[ShaddyR]

Цитата archiv@rius_31:

Во время автозапуска запускается скрипт, открывающий корневую папку, запускающий лекарство и, в случае необходимости, автоматически гасящий автозапуск в настройках винды. »

Чудесно. Моделируем ситуацию, описанную DmB89 парой постов выше:
1) вставляем флешку с новомодной защитой.
2)

Цитата DmB89:

Рассмотрим для примера "работу" вируса OnLineGames (терминология avast!). При загрузке системы запускается файл amva.exe, который постоянно мониторит систему на предмет подключившихся дисков. Как только произошло подключение - тут же в корень диска записывается .bat или .com файл плюс autorun.inf! »

3) после этого происходит.. точно-точно, запуск того, что указано в авторан.инф.. только что замененном вирусом.

archiv@rius_31: я что-то пропустил? Заодно - зачем в NTFS переводить-то? Мало того, что сказал Enforcer2K? Или мы потом по модному права на авторан.инф предполагаем настроить? так это мы уже проходили, сам на этом попался... полистай с начала темы.

[WampiR007]

ребят давайте жить дружно... есть выход - ща продаются флешки для мобил (microSD), так вот - с ними в комплекте идут переходники на SD с переключателем lock<->unlock... к такой флешке докупаем usb картридер - по внешним габаритам он не на много больше флешки - чуть поболее моего корсара.
цена комлекта из 4-х ГБ флешки + картридера - около 500-600 рублей, я себе взял на 2ГБ и не жалуюсь - набор дров, антитварь, да пара мелких софтин
ps. по скорости не уступает простой флешке
pps. я живу в Кемерово

[andrew71]

Жить дружно давайте всегда, тем более, что этот раздел благодаря усилиям Pili - один из самых результативных.

Но не вдаваясь в подробности, всё-же отмечу:
Самый простой способ обезопаситься от autorun.inf это создание одноимённого каталога в корне Flash диска
с атрибутами Read only, Hidden, System.

О чём НЕОДНОКРАТНО писалось в различных разделах форума.

В данном случае если Вы и цепляете вирус на флешку, autorun.inf на неё не записывается, и в любой ситуации, автозапуск не происходит!

Наличие на флешке остального вирусного хлама можно почистить даже без антивируса, имея невысокую квалификацию.

[Enforcer2K]

Цитата andrew71:

это создание одноимённого каталога в корне Flash диска »

andrew71, что помешает вирусу удалить эту папку? Ответ: ни-че-го!

[Pili]

Тема перенесена из лечения, т.к. логов в ней не ожидается.

По теме читаем
Как отключить автозапуск со съемных носителей

Повторю ещё раз

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

или распакуйте файл AutorunDisabled.zip и примените reg файл

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Цитата Enforcer2K:

что помешает вирусу удалить эту папку? Ответ: ни-че-го! »

Если примените Flash_Disinfector - то отстутствие прав поользователя (включая администратора) на папку + наличие файла в папке lpt3.this folder was created by flash_disinfector, теоретически зловред может вернуть права, для этого ему надо работать с правами system, но таких зловредов пока ещё в природе не встречал.

[Enforcer2K]

Pili, проверю в понедельник на работе. Дома семерка стоит просто. Но я более чем уверен, что обойду эту защиту.

[andrew71]

Enforcer2K, согласен!

Но!
Назовите хоть один вирус, снимающий атрибуты с папок, я пока, таких не знаю. Появятся, будут другие пути решения.
В данной ситуации может лучше просто действовать? Как Вы считаете?

[Enforcer2K]

Цитата andrew71:

В данной ситуации может лучше просто действовать? Как Вы считаете? »

Да, тут согласен на все 100% Правда, как я уже ранее писал, SEP 11 умеет блокировать запуск программ со съемных носителей на уровне драйвера, и эту защиту уже ни один троян или руткит не обойдет.

[Pili]

Цитата Enforcer2K:

Но я более чем уверен, что обойду эту защиту. »

Естественно обойдете, там для админа и обходить нечего - стандартно возвращаются права на папку для себя, снимаются атрибуты, затем папку можно удалить (FAR и без снятия атрибутов удалит или del с опциями)
Перед запуском Flash Drive Disinfector не забудьте отключить антивирус.
Если под "обходом защиты" подразумеваете написание зловреда, который
1. удаляет autorun.inf от утилиты;
2. записывает свой файл autorun.inf и тело зловреда на флешку;
3. заражает другой компьютер, на котором отключен автозапуск по методике выше (т.е. применен noautorun.reg и на дисках есть папки autorun.inf от утилиты Flash Drive Disinfector.
То, имхо, очень много вирусописателей к вам обратятся в ПМ за технологией применяемой в пункте 3 )

[Enforcer2K]

Pili, andrew71, похоже, Мелкомягкие наконец стали умнеть! http://support.microsoft.com/kb/967715

Так что теперь достаточно рубануть автозапуск через групповые политики. Аллилуйа, братья! ))