DmB89,
в том и дело вирус копируется на флешку и заменяет собой твой созданный autorun.inf и сам становится system в NTFS
единственно пока решение включенный антивирус перед подключением флешки
так как обычно вирус который у меня появляется если сразу его перехватить все нормально а если он зайдет то вырубает каспера сам(

aset,
имеется в виду не атрибут файла "системный", а права доступа к файлу!
В контекстном меню файла - "Свойства", в свойствах вкладка "Безопасность". Чтобы эта вкладка отображалась, в "Свойствах папки" на вкладке "Вид" должен быть снят флажок "Использовать простой общий доступ к файлам (рекомендуется)".

То, что приводил я в качестве ключей реестра (http://forum.oszone.net/post-753723-17.html), а также предложение Tomset, о запрете AutoPlay через локальную (или доменную) политику безопасности не решат тот факт, что флешка с вирусом типа Autorun.inf остается потенциально опасной даже при наличии антивируса. Имею горький опыт :)

Но поверьте, заверения DmB89, что Запуск вируса, или трояна, происходит не при вставке заражённого USB-flash диска несколько неправильны:
1) Автозапуск в XP разделен на AutoPlay и Autorun. Флеш-вирусы уже давно научились (при плохой предварительной антивирусной защите) вписывать запуск на себя в ветке Mount2, отвечающей за AutoPlay. А так как по дефаулту он включен, отсюда и итог заражения. Приведенные мной ключи реестра отрезают им (вирусам) эту возможность.
2) Бесполезно ставить запреты на изменения Autorun.inf только для System, так как обычно и в основном вирусы работают либо от этой учетной записи либо от имени текущего пользователя с его правами
3) Отключение службы Определение оборудования оболочки отключает глубже функции автозапуска у флешек, а именно отработку файла Autorun.inf.
Согласен полностью с DmB89, что это не лучший вариант для обычного пользователя (я сисадмин :)), что на чужом компьютере не побезобразничаеш. Но все рекомендации очень помогают на своем, родном компьютере или в своей сетке (домене если хотите). И метод отнюдь не радикален. Такова жизнь, что в угоду безопасности надо идти в ущерб некоторым нужным-ненужным функциям. Понятие радикальности метода улетучивается когда у тебя не 20 компов, а 400 и более как у меня в офисе. Поэтому режем на корню.
4) Открывайте съёмные диски через левую панель проводника - "Папки" или через Win-E - более чем разумно. Но объяснить это всем невозможно и это есть человеческий фактор.

Извиняюсь перед DmB89, за мою критику. И советую aset, выбрать для него самый оптимальный вариант.
Я свой выбрал. Это связка приведенных ключей реестра (собственно вся локальная политика XP и проводится через реестр)+отключение службы Определение оборудования оболочки + хороший антивирус с последними базами. Спастись от заражения флешки на чужом компьютере (где Вы не хозяин) врятли удаться, но свой от инфекции Вы убережете :)

Давайте еще представим что у нас получилось запретить вирусу изменять Autorun.inf, но ничто не мешает на зараженном компьютере ему заразить остальные и в отчасти испольяемые файлы типа Setup.exe или какой-нибудь хороший Autorun.exe используемый например для менюшек и очень часто..
Никто не гарантирует, что защищенный совсех сторон файл на флешке Autorun.inf не содержит команду на запуск этого меню.. а как следствие запуск вируса. В виду это логичнее убрать такую возможность в угоду безопасности.

Повторю схему:

Отключение AutoPlay (окно такого типа "Выберите чем хотите запустить файл..")
|
Отключение отработки файла Autorun.inf (лежит-не лежит в корне флешки)
|
Открытие приимущественно через левую панель проводника - "Папки" (Win-E)
и только под неустанной защитой Вашего антивируса с последними базами

Morpheya,
1) Автозапуск в XP разделен на AutoPlay и Autorun. Флеш-вирусы уже давно научились (при плохой предварительной антивирусной защите) вписывать запуск на себя в ветке Mount2, отвечающей за AutoPlay. А так как по дефаулту он включен, отсюда и итог заражения. Приведенные мной ключи реестра отрезают им (вирусам) эту возможность. »

у меня именно это каждый раз

Morpheya, здравая критика всегда приветствуется! :tomato2: Особенно, если при этом что-нибудь полезное и новое для себя почерпнёшь. :)
Пока мне всё-таки непонятно, каким образом может при вставке USB флэш-диска автоматически запуститься исполняемый файл? Я имею в виду без попытки открытия этого диска в проводнике.
Насчёт Autoplay - да... подзабыл я про него, поскольку систему ставлю сразу с твиками, и эта фича у меня отключена, но даже с ней - это всего лишь окошко, с предложением выбора действий на запуск установленных программ для открытия файлов с этой флэшки! Если я что-то упустил - поправьте...

Кстати, пост (http://forum.oszone.net/post-753981-18.html) Tomset - это копипаст с форума iXBT (http://forum.ixbt.com/topic.cgi?id=22:63213), поэтому пара ссылок битые. Привожу их полностью:
NoDriveAutoRun (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93506.mspx?mfr=true)
NoDriveTypeAutoRun (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/91525.mspx?mfr=true)

Мы, конечно, немного расширили тему, заданную вначале Akboozat, но я думаю, что не страшно, а наоборот - полезно. :)
Тема, имхо, должна рассматриваться в двух аспектах:
1. Защита компьютера (своего, или стороннего) от заражённой (или вероятно заражённой) флэшки.
2. Защита USB flash диска от заражённого (или вероятно заражённого) компьютера.
И желательно также не забывать про Windows XP Home Edition, которая не только не имеет редактора групповой политики, но и не позволяет отключить простой общий доступ к файлам.

Было бы очень интересно узнать про чей-либо практический опыт форматирования флэшки в NTFS. У меня вот никак не получилось это сделать... :(

DmB89, практический опыт форматирования флэшки в NTFS

1. Правой кнопкой мыши на флешке. Пункт "Свойства" - вкладка "Оборудование". Находим флешку и жмем внизу на кнопку "Свойства".

2. Выбираем вкладку "Политика" - выбираем пункт "Оптимизировать для выполнения" (из плюсов получем кэш и соответственно скорость передачи даных, из минусов - отключение флэшки исключительно через значок в трее, а не простым выдергиванием).
Этот пункт является главным условием для форматирования флешки в NTFS

3. Пуск - Выполнить - cmd - команда FORMAT буква_флешки_двоеточие /FS:NTFS - жмем ENTER

каким образом может при вставке USB флэш-диска автоматически запуститься исполняемый файл?

в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ насколько мне известно Windows хранит те настройки которые используются в AutoPlay, в том числе выбранными пользователем по умолчанию путем галочки, а также критерии запуска выбранной программы в зависимости от содержимого и буквы диска.

То есть при включенной функции AutoPlay (по умолчанию она включена) выполняются заданные в данной ветке параметры.
Это тоже самое что если бы пользователь сам щелкнул на заданный файлик в качестве действия по умолчанию.

Функцию AutoPlay отключить можно либо через политику, либо что более гибко, через реестр:
NoDriveTypeAutorun - по типу диска (жесткий диск, cd-rom, флешка)
и/или NoDriveAutorun - по букве диска

Отключив AutoPlay мы уже приходим к моменту когда заразиться можно только если щелкнуть на флешку (то есть обработка файлика AutoRun.inf).
Обойти можно нажав Win-E (или через кнопку Папки в Проводнике), но имхо проще запретив эту отработку..
Как выяснилось для флешки сделать это стандартными методами невозможно. Но формально возможно через удаление полностью ветки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ (что конечно очень радикально и не приветствуется, так как назад пути уже не будет :))

либо отключением службы Определение оборудования оболочки (что в принципе не сложно сделать через реестр и есть возможность обратного включения).

Я сомневаюсь в наличии 100% защиты от заражения Вашей флешки на чужом компьютере, где меры защиты не были сделаны.
Но для Вашего компьютера эта флешка вреда не представит. Вирус будет лежать мертвым грузом, не причиняя никакого вреда. И здесь уже важно наличие антивируса, для удаления этого безобразия, чтобы защитить уже Ваши или чужие чистые компьютеры без мер защиты, так как в благоприятной среде он (вирус) снова может стать активен, что повлечет их заражение и Вашей плохой репутации :)

Новое поколение выбирает безопасный секс :)

То есть при включенной функции AutoPlay (по умолчанию она включена) выполняются заданные в данной ветке параметры.
Это тоже самое что если бы пользователь сам щелкнул на заданный файлик в качестве действия по умолчанию. »
Таким образом, вероятность автоматического запуска файла существует только тогда, когда компьютер уже заражён. Но, как говорится, поздно боржом пить, когда почки отказали...
А вот за разъяснение механизма работы ветки ...\MountPoints2\... - большое спасибо! Я весь сайт Microsoft перешерстил, но ничего не нашёл толкового. Да и в сети негусто...

Я свою флэшку обезопасил от autorun.inf очень простым способом: создал папку с названием AUTORUN.INF
Еще ни один вирус не смог создать файл с таким же названием. А переименовать / удалить эту папку вирусы пока не догадываются, причем многие вылетают с ошибкой! :-)
Правда, все равно могут создаться файлы типа autorun.exe, autorun.vbs и т.д, но без inf-файла они не выполнятся.

gabasov, забавный способ! Надо это дело оттестировать! К сожалению, несмотря на наличие тестовых вирусов, мой комп наотрез отказался заражаться, уж и не знаю, почему. :) Вылетает в BSOD. Завтра на работе проверю, вот там рассадник... :biggrin:

Кое-что по теме с других форумов:

Все вирусы (которые я видел), распространяющиеся через автозапуск, ловятся на старый досовский трюк: достаточно создать в корне папку autorun.inf и вирус не может создать файл с тем же именем

а зловреду не сильно и требуется создавать на диске файл autorun.inf, ему лишь бы запуститься в флешки и прописаться в систему (в автозагрузку напр.)
можно ассоциирование с autorun.inf убрать по этой идее http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

ну ещё доп-но попробовать поставить запрет на запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Я про флешку, чтобы не заразилась. Если не будет на флешке файла autorun.inf то и вирус не запуститься когда вставим флешку в другой комп. Но рано или поздно про этот трюк будет известно автору (авторам) вирусов

Наверно это все же временное решение. Думаю вирусописателям не представит труда учесть это в последующих модификациях вирусов. Но пока самое то!

Кстати, переустановил систему и уже на чистой системе проверил вероятность автоматического запуска файла существует только тогда, когда компьютер уже заражён.

Скорее всего так.. Вот только я вставил флешку со своим AutoRun.inf.

[autorun]
label=Помни, это только цветочки!
icon=icq.ico
action=Запустить заразу..
open=setup.exe
shellexecute=setup.exe
shell=auto
shell\auto=&Автозапуск.. (зараза)
shell\auto\command=setup.exe
shell\open=&Открыть.. (зараза)
shell\open\command=setup.exe
shell\open\Default=1
shell\explore=Пр&оводник.. (зараза)
shell\explore\command=setup.exe
shell\find=&Поиск.. (зараза)
shell\find\command=setup.exe
shell\install=&Установка.. (зараза)
shell\install\command=setup.exe

Действием по умолчанию в самом вверху сейчас стоит "Запустить заразу..", а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." и думаю ни о чем не подозревающий пользователь, все-таки сам щелкнет на ОК, тем самым.. Ну хотя может быть это только моя паранойя :)

Протестировал два метода защиты USB флэш диска так сказать, в полевых условиях (то бишь на работе). Один комп нашёлся с вирусом, второй заразил сам. (для теста, потом откатил всё назад, естественно :) )
1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко!
2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! Конечно, не исключено, что когда-нибудь вирусописатели найдут пути обхода этого метода, но пока его можно рекомендовать к применению для защиты USB-flash дисков, как часть комплекса мер защиты.

а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." »
Пожалуй, это всё же выходит за рамки темы, поскольку здесь применяются не столько технические, сколько социальные методы, типа: "А открой вот этот интересный файлик!" Вот к примеру, в Windows XP по умолчанию отключен показ расширения файлов, так многие вирусы иконку своего *.exe-файла делают как у папок проводника, да ещё и название генерируют похожее на уже имеющиеся файлы! Ну какой же пользователь не полезет посмотреть - "А что это у меня за новая папка Music2 !?" Но технических или программных средств защиты от этого нет... как там у Шиллера - "Против глупости сами боги........"

Вот-вот как часть комплекса.
А вот в такой ситуации как быть: подоткнул флэху к ноуту что бы скопировать на ноут инсталяху NOD`a , приношу флэху на свой комп и вот результат:
=================================================
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
08.05.2008 12:51:39 AMON файл J:\xo8wr9.exe Win32/PSW.OnLineGames.MUU троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.
08.05.2008 12:51:04 AMON файл J:\Autorun.inf INF/Autorun вирус удален NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\WINDOWS\System32\svchost.exe.
08.05.2008 12:46:07 AMON файл J:\fppg1.exe Win32/PSW.OnLineGames.NLI троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE.
=================================================
что на флэхе посоздавать папки xo8wr9.exe ; fppg1.exe и ещё всякой хрени ?

народ, а как на чсет таких средств защиты?

1) С Флэшками Transcend в комплекте идет такая программуля называется Ustorage, правда флешку под неё нужно форматировать изначально, после установки в слот она копирует клиенскую часть во временную директорию и запускает её вводишь пароль открывается флэш.

2) NTI Ninja - программа, которая позволяет создавать защищенные разделы на любых flash-носителях. Для этого требуется предварительно выбрать размер конкретной области, указав пароль доступа. После чего он будет отформатирован с использованием специальных алгоритмов, которые обеспечат надежную защиту от несанкционированного доступа.

* Создание публичных и защищенных разделов на носителе
* Парольная защита для доступа к данным
* Пользовательская настройка размеров раздела
* Поддержка файловых систем FAT, FAT32 и NTFS с возможностью быстрого форматирования
* Автоматическое определение и запрос пароля при вставке защищенного носителя
* Установка специальной подсказки на случай утраты пароля

1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко! »
а с этого места - поподробнее.. это каким образом обходят-то?

а с этого места - поподробнее.. »
Да, я не совсем подробно расписал. Имелось в виду создание файла autorun.inf и в свойствах, на вкладке "Безопасность" изменить владельца на себя, и закрыть доступ для всех, в том числе и для системы. Собственно, это то, о чём говорилось в восьмом посте (http://forum.oszone.net/thread-99144.html#post727216), поэтому я и не стал расписывать подробности...
При вставке этой флэшки в заражённый компьютер вирус успешно перезаписал этот файл своим! Вот это я и имел в виду, говоря "обходят". При этом я в качестве эксперимента ставил права системе только на чтение, чтобы обрабатывался файл, потом вовсе убрал все галки - результат один.
А вот в такой ситуации как быть »
Об этом и был предыдущий пост (http://forum.oszone.net/thread-99144.html#post757861)! Если вирус не сможет создать файл Autorun.inf, то при открытии USB диска через "Мой компьютер" никакие "xo8wr9.exe ; fppg1.exe и ещё всякая хрень" не запустятся! Ну, а уж если у человека есть привычка вручную, из любопытства, запускать всякие неизвестные файлы - тут уж вряд ли что поможет! :) Перечитайте внимательно всю ветку ещё раз!

2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! »
это конечно хорошо, но вот Antu_autorun после создания в корне диска Autorun.inf начинает говорить что компютер заражен, что для меня конечно неприемлимо

Baw17, ты имеешь в виду вот это?
http://i038.radikal.ru/0805/d1/025afeeff1d7.gif
Вряд ли anti_autorun (http://www.bombina.com/s3_anti_autorun.htm) можно рассматривать как серьёзное средство защиты. Он реагирует на любые файлы autorun.*. К тому же, это средство защиты компьютера, а создание на флэшке папки с именем Autorun.inf - это средство защиты USBдиска!
Для чего тебе нужна вообще флэшка? Разве ты втыкаешь её только в свой системник? Вот об этом подумай. Лучшей защиты флэшки пока не предложено.

Мне кажется для защиты компьютера следует не париться с реестрами и доменными политиками, а только отключить определение оборудования оболочки. Я у себя в домене эту службу отключил и вуаля, уже ни одного вируса за большое количество времени. У меня Вуз там каждый день студенты шарятся с флэшками по компам, а толку то, вирусы не проходят в систему даже если антивирус их не видит, они остаются мирно лежать на флэшке в скрытом виде пользователь даже не обнаружит что у него на флэшке вирус и системе это не повредить. Да и не понимаю, чем этот метод опасен для пользователя, что он чтоли в моё компьютер зайти не сможет и два клика по флэшке сделать? Тем более даже если 2 клика сделаешь вирус не проникнет в систему. Метод 100%, а если ещё и антивирус хороший и с последними базами, то флэшка пользователя будет автоматически очищена от вирусов. У меня лично drweb в автоматическом режиме работает, они довольно быстро сейчас на автораны реагируют, а что не находят сам отправляю в лабораторию, включают в базу. А вот средство от попадания вируса на флэшку, вижу выход лишь в флэшке с хардверной функцией защиты от записи. И отключении у пользователей по визиту определение оборудования оболочки и установке хорошего антивируса.