуска вирусов с флэшки на компьютерах с включенным автозапуском.
Скачать:
rapidshare Ссылка (http://rapidshare.com/files/328955954/nmar_91230.rar)
oszone (см. вложение)
http://wiki.oszone.net/images/9/93/Nmar.png
Использование
Применим на системах Windows XP(RUS/ENG), Windows 2003 Server (RUS/ENG), Windows Vista (RUS/ENG);
В зависимости от использованного при запуске ключа утилита выполняет различные действия по отключению автозапуска.
GUI оболочка для скрипта.
Для облегчения использования скрипта начинающими пользователями участником конференции OsZone.net Drongo была сделана графическая оболочка (GUI).
Функционал GUI аналогичен работе скрипта, он формирует командную строку в зависимости от вашего выбора и запускает модифицированный вариант скрипта.
Опции GUI:
См. встроенну справку...
1. Работает с разделами (параметрами) реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun=0XDF (223)
HonorAutorunSetting=0x1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun=0XDF (223)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
@=@SYS:DoesNotExist (в данной версии @=@SYS:DoesIsAutorunKaput)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
"*.*"=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Скрипт может
- задавать значения этих параметров,
- блокировать доступ к ним,
- разблокировать доступ и возвращать значения по умолчанию этих ключей.
2. Отключает \ запускает службу Определение оборудования оболочки (ShellHWDetection)
3. Определяет наличие в системе KB967715(KB953252, KB950582) и KB971029, при необходимости скачивает их с сайта Microsoft и устанавливает. Также есть ключ для установки этих обновлений даже если они есть в системе(принудительная установка)
4. Позволяет создать «неудаляемую» папку Autorun.inf, препятствующую записи вирусом своего файла autorun.inf – на текущем диске, на всех доступных дисках, на конкретном диске.
5. Разблокировать доступ к вышеуказанным веткам реестра (в случае закрытия разрешений на доступ к ним вирусом)
6. Запретить добавление новых USB устройств на компьютер (уже установленные будут работать)
7. Запретить использование всех носителей информации USB на компьютере
8. Запретить запись на носители информации USB на компьютере
9. Позволяет использовать ключи командной строки в заранее определенных автором комбинациях - «макросы» или сформировать свою последовательность команд из более мелких опциональных команд.
10. Сохраняет все оригинальные разрешения и значения параметров реестра в папку nmar_backup для возможности восстановления.
11. Ведет протокол работы в файл log.txt
В общем- то ничего революционного, просто полезные вещи для борьбы с вирусной заразой сведенные в одном файле. Надоело делать много разных действий руками...
Примечание:
В связи с тем, что блокируется доступ к некоторым веткам реестра, что не есть хорошо и возможны различные ошибки,
1. Я снимаю с себя любую ответственность за последствия;
2. Желательно использование утилиты на установленной и настроенной системе ( когда установлены все программы и службы, меньше вероятность, что одной из них срочно понадобится записать значение в один из защищаемых ключей);
nmar.cmd -ключ [опция]
Ключи:
-help - показывает короткую справку на английском языке;
-ms - (minimal settings) Рекомендуемый режим использования утилиты:
1. Отключает автозапуск (автовоспроизведение) на всех дисках кроме CD\DVD;
2. Устанавливает обновления KB967715(KB950582), KB971029 если они нужны;
3. Изменяет значения параметров NoDriveTypeAutorun=223, HonorAutoRunSetting=1 в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
-full - Более полный режим: выполняет все действия ключа –ms, плюс очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;
-nomore – Т.н. параноидальный режим (не рекомендуется на компьютерах использующих групповую политику):
1. Принудительно устанавливает обновления KB967715(KB950582), KB971029;
2. Изменяет значения параметров NoDriveTypeAutorun=223, HonorAutoRunSetting=1, *.* = "", @ = @SYS: DoesIsAutorunKaput в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
3. очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;
4. Отключает службу Определение оборудования оболочки (ShellHWDetection);
5. Закрывает ветки реестра указанные в п.2 на запись;
-kb - Принудительно устанавливает обновления KB967715(KB950582), KB971029.
-p - защитить диск(Создать защищенную папку Autorun.inf) с которого запущен скрипт;
-pd [x:] - защитить диск x: (Создать защищенную папку Autorun.inf);
-pall - защитить диск(Создать защищенную папку Autorun.inf) на всех доступных дисках;
-unlockall – открыть доступ на уровне разрешений ко всем ранее заблокированным объектам – файлам, ключам реестра;
Может использоваться для разблокировки этих объектов заблокированных вирусами. Рекомендуется в случае
ошибок или невозможности изменить параметры реестра, доступ к файлам. Если нет заранее сохраненных файлов настроек с разрешениями для объектов – применяются настройки разрешений по умолчанию – полный доступ Администраторов и Системе.
-do [опция] – выполняет действие заданное опцией, список опций ниже;
-l [опция] - выполняет блокировку доступа к объекту заданному опцией, список опций ниже;
-un [опция] - выполняет разблокировку доступа к объекту заданному опцией, список опций ниже;
Опции ключа [-do] :
reg1 - изменяет значение параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
NoDriveTypeAutorun=223;
или если было указанно другое значение NoDriveTypeAutorun=[значение] , если не указанно
применяется 223 – значение по умолчанию. Значения можно задавать как в десятичной так и
шестнадцатеричной системах счисления;
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
HonorAutoRunSetting=1;
reg2 - изменяет значение параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
*.* = "";
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
@ = @SYS: DoesIsAutorunKaput;
srvoff – Останавливает и отключает службу ShellHWDetection ;
srvon– Запускает ShellHWDetection ;
mountp - очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей, информация содержащаяся в ветке сохраняется в REG- файл в папке nmar_backup для возможности восстановления.
Опции ключа [-l] :
reg1 - закрывает доступ к параметру реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
reg2 - закрывает доступ к параметрам реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
usbadd – запрещает установку новых USB устройств хранения (уже установленные будут работать);
usbuse - запрещает использование всех USB устройств хранения;
usbwrite - запрещает запись на USB устройства хранения данных. Чтение с устройств доступно;
mountp - закрывает доступ к параметру реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;
Опции ключа [-un] :
reg1 - открывает доступ и устанавливает значение ОС по умолчанию для параметра реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
reg2 - открывает доступ и устанавливает значение ОС по умолчанию для параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
usbadd - разрешает установку новых USB устройств хранения ;
usbuse - разрешает использование всех USB устройств хранения;
usbwrite - разрешает запись на USB устройства хранения данных;
mountp открывает доступ к параметру реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;
Блокировка- разблокировка доступа к объектам осуществляется через установку разрешений с помощью утилиты subinacl от Microsoft. Текущие разрешения объекта перед изменениями сохраняются в папку nmar_backup для возможности восстановления.
Файлы именуются названием ключа программы + дата+ время+имя компьютера. Для восстановления информации эти файлы надо переписать в одну папку со скриптом и переименовать, удалив часть имени справа от подчеркивания (включая подчеркивание). Пример: mountp_20091129_150201_comp13.log -> mountp.log. Только в этом случае сохраненная информация о разрешениях объектов будет использоваться, если программа не находит такого файла для какого- либо объекта – она применяет разрешения по умолчанию: полный доступ группе Администраторы и группе Система.
При блокировке доступа задается разрешение группе Все на чтение. Остальные группы удаляются.
Применение ключа –unlockall без файлов с информацией о разрешениях объектов приведет к заданию у всех объектов
на которые воздействует скрипт разрешений по умолчанию (по умолчанию для скрипта, а не для ОС). Поэтому применяйте этот ключ перед другими только в случае необходимости разблокировки объектов.
Для корректной работы ключа –l usbadd необходимо предварительно подготовить компьютер – удалить все ненужные USB устройства (а также их тома)из консоли оснастки Диспетчер оборудования, предварительно включив режим Показать скрытые устройства в меню Вид.
Для корректной работы ключей –l usbadd, –l usbuse, –un usbadd, –un usbuse рекомендуется перезагрузить компьютер после их применения.
Для корректной работы ключа –l usbwrite необходимо отключить все USB устройства хранения данных от компьютера.
Авторские права
(с) 2009-2010 volk1234 – Скрипт NoMoreAutorun
(с) 2009-2010 Drongo – GUI оболочка NoMoreAutorun
(с) 2009 amel – секция скрипта для скачивания обновлений и обработки ключей
(с) 2010 crashtuak – тихий режим командной строки в GUI
(с) Microsoft – утилита subinACL.exe
(с) http://curl.haxx.se – утилита curl.exe
Данный скрипт может распространятся в некоммерческих целях абсолютно свободно.
В общем решил я себе сделать подспорье в работе, небольшой скриптик, который отключает все возможные способы Автозапуска. Который, как известно, является наиглавнейшим после интернета способом распространения- выживания вирусов.
Проведя небольшое исследование я выяснил – для полноценной защиты необходимо отключить автозапуск со всех устройств кроме CD\DVD (с помощью параметра NoDriveTypeAutoRun ) и установить 2 обновления – KB967715 и KB971029. Обратите внимание KB967715, KB953252 и KB950582 абсолютно идентичны по функционалу и нет нужды устанавливать их на систему одновременно. Единственное – для Windows Vista подойдет только KB950582 – этот момент скрипт обрабатывает.
Также надо защитить все сменные носители от записи на них файлов autorun.inf – для предотвращения запуска вирусов с флэшки на компьютерах с включенным автозапуском.
Скачать:
rapidshare Ссылка (http://rapidshare.com/files/328955954/nmar_91230.rar)
oszone (см. вложение)
http://wiki.oszone.net/images/9/93/Nmar.png
Использование
Применим на системах Windows XP(RUS/ENG), Windows 2003 Server (RUS/ENG), Windows Vista (RUS/ENG);
В зависимости от использованного при запуске ключа утилита выполняет различные действия по отключению автозапуска.
GUI оболочка для скрипта.
Для облегчения использования скрипта начинающими пользователями участником конференции OsZone.net Drongo была сделана графическая оболочка (GUI).
Функционал GUI аналогичен работе скрипта, он формирует командную строку в зависимости от вашего выбора и запускает модифицированный вариант скрипта.
Опции GUI:
См. встроенну справку...
1. Работает с разделами (параметрами) реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun=0XDF (223)
HonorAutorunSetting=0x1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun=0XDF (223)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
@=@SYS:DoesNotExist (в данной версии @=@SYS:DoesIsAutorunKaput)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
"*.*"=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Скрипт может
- задавать значения этих параметров,
- блокировать доступ к ним,
- разблокировать доступ и возвращать значения по умолчанию этих ключей.
2. Отключает \ запускает службу Определение оборудования оболочки (ShellHWDetection)
3. Определяет наличие в системе KB967715(KB953252, KB950582) и KB971029, при необходимости скачивает их с сайта Microsoft и устанавливает. Также есть ключ для установки этих обновлений даже если они есть в системе(принудительная установка)
4. Позволяет создать «неудаляемую» папку Autorun.inf, препятствующую записи вирусом своего файла autorun.inf – на текущем диске, на всех доступных дисках, на конкретном диске.
5. Разблокировать доступ к вышеуказанным веткам реестра (в случае закрытия разрешений на доступ к ним вирусом)
6. Запретить добавление новых USB устройств на компьютер (уже установленные будут работать)
7. Запретить использование всех носителей информации USB на компьютере
8. Запретить запись на носители информации USB на компьютере
9. Позволяет использовать ключи командной строки в заранее определенных автором комбинациях - «макросы» или сформировать свою последовательность команд из более мелких опциональных команд.
10. Сохраняет все оригинальные разрешения и значения параметров реестра в папку nmar_backup для возможности восстановления.
11. Ведет протокол работы в файл log.txt
В общем- то ничего революционного, просто полезные вещи для борьбы с вирусной заразой сведенные в одном файле. Надоело делать много разных действий руками...
Примечание:
В связи с тем, что блокируется доступ к некоторым веткам реестра, что не есть хорошо и возможны различные ошибки,
1. Я снимаю с себя любую ответственность за последствия;
2. Желательно использование утилиты на установленной и настроенной системе ( когда установлены все программы и службы, меньше вероятность, что одной из них срочно понадобится записать значение в один из защищаемых ключей);
nmar.cmd -ключ [опция]
Ключи:
-help - показывает короткую справку на английском языке;
-ms - (minimal settings) Рекомендуемый режим использования утилиты:
1. Отключает автозапуск (автовоспроизведение) на всех дисках кроме CD\DVD;
2. Устанавливает обновления KB967715(KB950582), KB971029 если они нужны;
3. Изменяет значения параметров NoDriveTypeAutorun=223, HonorAutoRunSetting=1 в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
-full - Более полный режим: выполняет все действия ключа –ms, плюс очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;
-nomore – Т.н. параноидальный режим (не рекомендуется на компьютерах использующих групповую политику):
1. Принудительно устанавливает обновления KB967715(KB950582), KB971029;
2. Изменяет значения параметров NoDriveTypeAutorun=223, HonorAutoRunSetting=1, *.* = "", @ = @SYS: DoesIsAutorunKaput в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
3. очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;
4. Отключает службу Определение оборудования оболочки (ShellHWDetection);
5. Закрывает ветки реестра указанные в п.2 на запись;
-kb - Принудительно устанавливает обновления KB967715(KB950582), KB971029.
-p - защитить диск(Создать защищенную папку Autorun.inf) с которого запущен скрипт;
-pd [x:] - защитить диск x: (Создать защищенную папку Autorun.inf);
-pall - защитить диск(Создать защищенную папку Autorun.inf) на всех доступных дисках;
-unlockall – открыть доступ на уровне разрешений ко всем ранее заблокированным объектам – файлам, ключам реестра;
Может использоваться для разблокировки этих объектов заблокированных вирусами. Рекомендуется в случае
ошибок или невозможности изменить параметры реестра, доступ к файлам. Если нет заранее сохраненных файлов настроек с разрешениями для объектов – применяются настройки разрешений по умолчанию – полный доступ Администраторов и Системе.
-do [опция] – выполняет действие заданное опцией, список опций ниже;
-l [опция] - выполняет блокировку доступа к объекту заданному опцией, список опций ниже;
-un [опция] - выполняет разблокировку доступа к объекту заданному опцией, список опций ниже;
Опции ключа [-do] :
reg1 - изменяет значение параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
NoDriveTypeAutorun=223;
или если было указанно другое значение NoDriveTypeAutorun=[значение] , если не указанно
применяется 223 – значение по умолчанию. Значения можно задавать как в десятичной так и
шестнадцатеричной системах счисления;
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
HonorAutoRunSetting=1;
reg2 - изменяет значение параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
*.* = "";
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
@ = @SYS: DoesIsAutorunKaput;
srvoff – Останавливает и отключает службу ShellHWDetection ;
srvon– Запускает ShellHWDetection ;
mountp - очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей, информация содержащаяся в ветке сохраняется в REG- файл в папке nmar_backup для возможности восстановления.
Опции ключа [-l] :
reg1 - закрывает доступ к параметру реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
reg2 - закрывает доступ к параметрам реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
usbadd – запрещает установку новых USB устройств хранения (уже установленные будут работать);
usbuse - запрещает использование всех USB устройств хранения;
usbwrite - запрещает запись на USB устройства хранения данных. Чтение с устройств доступно;
mountp - закрывает доступ к параметру реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;
Опции ключа [-un] :
reg1 - открывает доступ и устанавливает значение ОС по умолчанию для параметра реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
reg2 - открывает доступ и устанавливает значение ОС по умолчанию для параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
usbadd - разрешает установку новых USB устройств хранения ;
usbuse - разрешает использование всех USB устройств хранения;
usbwrite - разрешает запись на USB устройства хранения данных;
mountp открывает доступ к параметру реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;
Блокировка- разблокировка доступа к объектам осуществляется через установку разрешений с помощью утилиты subinacl от Microsoft. Текущие разрешения объекта перед изменениями сохраняются в папку nmar_backup для возможности восстановления.
Файлы именуются названием ключа программы + дата+ время+имя компьютера. Для восстановления информации эти файлы надо переписать в одну папку со скриптом и переименовать, удалив часть имени справа от подчеркивания (включая подчеркивание). Пример: mountp_20091129_150201_comp13.log -> mountp.log. Только в этом случае сохраненная информация о разрешениях объектов будет использоваться, если программа не находит такого файла для какого- либо объекта – она применяет разрешения по умолчанию: полный доступ группе Администраторы и группе Система.
При блокировке доступа задается разрешение группе Все на чтение. Остальные группы удаляются.
Применение ключа –unlockall без файлов с информацией о разрешениях объектов приведет к заданию у всех объектов
на которые воздействует скрипт разрешений по умолчанию (по умолчанию для скрипта, а не для ОС). Поэтому применяйте этот ключ перед другими только в случае необходимости разблокировки объектов.
Для корректной работы ключа –l usbadd необходимо предварительно подготовить компьютер – удалить все ненужные USB устройства (а также их тома)из консоли оснастки Диспетчер оборудования, предварительно включив режим Показать скрытые устройства в меню Вид.
Для корректной работы ключей –l usbadd, –l usbuse, –un usbadd, –un usbuse рекомендуется перезагрузить компьютер после их применения.
Для корректной работы ключа –l usbwrite необходимо отключить все USB устройства хранения данных от компьютера.
Авторские права
(с) 2009-2010 volk1234 – Скрипт NoMoreAutorun
(с) 2009-2010 Drongo – GUI оболочка NoMoreAutorun
(с) 2009 amel – секция скрипта для скачивания обновлений и обработки ключей
(с) 2010 crashtuak – тихий режим командной строки в GUI
(с) Microsoft – утилита subinACL.exe
(с) http://curl.haxx.se – утилита curl.exe
Данный скрипт может распространятся в некоммерческих целях абсолютно свободно.