[Pili]

Цитата Enforcer2K:

У меня все прекрасно работает. А все остальные могут продолжать борьбу с ветряными мельницами »

Отличная позиция. Рад что у вас все работает. Остальные, я надеюсь, научаться сами и продолжат помогать другим сделать настройки системы более безопасными.

[Enforcer2K]

Цитата VitRom:

"с помощью gpedit.msc" (даже на Хомке). »

Бугага )) И чем хомка отличается от Про? Учим матчасть и не пудрим людЯм мосх. Все там настраивается. А gpedit - это консоль, которая позволяет внести изменения в систему. Если нужен патч, включающий установку всех обнов от мелкософта + включение политики для хомки - за батл Блэк Лэйбл сделаю. Но имхо если юзер пришел сюда (на этот форум), то он уже не дебил, и сам сможет настроить свой комп.

Цитата Pili:

Остальные, я надеюсь, научаться сами и продолжат помогать другим сделать настройки системы более безопасными. »

Не думаю, что отключение автозапуска через gpedit является более сложным процессом, чем то, что описано в шапке

Цитата Pili:

озвратить такие параметры как NoDriveTypeAutoRun в состояние включенного автозапуска »

Как, интересно, если его нет в системе? Если руткит в системе, то он и антивирус снесет к чертям, найдет способ.


Собственно, как отключить автозапуск:

Цитата:

Открыть редактор групповых политик (выполнить -> gpedit.msc), далее «политика Локальный компьютер» -> «Конфигурация компьютера» - «Административные шаблоны» - «система» и справа пункт «Отключить автозапуск»; открыть свойства этого пункта и поставить «Включен». А в менюшке «Отключить автозапуск» выбрать «на всех дисководах». Либо: 1) Пуск -> выполнить -> regedit 2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3) Создать новый раздел 4) Переименовать созданный раздел в Explorer 5) В этом разделе создать ключ NoDriveTypeAutoRun Допустимые значения ключа: 0x1 - отключить автозапуск на приводах неизвестных типов 0x4 - отключить автозапуск сьемных устройств 0x8 - отключить автозапуск НЕсьемных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков. Значения могут комбинироваться суммированием их числовых значений. Значения по умолчанию: 0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков) 0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков) Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

Само обновление, позволяющее использовать изложенный выше способ, можно загрузить здесь: http://support.microsoft.com/kb/967715 (раздел "Предварительные условия для отключения функций автоматического запуска").

[Pili]

Цитата Enforcer2K:

Учим матчасть и не пудрим людЯм мосх »

Ещё такое высказывание и бан.
Насчет групповой политики в WinXP Home и чем отличается от Pro - в поиск по форуму, вопрос неоднократно поднимался, см. с учетом ОПК 3.18

Цитата Enforcer2K:

Не думаю, что отключение автозапуска через gpedit является более сложным процессом, чем то, что описано в шапке »

Это ваше мнение, попробуйте порекомендовать gpedit обращающимся в разделе лечения (хотя... с вашей позицией "У меня все прекрасно работает. А все остальные могут...").
Тем более готовый reg файл в шапке из архива содержит доп. возможности, см.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Цитата Enforcer2K:

Как, интересно, если его нет в системе? »

Если интересно, посмотрите логи в разделе лечения, в системах там много всего бывает.

Цитата Enforcer2K:

Если руткит в системе »

Руткиты не занимаются правкой реестра, обычно они скрывают тело зловреда и могут помешать работе антивируса.

[Enforcer2K]

Цитата Pili:

Ещё такое высказывание и бан. »

Очень страшно.

Цитата Pili:

Насчет групповой политики в WinXP Home и чем отличается от Pro - в поиск по форуму, вопрос неоднократно поднимался, см. с учетом ОПК 3.18 »

Могу рассказать по секрету - ничем! Парой строчек в реестре. Элементарно трансформируется в Про. Как - не скажу (см. ОПК 3.18) ))

Цитата Pili:

Если интересно, посмотрите логи в разделе лечения, в системах там много всего бывает. »

Мне не интересно. У меня своих логов хватает, с рабочих компов. Правда, теперь это уже в прошлом.

Цитата Pili:

Руткиты не занимаются правкой реестра, обычно они скрывают тело зловреда и могут помешать работе антивируса. »

Хмм... Считайте, что можно банить, поскольку:

Цитата Pili:

Ещё такое высказывание и бан. »

)) Руткит скрывает свое присутствие, а заниматься он может чем угодно: блокировать антивирус, вносить изменения в систему, шпионить, форматировать хард, шкворчать дисководом... Даже матом ругаться. Но, видимо, для модераторов "матчасть" - это какое-то ругательство, а не то, что надо учить.

ЗЫ: Учите народ борьбе с заразой и дальше. И логи их читайте. Которых меньше после такого "учения" явно не станет. ))

ЗЗЫ: Вот, нашел по руткитам, может кому интересно будет: http://www.viruslist.com/ru/analysis?pubid=204007621

[Pili]

Цитата Enforcer2K:

Считайте, что можно банить »

Ну вы уже потихоньку, но начали исправляться от албанского )
По руткитам я вам тоже ссылки на статьи привести, больше на английском, на русском есть книга Олега Зайцева "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита", рекомендую. Кроме теории есть ещё и практика (ЛК, VI, здесь и на др. форумах), например популярный сейчас gaopdxserv.sys или tdssserv.sys скрывает модули dll, который (заметьте, не сам руткит) блокирует обращение к сайтам, производят редирект, меняют настройки DNS, руткитов, которые сами исправляют параметры автозапуска ещё не встречал, этим должны заниматься другие модули, которые может скрывать руткит.

[VitRom]

Pili, возможно, я просто проглядел установку прав во Flash Disinfector. Насколько жёстко они забираются? А то ведь даже если "пользователь (и с правами администратора) не сможет просто так удалить папку", есть шанс, что он сможет её переименовать. Как я понимаю, Autostop просто нацелен на "обычные флешки", которые на 99% FAT16/32.

Цитата Enforcer2K:

gpedit.msc может запустить даже ребенок »

В аттаче результат запуска gpedit.msc, взятой с XP Pro SP3 VL, на XP Home SP3 OEM.

Цитата:

Парой строчек в реестре. Элементарно трансформируется в Про.

Этому "открытию" в обед сто лет. Только вот на "живой" системе для этого нужна или альт. загрузка, или заюзать NTSwitch. Последний вариант меняет SID машины, а это не всем приемлемо (не говоря уж о том, что теряется лиц. чистота).

Цитата:

И чем хомка отличается от Про? Все там настраивается

Отсутствием. В. Стандартной. Поставке. Некоторых. Файлов. (ЧСВ выкл и см. аттач ещё раз).

Цитата:

если юзер пришел сюда (на этот форум), то он уже не дебил, и сам сможет настроить свой комп.

Угу. Только настройка настройке рознь. Ключевая фраза -- "стандартные (штатные) средства". Иногда приходится ограничиваться только ими. Иногда так бывает. Даже ФГМ не должен помешать это понять.

[Enforcer2K]

Цитата VitRom:

В аттаче результат запуска gpedit.msc, взятой с XP Pro SP3 VL, на XP Home SP3 OEM. »

Там помимо самой оснастки еще несколько файлов нужны. Для Home проще всего через реестр изменить параметр и не мучаться.

[VitRom]

Само собой, нужны! Я просто показал результат действий юзера, который "уже не дебил, и сам сможет настроить свой комп", но ещё не сисадмин, да и не собирается им становится.

Вот мы и возвращаемся "к нашим баранам" -- да, действительно, "проблемы уже нет, Майкрософт всё исправила". Но если копнуть поглубже, начнут один за одним находится случаи, требующие доп. телодвижений -- "через реестр изменить параметр", доп. файлики скопировать, и т.д. и т.п. При которых, в свою очередь, также возникнет ряд случаев... и т.д. Плюс к тому случаи, когда съёмный носитель вынужденно используется на "неизвестной территории" -- на чужих машинах -- где, конечно же, Билли так и не приезжал и установку апдейта и доп. действия не проконтроллировал. Плюс к тому...

По сравнению со всем этим обсуждаемые здесь решения намного юзабельнее.

[Enforcer2K]

Цитата VitRom:

"через реестр изменить параметр", доп. файлики скопировать, и т.д. и т.п. »

А в шапке предлагается что-то другое? ))

Дело в том, что при подключении "защищенной" описанным в шапке способом флэшки к зараженному компу, вероятность сноса защиты с каждым днем растет в геометрической прогрессии. Здесь же человек на 100% обезопасит СЕБЯ, и ему, по большому счету, уже будет все равно, что там ему на переноску заскочит!

[romall]

действительно, по работе обходишь в день порой по 10 клиентов совершенно тебе не знакомых, и как результат полна флеха всякой х-йни заразной. да ладно бы просто меняла авторан, так ведь частенько и программы на флехе тоже заражает. и если это случилось на первых клиентах - сушите вёсла господа , пипец просто - едем домой или офис для забора софта заново на флешку.

Реальных выхода из положения на мой взгляд 2

1. 1 аппаратно отключать запись на флеху вот этот пост
   
   Цитата:

   А результат таков: На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа. На всех 5 есть несколько незадействованных ног. У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE. На всех 5 эта нога среди незадействованных. Ну или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется.

2. 2 я так думаю есть программы для ограничения доступа к разделам.
   создать на флешке 2 раздела.
   первый раздел размером равным размеру данной программки.
   все остальное второй раздел.
   т.е. на первом разделе не будет места для создания autorun.ini файла и записи теле вируса. Только одна программка открытия второго раздела на необходимый доступ (чтение/запись)