Enforcer2K, этого вроде как не достаточно.
3. заражает другой компьютер, на котором отключен автозапуск по методике выше (т.е. применен noautorun.reg и на дисках есть папки autorun.inf от утилиты Flash Drive Disinfector. »
Да я видел любопытный вирус - на флешке появлялся файл teen_movie.exe, который никак себя не скрывал.
Надеялся, что иконка кассеты и слово movie введет пользователя в заблуждение.

этого вроде как не достаточно »
Данное обновление позволяет полностью отключить обработку файла autorun.inf => не будет ни контекстного меню, ни автозапуска по двойному клику. Только если юзер руками запустит вирус с флэшки, но это уже клиника. =)))

Panda Security выпустила новый продукт Panda USB Vaccine, представляющий собой бесплатную утилиту безопасности, созданную для блокировки вредоносных программ, распространяющихся через зараженные съемные носители: «флэшки», CD/DVD, MP3-плееры и пр.

Количество вредоносных программ постоянно растет. В большинстве случаев они, как, например, опасный червь Conficker, распространяются через переносные устройства и драйверы: карты памяти «флэшки», MP3-плееры, цифровые камеры и пр. При этом чаще всего используется следующая технология:

Операционная система Windows использует файл автоматического запуска Autorun.inf на этих устройствах для получения информации о тех действиях, которые необходимо применить при соединении этих устройств с компьютером. Данный файл, который находится в корневой папке устройства, определяет программу, которая позволяет автоматически запустить часть хранящейся на устройстве информации. Эта функция успешно используется кибер-преступниками для распространения вредоносных программ: модифицируя файл Autorun.inf соответствующими командами, вредоносные программы, которые хранятся на данном устройстве, могут, например, автоматически запускаться при соединении данного устройства с компьютером. В результате этого происходит мгновенное заражение компьютера.

Чтобы предотвратить подобные механизмы распространения угроз, департамент исследований компании Panda Security разработал бесплатный продукт Panda USB Vaccine, который предлагает двойную превентивную защиту: позволяет пользователям отключать функцию автоматического запуска на компьютерах, так же как на драйверах USB и прочих устройствах.

Педро Бустаманте, консультант по исследованиям Panda Security: “Это очень полезный инструмент, так как не существует простого способа отключения функции автоматического запуска autorun в Windows. Этот продукт прост в использовании и предлагает высокий уровень защиты от заражений через переносные устройства”.

Загрузить новинку можно по ссылке http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine

Источник (http://www.cybersecurity.ru/crypto/66481.html)

Чуть подробнее на англ. яз. Panda USB and AutoRun Vaccine (http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx), там же можно загрузить утилиту.
Имхо, утилита - почти аналог Flash Disininfector

Тут читать вообще умеют? Все, проблемы больше нет!!!

Действительно, тут читать умеют? Идет общая дискуссия на тему методики защиты от autorun...
По проблемам с вирусами - в раздел http://forum.oszone.net/forum-87.html

Pili, какой авторан? Нет больше авторана, все. Майкрософт окончательно решила эту проблему.

Ещё одна бесплатная программа для контроля авторана Autorun Guard (http://autorunguard.com/ru/).

Нет больше авторана, все. Майкрософт окончательно решила эту проблему » ...И Билли лично прошёлся по всем компам с Виндой (особенно по неподключенным к Сети) и тщательно проконтролировал установку заплатки и настроил соотв. политики "с помощью gpedit.msc" (даже на Хомке). Алилуйя! :lol:
[hr]
Дальнейшее развитие идеи Flash Disinfector и подобных -- скрипт Autostop (http://mechanicuss.livejournal.com/195192.html).

Отличия от FD / особенности :
1. не чистит "популярных" на момент рождения FD (давно уже) червяков и соотв. не даёт фолсов с некоторыми антивирями из-за наличия червячных фрагментов
2. обрабатывает только диск, с которого запущен
3. после сработки самокопируется в созданную папку (AUTORUN.INF)
4. сделана какая-никакая индикация того, что "нашу любимую папку" кто-то "трогал"
5. в каталоге AUTORUN.INF делает подкаталог LPT3, а уже в нём -- файл ".." :)

Майкрософт окончательно решила эту проблему. »
Угу, MS "окончательно решает" многие проблемы от патча к патчу :) Информация, по ссылке на MS была известна очень давно, такие рекомендации приводились и ранее и на technet и здесь на oszon.net и таких рекомендаций полно в интернете, дополнительные рекомендации от p2u Борьба с автозапуском новыми методами (http://forum.kaspersky.com/index.php?showtopic=64046&view=findpost&p=585899) и ещё в прошлой редакции книги Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/). И не надо думать, что у всех компьютеры в домене, все могут сами редактировать реестр и создавать групповые политики, также MS выпустил утилиту TweakUI (Powertools for Windows) (http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe), в ней тоже можно отключить My Computer - Autoplay - Drives
Вся беда в том, что автозапуск по умолчанию в системе включен и статистика из раздела "Лечение систем от вредоносных программ" неутешительна, почти у всех, судя по первым логам, автозапуск включен. Более того некоторые зловреды (червь по сетке или троян из интернета) возвратить такие параметры как NoDriveTypeAutoRun в состояние включенного автозапуска, поэтому и требуются дополнительные меры, например такие как в рекомендациях p2u и применение утилит (более того их посредством можно защитить съемные носители от utorun.inf, что не достигается правкой реестра)

VitRom, Flash Disinfector дополнительно, кроме установки атрибутов, убирает права у пользователя на папку autorun.inf, соответственно пользователь (и с правами администратора) не сможет просто так удалить папку без возвращения себе прав, в скрипте Autostop я такого функционала не увидел )

Pili, gpedit.msc может запустить даже ребенок. Конечно, если ему сказать, как это сделать. И домены тут совсем не при чем.

ЗЫ: У меня все прекрасно работает. А все остальные могут продолжать борьбу с ветряными мельницами. =)

У меня все прекрасно работает. А все остальные могут продолжать борьбу с ветряными мельницами »
Отличная позиция. Рад что у вас все работает. Остальные, я надеюсь, научаться сами и продолжат помогать другим сделать настройки системы более безопасными.

"с помощью gpedit.msc" (даже на Хомке). »
Бугага =))) И чем хомка отличается от Про? Учим матчасть и не пудрим людЯм мосх. Все там настраивается. А gpedit - это консоль, которая позволяет внести изменения в систему. Если нужен патч, включающий установку всех обнов от мелкософта + включение политики для хомки - за батл Блэк Лэйбл сделаю. Но имхо если юзер пришел сюда (на этот форум), то он уже не дебил, и сам сможет настроить свой комп.

Остальные, я надеюсь, научаться сами и продолжат помогать другим сделать настройки системы более безопасными. »
Не думаю, что отключение автозапуска через gpedit является более сложным процессом, чем то, что описано в шапке =)

озвратить такие параметры как NoDriveTypeAutoRun в состояние включенного автозапуска »
Как, интересно, если его нет в системе? Если руткит в системе, то он и антивирус снесет к чертям, найдет способ.


Собственно, как отключить автозапуск:

Открыть редактор групповых политик (выполнить -> gpedit.msc), далее «политика Локальный компьютер» -> «Конфигурация компьютера» - «Административные шаблоны» - «система» и справа пункт «Отключить автозапуск»; открыть свойства этого пункта и поставить «Включен». А в менюшке «Отключить автозапуск» выбрать «на всех дисководах».
Либо:
1) Пуск -> выполнить -> regedit
2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3) Создать новый раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать ключ NoDriveTypeAutoRun

Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)
Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

Само обновление, позволяющее использовать изложенный выше способ, можно загрузить здесь: http://support.microsoft.com/kb/967715 (раздел "Предварительные условия для отключения функций автоматического запуска").

Учим матчасть и не пудрим людЯм мосх »
Ещё такое высказывание и бан.
Насчет групповой политики в WinXP Home и чем отличается от Pro - в поиск по форуму, вопрос неоднократно поднимался, см. с учетом ОПК 3.18
Не думаю, что отключение автозапуска через gpedit является более сложным процессом, чем то, что описано в шапке »
Это ваше мнение, попробуйте порекомендовать gpedit обращающимся в разделе лечения (хотя... с вашей позицией "У меня все прекрасно работает. А все остальные могут...").
Тем более готовый reg файл в шапке из архива содержит доп. возможности, см.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Как, интересно, если его нет в системе? »
Если интересно, посмотрите логи в разделе лечения, в системах там много всего бывает.
Если руткит в системе »
Руткиты не занимаются правкой реестра, обычно они скрывают тело зловреда и могут помешать работе антивируса.

Ещё такое высказывание и бан. »
Очень страшно.
Насчет групповой политики в WinXP Home и чем отличается от Pro - в поиск по форуму, вопрос неоднократно поднимался, см. с учетом ОПК 3.18 »
Могу рассказать по секрету - ничем! Парой строчек в реестре. Элементарно трансформируется в Про. Как - не скажу (см. ОПК 3.18) =)))
Если интересно, посмотрите логи в разделе лечения, в системах там много всего бывает. »
Мне не интересно. У меня своих логов хватает, с рабочих компов. Правда, теперь это уже в прошлом.
Руткиты не занимаются правкой реестра, обычно они скрывают тело зловреда и могут помешать работе антивируса. »
Хмм... Считайте, что можно банить, поскольку:
Ещё такое высказывание и бан. »
=))) Руткит скрывает свое присутствие, а заниматься он может чем угодно: блокировать антивирус, вносить изменения в систему, шпионить, форматировать хард, шкворчать дисководом... Даже матом ругаться. Но, видимо, для модераторов "матчасть" - это какое-то ругательство, а не то, что надо учить.

ЗЫ: Учите народ борьбе с заразой и дальше. И логи их читайте. Которых меньше после такого "учения" явно не станет. =)))

ЗЗЫ: Вот, нашел по руткитам, может кому интересно будет: http://www.viruslist.com/ru/analysis?pubid=204007621

Считайте, что можно банить »
Ну вы уже потихоньку, но начали исправляться от албанского )
По руткитам я вам тоже ссылки на статьи привести, больше на английском, на русском есть книга Олега Зайцева "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита" (http://www.z-oleg.com/secur/news/news1156.php), рекомендую. Кроме теории есть ещё и практика (ЛК, VI, здесь и на др. форумах), например популярный сейчас gaopdxserv.sys или tdssserv.sys скрывает модули dll, который (заметьте, не сам руткит) блокирует обращение к сайтам, производят редирект, меняют настройки DNS, руткитов, которые сами исправляют параметры автозапуска ещё не встречал, этим должны заниматься другие модули, которые может скрывать руткит.

Pili, возможно, я просто проглядел установку прав во Flash Disinfector. Насколько жёстко они забираются? А то ведь даже если "пользователь (и с правами администратора) не сможет просто так удалить папку", есть шанс, что он сможет её переименовать. Как я понимаю, Autostop просто нацелен на "обычные флешки", которые на 99% FAT16/32.

gpedit.msc может запустить даже ребенок » В аттаче результат запуска gpedit.msc, взятой с XP Pro SP3 VL, на XP Home SP3 OEM.
Парой строчек в реестре. Элементарно трансформируется в Про. Этому "открытию" в обед сто лет. Только вот на "живой" системе для этого нужна или альт. загрузка, или заюзать NTSwitch. Последний вариант меняет SID машины, а это не всем приемлемо (не говоря уж о том, что теряется лиц. чистота).
И чем хомка отличается от Про? Все там настраивается Отсутствием. В. Стандартной. Поставке. Некоторых. Файлов. (ЧСВ выкл и см. аттач ещё раз).
если юзер пришел сюда (на этот форум), то он уже не дебил, и сам сможет настроить свой комп. Угу. Только настройка настройке рознь. Ключевая фраза -- "стандартные (штатные) средства". Иногда приходится ограничиваться только ими. Иногда так бывает. Даже ФГМ не должен помешать это понять.

В аттаче результат запуска gpedit.msc, взятой с XP Pro SP3 VL, на XP Home SP3 OEM. »
Там помимо самой оснастки еще несколько файлов нужны. Для Home проще всего через реестр изменить параметр и не мучаться.

Само собой, нужны! Я просто показал результат действий юзера, который "уже не дебил, и сам сможет настроить свой комп", но ещё не сисадмин, да и не собирается им становится.

Вот мы и возвращаемся "к нашим баранам" -- да, действительно, "проблемы уже нет, Майкрософт всё исправила". Но если копнуть поглубже, начнут один за одним находится случаи, требующие доп. телодвижений -- "через реестр изменить параметр", доп. файлики скопировать, и т.д. и т.п. При которых, в свою очередь, также возникнет ряд случаев... и т.д. Плюс к тому случаи, когда съёмный носитель вынужденно используется на "неизвестной территории" -- на чужих машинах -- где, конечно же, Билли так и не приезжал и установку апдейта и доп. действия не проконтроллировал. Плюс к тому...

По сравнению со всем этим обсуждаемые здесь решения намного юзабельнее.

"через реестр изменить параметр", доп. файлики скопировать, и т.д. и т.п. »
А в шапке предлагается что-то другое? =)))

Дело в том, что при подключении "защищенной" описанным в шапке способом флэшки к зараженному компу, вероятность сноса защиты с каждым днем растет в геометрической прогрессии. Здесь же человек на 100% обезопасит СЕБЯ, и ему, по большому счету, уже будет все равно, что там ему на переноску заскочит!

действительно, по работе обходишь в день порой по 10 клиентов совершенно тебе не знакомых, и как результат полна флеха всякой х-йни заразной. да ладно бы просто меняла авторан, так ведь частенько и программы на флехе тоже заражает. и если это случилось на первых клиентах - сушите вёсла господа :) , пипец просто - едем домой или офис для забора софта заново на флешку.

Реальных выхода из положения на мой взгляд 2



1 аппаратно отключать запись на флеху :up вот этот пост (http://forum.oszone.net/post-961109-64.html)
А результат таков:
На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа.
На всех 5 есть несколько незадействованных ног.
У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE.
На всех 5 эта нога среди незадействованных.

Ну или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется.

2 я так думаю есть программы для ограничения доступа к разделам.
создать на флешке 2 раздела.
первый раздел размером равным размеру данной программки.
все остальное второй раздел.
т.е. на первом разделе не будет места для создания autorun.ini файла и записи теле вируса. Только одна программка открытия второго раздела на необходимый доступ (чтение/запись)