|
NoMoreAutorun - утилита для отключения автозапуска.
Вложений: 1
Любите ли вы вирусы проникающие на компьютеры на флэшках, так как их люблю я?
В общем решил я себе сделать подспорье в работе, небольшой скриптик, который отключает все возможные способы Автозапуска. Который, как известно, является наиглавнейшим после интернета способом распространения- выживания вирусов. Проведя небольшое исследование я выяснил – для полноценной защиты необходимо отключить автозапуск со всех устройств кроме CD\DVD (с помощью параметра NoDriveTypeAutoRun ) и установить 2 обновления – KB967715 и KB971029. Обратите внимание KB967715, KB953252 и KB950582 абсолютно идентичны по функционалу и нет нужды устанавливать их на систему одновременно. Единственное – для Windows Vista подойдет только KB950582 – этот момент скрипт обрабатывает. Также надо защитить все сменные носители от записи на них файлов autorun.inf – для предотвращения запуска вирусов с флэшки на компьютерах с включенным автозапуском. Скачать: rapidshare Ссылка oszone (см. вложение)  Использование Применим на системах Windows XP(RUS/ENG), Windows 2003 Server (RUS/ENG), Windows Vista (RUS/ENG); В зависимости от использованного при запуске ключа утилита выполняет различные действия по отключению автозапуска. GUI оболочка для скрипта. Для облегчения использования скрипта начинающими пользователями участником конференции OsZone.net Drongo была сделана графическая оболочка (GUI). Функционал GUI аналогичен работе скрипта, он формирует командную строку в зависимости от вашего выбора и запускает модифицированный вариант скрипта. Опции GUI: См. встроенну справку... Примечание: В связи с тем, что блокируется доступ к некоторым веткам реестра, что не есть хорошо и возможны различные ошибки, 1. Я снимаю с себя любую ответственность за последствия; 2. Желательно использование утилиты на установленной и настроенной системе ( когда установлены все программы и службы, меньше вероятность, что одной из них срочно понадобится записать значение в один из защищаемых ключей); Авторские права (с) 2009-2010 volk1234 – Скрипт NoMoreAutorun (с) 2009-2010 Drongo – GUI оболочка NoMoreAutorun (с) 2009 amel – секция скрипта для скачивания обновлений и обработки ключей (с) 2010 crashtuak – тихий режим командной строки в GUI (с) Microsoft – утилита subinACL.exe (с) http://curl.haxx.se – утилита curl.exe Данный скрипт может распространятся в некоммерческих целях абсолютно свободно. |
Цитата:
|
Службы прямого отношения к автозапуску не имеют, однако если зловред посстоянно висит в памяти и использует службу восстановления для восстановления файлов, то просто удаление Autorun.inf не поможет - он после перезагрузки может поменять настройки автозапуска снова. Вообщето службы я останавливал до появления в скрипте regperm.exe который просто блокирует ветки на запись.
Автоматическое обновление останавливается на случай его работы, дабы не нарушить ход обновления с заменой системных файлов и реестра. Подразумевается, что это временные действия, после перезапуска системы службы запустить вручную... Ссылки на загрузку есть и в базе знаний, но за ваши спасибо подниму в шапку... |
Цитата:
P.S. А автозапуск с дисков (CD), я бы все-таки оставил. |
okshef
В данной теме просто предлогается мой скрипт, который я применяю на работе. Если кому пригодится - я рад. Вы можете заменить в батнике одно значение сами- это просто. Я же буду вирусы давить на рабочих компьютерах по полной... |
volk1234, согласен, но для домашних-то... Вот дочка сегодня: "Папа, хочу, чтобы диски запускались..."
|
Предлагаю аналог VirusVaccine - скрипт для борьбы с autorun-вирусами :)
|
okshef
дома вообще нет большого смысла использовать скрипты- автоматизация действий имеет смысл когда компьютеров >3, иначе время затраченное на написание скрипта будет больше времени действий руками... Ветки реестра известны, их значение тоже, regedit и вперед...запретить через разрешения всем изминения... Не надо запрещать автозапуск с сидиромов, не запрещайте. Или же в скрипте закомментировать строчку Код:
Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f >nulЕще пример, у меня есть на обслуживании организация, где запрещено использование флэшек в любом виде, на уровне драйверов, политик, физически выковырены планки... Дома же вы не будете делать такого? mozgabyte Назначения у скриптов разные. Мой скрипт узко ориентирован (даже отключение служб может уберу) Не вижу смысла использовать VirusVaccine для борьбы с вирусами, а если файл вируса будет называтся amvo3.pif(а не amvo.exe как написанно в скрипте ? Предложенный вами скрипт не удалит его. Для удаления зловредных файлов существуют антивирусы, которые делают это намного надежнее и качественнее, чем скрипты. Для профилактического удаления возможностей автозапуска - я сделал скрипт в шапке. Вот. |
убрал из скрипта:
Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f >nul Regperm.exe /k "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom" /D:%UG%:WCD /E в дисках не работает автозапуск подскажите что ещё надо убрать/заменить, так как необходимо отключить автозапуск на всём кроме как CD/DVD. |
volk1234, отключение автообновления и восстановления никуда не годится. Во втором случае юзер теряет еще и точки восстановления...
Цитата:
|
KiDs89
Еще изменить параметр Код:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ExplorerИзвините - в связи с анулированием всех подписок на темы - не видел новых сообщений. Согласен не очень удачный скрипт был - я его делал на скорую руку - для себя. С мыслью - ну, я то знаю, какие службы где отключены. Сейчас, после завершения исследования в этой области, готовлю новый вариант - скрипт "монстр" с ключами запуска и разными степенями блокировки автозапуска, начиная от "рекомендованого" MS - то есть 2 обновления (967715, 971029) и NoDriveTypeAutoRun =223 (остается автовоспроизведение с CDROM) и заканчивая брутальным и тотальным отключением всего, что относится к теме автозапуска на компьютере (теперь вместо regperm я использую subinacl для блокирования\разблокирования файлов и веток реестра на изменения). Думаю уже скоро закончу. Но пока я могу только удалить скрипт или посоветовать им не пользоваться - если использование упомянутых служб критично. |
NoMoreAutorun v.9.11.29b
Выложил новый полностью переработанный скрипт NoMoreAutorun- теперь поддерживающий ключи командной строки. Посторонние службы больше не затрагиваются. Функционал в шапке, поверьте он достойный. Разрабатывалось как средство системного администрирования разнородной среды компьютеров. Пока бета версия. ура я добил этот скрипт !!! |
volk1234, отлично, спасибо! Почему бы не обернуть скрипт в GUI - на том же AutoIt? Ключи запуска будут основной для опций, которые может выбрать пользователь. И повесим на софт-портал, как тут.
|
Ну во-первых надо довести до ума, то, что я громко назвал короткая анлийская справка.
Во-вторых, я не очень дружу с GUI. Может скооперироватся с кем из хелперов - iskander-k вроде делал GUI для консольной программы... |
Цитата:
Цитата:
|
volk1234,
Цитата:
|
И ещё вопрос.
Цитата:
Код:
-do reg1 reg2 |
Drongo
Цитата:
т.к. блокируется ветка MountPoints2 и у -full не получится ее удалить и заново создать, а получится только backup рег-файл с разрешениями, где всем разрешено только чтение.... Цитата:
Последовательность команд не может быть обработана за один раз - не хотел усложнять скрипт. надо писать так: Код:
nmar.cmd -do reg1Всем - особенно владельцам Висты советую запускать сначало cmd с правами Администратора естественно, а потом и нее уже выполнять последовательность комманд, так информативнее и Висте только так получится выполнить часть коммманд... |
Цитата:
Опции ключа [-do] : reg1 - изменяет значение параметров реестра: 1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer; NoDriveTypeAutorun=223; 2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer; HonorAutoRunSetting=1; reg2 - изменяет значение параметров реестра: 1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files; *.* = ""; 2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf; @ = @SYS: DoesIsAutorunKaput; srvoff – Останавливает и отключает службу ShellHWDetection ; srvon– Запускает ShellHWDetection ; mountp - очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей, информация содержащаяся в ветке сохраняется в REG- файл в папке nmar_backup для возможности восстановления. Запускается что-либо одно или в несколько подходов. Так? Код:
nmar.cmd -do reg1 |
Так, либо
Код:
nmar.cmd -fullПовторюсь - всетаки главная цель - использование со скриптами - а там не сильно критично одной командой или несколькими это сделанно. Жду предложений по улучшению функционала... |
Цитата:
Цитата:
Цитата:
|
Цитата:
В своем предыдущем посте я был неточен. Цитата:
Вообще, а что вам мешает доработать набор своим бат-файлом, примерно такого содержания: Код:
@Echo off |
Есть еще идея добавить в ключ -unlockall
возврат в изначальное состояние - HKLM\SYSTEM\CurrentControlSet\Services\Cdrom (эту ветку я не срипт не трогает ибо не нужна и отвечает за другое, однако изменение параметра AutoRun в этой ветке другими программами или пользователем повлияет на отображение значков CD\DVD |
Цитата:
|
Это прямые ссылки на все 3 ОС на двух языках
Надо их положить в одну папку со скриптом не меняя названий, например WindowsXP-KB967715-x86-RUS.exe |
Пока удалил ссылки на бету - выложу исправленую RC1 скоро.
|
NoMoreAutorun v.9.12 b124 RC1
исправлены ошибки * не сохранялась резервная копия ветки Mountpoints2 * неправильно работал ключ reg2- вместо правильной ветки блокировалась \ разблокировалась ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows * не работал ключ -l usbadd не блокировалась установка новых USB устройств хранения данных над GUI версией пока работаем вместе с Drongo |
Хех, не смог удержатся - добавил до кучи все функции которые хотел:
NoMoreAutorun v.9.12 b126 RC2 + Значение NoDriveTypeAutorun теперь можно задавать самостоятельно из командной строки Код:
nmar -do reg1 0xAAпо умолчанию NoDriveTypeAutorun=223. Значения можно задавать как в десятичной так и шеснадцатеричной системах счисления. + добавлены ключи -l usbwrite, -un usbwrite закрывающие\открывающие запись на USB устройства хранения данных. Чтение с устройств доступно. использован ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001 * Группа Все теперь удаляется из ACE при выполнении команды -un |
выполнял и новый ( -ms) и старый скрипт, следуя Вашему совету изменял код для автозапуска с CD/DVD, но к сожалению он не выполняется....
возможно ли не отключать его? (хотя ведь вносятся строчки в реестр которые не дают Win распознать файлы autorun.inf) |
Не совсем понял - что не выполгняется? Нельзяли поподробнее - что делалось и что не получилось. Какая ОС ?
|
Цитата:
|
Если Вы про Ваш давнишний вопрос -
то восстановите разрешения для ветки Код:
HKLM\SYSTEM\CurrentControlSet\Services\CdromИзлишне говорить, что делать это надо из под УЗ с правами Администратора. Затем установите значение по умолчанию Код:
HKLM\SYSTEM\CurrentControlSet\Services\Cdrom |
Извините, что так поздно отвечаю.
Последовательность действий: 1 Распокавал архив 2 Скинул в папку обновления 3 Из неё запустил: nmar.cmd -ms (из тотал командера) Всё выполнилось, обносления установились, но автозапуск на CD\DVD не работает. У Вас точно работает? |
KiDs89,
если я вас правильно понял то неработает автозапуск дисков со встроеным меню и пр было такое, долго искал нашёл виновника в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files] у меня там был параметр "*.*"="" снёс эту запись, заработал автоплей |
KiDs89
2 поста назад я уже указал вероятную причину и как ее исправить. ispolin Параметр ms не изменяет ветку которую вы приводите. Тут речь идет о последствиях воздействия прошлой версии скрипта. |
Volk1234
после установки ОС WinXP SP3 я использовал только последний Ваш скрипт c с параметром -MS, прошу прощения что ввёл в заблуждение постом #29. Автозапуск с CD/DVD отключён... |
Эмм... возможно автозапуск отключен, а автовоспроизведение работает. Вставьте диск с дистрибутивом Windows и откройте правой кнопкой контекстное меню. Какие пункты есть в меню ? Открывается ли стандартное окно с вариантами установки ОС?
Выложите (или пришлите в личку) результат выполнения следующего скрипта (надо скопировать в блокнот, назвать например 1.cmd , выполнить и найти на диске с: результат -- файл LogforDog.txt) - |
Выполнил скрипт на работе, работает как надо.. лог выложу вечером
Выполнил скрипт на работе, работает как надо.. лог выложу вечером. Возможно ли возникновение проблемы в зависимости от установленого ПО (например: KiS 2009) ? |
Вложений: 1
Вот лог, правда некоторые строки я изменил на ***
|
KiDs89
Вот этот параметр - NoDriveAutoRun= E0FFFF03 не должен быть таким по умолчанию. Он запрещает автозапуск на дисках по битовой маске. По умолчанию он должен быть равен 0x0 (т.е. автозапуск разрешен со всех дисков). Подробнее про этот параметр можно почитать здесь. Выполните в командной строке: Код:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveAutoRun /t REG_DWORD /d 0x0 /fЕсли результата нет, повторно выполните предыдущий скрипт- и посмотрите лог сами - изменилось ли значение NoDriveAutoRun. |
Выполннил вашу предыдущую рекомендацию, результат:
Код:
NoDriveAutoRun REG_BINARY E0FFFF03ПС: автозапуск для меня не критичен, просто для интереса ... |
Так,
1. Надо удалить файл LogforDog.txt, т.к. данные добавляются в старый файл и возможно вы посмотрели старый результат; 2. После выполнения команды Код:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveAutoRun /t REG_DWORD /d 0x0 /f3. Ну и скорее всего - это проделки Антивируса Касперского - или измените настройки антивируса или удалите его и проверьте изменяется ли без него значение NoDriveAutoRun на 0; Вообще, я подумываю внести изменение параметров NoDriveAutoRun и Services\Cdrom AutoRun на дефолтные в ключ -unlockall |
Поправил предыдущие свои два поста - моя ошибка. Тип параметра реестра NoDriveAutoRun - REG_DWORD, а не REG_BINARY конечно...
|
После длительного тестирования, наконец, представляем Вам полноценную утилиту:
NoMoreAutorun v.9.12 b1230 * Переработан механизм обработки ключей, теперь в командной строке можно указывать сразу нужное количество ключей, а не по одному. В связи с этим переработаны названия ключей. * Объединил два ключа в один –pd x:. Если диск указан защищается диск, если нет защищается текущий. + Ведение лога. + Добавлены ключи -doreg3 –lreg3 –unreg3 + Отдельная версия скрипта для GUI Огромное спасибо за помощь автору GUI Drongo!!!!!!! Тестируйте, меня до 11.01.10 не будет, скорее всего... |
volk1234, Drongo, а можно сделать скрипт чуть более монстрообразным и добавить в него локальную закачку обновлений с указанного места ...
|
zeroua, По честному? Я с сетевыми компонентами работать не умею. :( Чтобы непосредственно с GUI добавлять локальную закачку. Для скрипта, мне кажется нужно будет вводить дополнительный ключ.
Точнее всего ответит volk1234 |
Drongo, volk1234, в любом случае спасибо за нужный и удобный скрипт ...
З.Ы. если будет время, можно попробовать сделать что-то подобное для закрытие портов :) я бы поучаствовал :) в меру своих возможностей ... |
Цитата:
TCPView от sysinternals netstat -b в командной строке это попроще, cports от nirsoft.net это покруче. А постоянно закрывать порты можно встроенным брэндмауэром. Развейте тему, может я неправильно понял. |
volk1234, я про такого рода идеи http://forum.oszone.net/thread-80746.html
Цитата:
Цитата:
З.Ы. я тоже знаю про Код:
netstat -a -n | find "LISTENING"И уже без офтопа, как поправить скрипт чтобы обновления не качались с интернета, а качались с указанного места где они уже находятся... |
Цитата:
|
Цитата:
|
Скрипт работает в 2х режимах:
1. Обновления скачаны и лежат в его папке, тогда он ничего не качает. 2. Обновлений в его папке нет - тогда он качает их с сайта МС. |
volk1234, эти моменты я упустил, спасибо за подробный ответ...
|
Ну тогда до кучи еще один момент:
3. Для упрощения GUI по умолчанию считается, что пользователь согласился на скачивание обновлений. Хотя для приличия мы сделали запрос при выборе принудительной установке обновлений, поставьте галочку и увидите что будет если ответите "НЕТ" :) Там правда должно запрашиватся разрешение и в режимах установки, но в Полном режиме Drongo упустил этот момент... |
Цитата:
|
Надо добавить подтверждение и для режима - Полный
- Убрать номер версии из шапки окна - заменить надпись в окне о программе build от 31 декабря.... на Версия 9.12 b1230 |
volk1234, Насколько я помню, команда -kb по умолчанию не входит в макрос -full. А значит и галочка по умолчанию не установлена в пункте Принудительная установка обновлений.... Подразумевается что если пользователь собственноручно выберет этот пункт, тогда появится предупреждение.
Если в противном случае, галочка Принудительная установка обновлений... по умолчанию выставляется для всех режимов и тогда необходимость в использовании этой галки в GUI сомнительна. Какой режим не выбери, kb нужно устанавливать всё равно. Все замечания исправлю. :yes: |
Похоже я всех запутал.
Параметр -kb означает следующее - установить обновления в любом случае, даже если они установленны . Параметры -ms, -full означает следующее - (кроме прочего)установить обновления если они требуются, но не установленны . А блок загрузки из Интернета используется во всех параметрах независимо - и в -kb и в -ms и -full и -nomore. Разница только в том, что -ms не ставит обновления если не надо. Но зато если надо и при выборе -ms скрипт скачает обновления если их нет. Параметр -nomore отличается от -ms, -full использованием принудительной установки в любом случае. Вообще в справке консольной версии все наглядно: Код:
-ms - (minimal settings) recommended mode. Disable autorun(autoplay) on all disks except CD\DVD: |
А я с авторанами борюсь следующим образом:
1. Отлавливаю появление в системе нового устройства. 2. Определяю тип устройства. 3. Если устройство флешка, то определяю букву диска. 4. Проверяю, есть ли там файл Autorun.*, если есть то удаляю. Недостаток данного метода в том, что если система заражена, то она попытается востановить Autorn.* и мой метод уже не спасёт. P.S если нужно, могу выложить исходник на C и исполняемый файл. |
Рекомендую тем, кому это требуется, применить мои настройки реестра:
Код:
Windows Registry Editor Version 5.00 |
Цитата:
Утилита в шапке делает тоже и даже чуть больше. |
Утилита обновлена:
Текущая версия 10.4.17 Не обращайте внимание на то что дата апрельская, долго не было времени протестировать. Из нового, - тихий режим консоли (т.е. не висит окошко cmd) - из за некоторых ошибок в GUI не отрабатывали несколько ключей. - доработана справка. Предупреждение: Если вы выбрали команды, которые загружают обновления из интернета, дождитесь окошка удачного завершения программы. В зависимости от скорости вашего подключения это может занять меньше или больше времени! |
volk1234, подскажите, а как аддон данную утилиту можно использовать ?
|
А зачем?
Это ж одноразовый инструмент как правило - закрыл автозапуск на компьютере и все. |
volk1234, скажите, пожалуйста, есть ли смысл применять Вашу утилиту на Windows 7 SP1 HP для того, чтобы предотвратить запуск вируса по двойному щелчку на диске или открытием диска из контекстового меню? Или автозапуск дисков (кроме привода) двойным щелчком и с помощью контекстового меню в Windows 7 невозможен?
|
В Windows 7 проблема автозапуска устранена, главное регулярно обновлять саму Windows и конечно же антивирус.
Потому как постоянно появляются новые зловреды, которые например даже запускать не надо, а просто открыть папку с ними... |
| Время: 09:53. |
Время: 09:53.
© OSzone.net 2001-