autorun
 

По работе приходится подсоедениять флеху к разным компам, в день 10-15 машин, в разных местах.
Проблема: задолбали черви и вирусы.
Вопрос: можно ли как нибудь запретить изменение autorun.inf, галочку тока для чтения не предлогать - не работат.
Для прикола скажу каспер находит в день 1 авторан + 5-6 вирей и червей, естественно авторан показвает на последний вирь.
Кто нибудь подскажите!

---

Решение
Прочтите статью базы знаний Отмена принудительного отключения автоматического запуска в реестре Windows и установите обновление, соответствующее вашей ОС. После установки обновления приведенный ниже REG-файл будет работать должным образом. См. также сообщение 106

Распакуйте файл AutorunDisabled.zip и примените reg файл
Или скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Подробнее - Борьба с автозапуском новыми методами

---

Другие решения

Утилита Flash Drive Disinfector.
Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Перед запуском Flash Drive Disinfector не забудьте временно отключить антивирус.

Решение от Panda
USB and AutoRun Vaccine - описание на русском

Akboozat, запаролить флешку программами от разработчика (пркатически у всех есть). Создать личную зону на весь объем.

Машины в разных оффисах, там не разрешат ставить свои проги, так что я там несмогу со своей флехай работать

а там и не надо ничего ставить. Все ПО будет на флешке.

Akboozat, при вставке флешку в компютер зажмите клавишу Shift, тем самым вы отмените Autorun
используйте также утилиту для удаления данного типа вирусов она назывваеться anti_autorun офф сайт

Baw17, IMHO смысла нажимать на клавишу Shift при подключении флэшки нет, т.к. при этом автозапуска по любому не происходит (в отличии от CD/DVD-дисков). Вирус указаный в autorun.inf скрытно запускается IMHO только при попытке открыть диск связанный с флэшкой с помощью двойного клика (и в некоторых случаях одинарного клика, например: на иконке диска в панели быстрого запуска).

З.Ы.: Сказаное мной относится к WinXP.

А можно ли сделать autorun.inf как системный файл. У меня на флехе autorun.inf лежит как указатель на ico файл, чтобы видеть флешку в моём компьтере.

Akboozat, попробуй сделать проще: отформатируй флешку с использованием файловой системы NTFS и поиграйся с правами данного файла - то бишь, закрой доступ на файл ВСЕМ, в т.ч. и системе.

Я пробовал по-разному решить этот вопрос. По моему единственное решение - постоянное обновление антивируса.
Т.к. даже если разными методами запрещать автозапуск с флешки в дальнейшем в любом случае надо будет открывать свою флешку через Мой компьютер.
А там уже прога из autorun'а всегда запускается - пробовал сам. Даж прописывал в авторане стандартный notepad - он запускался.
Дальше уже работа антивируса - обнаружит или нет.

Как вариант я отменил на своем компе автозапуск. Дальше смотрю флеш через FAR или TCommander - это уже неважно, лишь бы показывал скрытые файлы.
Если в корне есть авторан, тогда удаляю его и прогу которая в нем прописана. Все.

Tturik, так как раз и решаем эту проблему чтобы не париться как ты делаешь... :read:

Baw17, а мне лично не нравится этот anti_autorun. Сносит все на своем пути не разбираясь что написано в этом авторане... даже ссылку на иконку, и то сносит -

а ты используй правой кнопкой - открыть и тогда он не проникнет в систему, смысле червь я так делаю на новых компьютерах

незнаю незнаю, данная программа работает просто замечательно, особенно если нету Файлового менеджера, а показ скрытых файлов не помогает и вдобавок реестр еще и заблокирован

Baw17
Мне известен этот способ обхода автозапуска. Я лишь хотел подчеркнуть, что в отличие от CD-дисков, при подключении флэш-диска к компу не происходит автозапуска программ, указанных в файле autorun.inf, и по этому нет смысла в нажатии клавиши Shift

А вот это зря!!! Ой как зря!!!
Вот простой пример файла autorun.inf - попробуйте, и сразу всё поймёте! Для примера запускается блокнот, но вы же сами понимаете... :)
В таких случаях безопаснее, на мой взгляд, включить левую панель Проводника (Папки) и заходить через неё.

По сравнению с советом об правом клике, абсолютно согласен.

Вот тока я видел модификацию, которая сидя в памяти (в виде exe), на все диски в системе, копирут свой autorun. Вот тут флешку, уже ничто не спасет.

Но самое главное, по моему тут большинсство просто не поняли вопроса. Надо защитить флешку (раз исчез с них, переключатель - чтение\запись), что бы с таким подарком на ней, не притащить ее (не домой, дома то антивирь обновляеться), к другим людям, если у них нет актуальной защиты. Во всяком случае для меня, вот основная цель этого вопроса.

Я уже думал, старую флешку на 128MB взять, на ней есть перемычка. Сначала ее в "бой", а потом уж основные, без боязненно вставлять.

С защитой от записи? Тоже логично. И голову особенно морочить не надо.

Отключаем службу Определение оборудования оболочки и смотрим прикрепленный мной архивчик (там несколько ключиков реестра по отключению этого безобразия)

p/s: работаю за спасибо :)

Упраление автозапуском (Autorun) приводов (CD-ROM, Flash) в windows 2000/XP/2003
оригинал FAQ: http://forum.ixbt.com/topic.cgi?id=22:63213

Для всех вышеперечисленных версий кроме XP Home Edition:
пуск - выполнить - gpedit.msc - конфигурация компутера - административные шаблоны - Система - отключить автозапуск (выберите, где отключать). Далее примените новую политику командой gpupdate в консоли.

В Home оснастка управления групповыми политиками отсутствует,однако тот же эффект может быть достигнут ручной правкой реестра:
1) Пуск -> выполнить -> regedit
2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3) Создать новый раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать ключ NoDriveTypeAutoRun

Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)
Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

Ссылки по теме:
http://www.microsoft.com/resources/d...ntry/91525.asp
http://support.microsoft.com/default...en-us%3B895108


Также возможно отключение автозапуска диска, которому присвоена заранее известная буква:
Раздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Ключ: NoDriveAutoRun
Допустимые значения: 0x0–0x3FFFFFF
Значение представляет собой "битовую карту" дисков справа налево - крайний правый бит (в двоичном представлении) соответствует диску А, второй справа - B и так далее. Для отключения автозапуска бит должен быть установлен.

Значение по умолчанию: 0x0

Источник информации:
http://www.microsoft.com/resources/d...ntry/93506.asp

Изменения в реестре применяются после перезагрузки.

Также возможно использование способов, описанных в FAQ:
http://www.3dnews.ru/reviews/softwar...index04.htm#12
http://www.3dnews.ru/reviews/softwar.../index03.htm#5

и так какой способ наиболее оптимальнее?

Подытоживать пока рано. Думается, способы подходящие для сисадмина на предприятии, мало годятся для обычного пользователя, который пришёл с флэшкой к другу что-то скинуть... Ну не будете же вы править реестр в чужом компе, к тому же смысла в этом... но об этом ниже.
Сразу оговорюсь, что далее речь пойдёт именно об "обычном пользователе", хотя вряд ли можно применять этот термин к завсегдатаям форума oszone =)
Так вот, многие не обратили внимание на очевидные факты, а именно:
1. Как уже здесь писалось, исполняемые файлы с USB-flash не запускаются автоматически при вставке. Поэтому все советы, касающиеся отключения автозапуска дисков в данном случае бессмысленны!
2. Запуск вируса, или трояна, происходит не при вставке заражённого USB-flash диска, а при попытке его открытия! Перечитайте мой предыдущий пост, и проверьте работу дисков с указанным файлом autorun.inf ! Даже если у вас отключен автозапуск, всё равно при попытке открытия диска, - не важно, двойным кликом ЛКМ, или с помощью контекстного меню через ПКМ, - произойдёт запуск программы! Для предотвращения этого самая простая рекомендация - открывайте съёмные диски через левую панель проводника - "Папки"! И разумеется, показ скрытых и системных файлов должен быть включен, и рекомендация не запускать неизвестные файлы актуальна как никогда! Полагаться же целиком на антивирус, имхо, не стоит... И способ для радикалов - отключение службы "Определение оборудования оболочки". Это полностью отключает обработку файлов autorun.inf, а заодно и лишает некоторых возможностей, типа назначения значка флэшки (иконки), произвольного её наименования, и т.д.

Вышесказанное касается защиты своего компьютера от подозрительных флэшек. Что же касается защиты своей флэшки при её состыковке с подозрительным компьютером, тут тоже вариантов негусто. Да, жалко, что сейчас флэшку с переключателем защиты от записи днём с огнём не сыщешь, этот вариант не проходит по причине экзотичности.
Вариант защиты паролем... Не знаю как для других, но вот к моей Transcend T120 для чтения запароленных файлов потребуется утилита mFormat, и что же я должен делать? Таскать вторую флэшку с этой утилитой?! Тоже не вариант.
Что же остаётся? Опять только одно - форматировать в NTFS ! А созданному самолично файлу autorun.inf присваивать доступ пользователю SYSTEM "только для чтения", а остальных вообще удалить.
Добавлено: Способ не работает, смотри пост 33.

DmB89,
в том и дело вирус копируется на флешку и заменяет собой твой созданный autorun.inf и сам становится system в NTFS
единственно пока решение включенный антивирус перед подключением флешки
так как обычно вирус который у меня появляется если сразу его перехватить все нормально а если он зайдет то вырубает каспера сам(

aset,
имеется в виду не атрибут файла "системный", а права доступа к файлу!
В контекстном меню файла - "Свойства", в свойствах вкладка "Безопасность". Чтобы эта вкладка отображалась, в "Свойствах папки" на вкладке "Вид" должен быть снят флажок "Использовать простой общий доступ к файлам (рекомендуется)".

То, что приводил я в качестве ключей реестра, а также предложение Tomset, о запрете AutoPlay через локальную (или доменную) политику безопасности не решат тот факт, что флешка с вирусом типа Autorun.inf остается потенциально опасной даже при наличии антивируса. Имею горький опыт :)

Но поверьте, заверения DmB89, что несколько неправильны:
1) Автозапуск в XP разделен на AutoPlay и Autorun. Флеш-вирусы уже давно научились (при плохой предварительной антивирусной защите) вписывать запуск на себя в ветке Mount2, отвечающей за AutoPlay. А так как по дефаулту он включен, отсюда и итог заражения. Приведенные мной ключи реестра отрезают им (вирусам) эту возможность.
2) Бесполезно ставить запреты на изменения Autorun.inf только для System, так как обычно и в основном вирусы работают либо от этой учетной записи либо от имени текущего пользователя с его правами
3) Отключение службы Определение оборудования оболочки отключает глубже функции автозапуска у флешек, а именно отработку файла Autorun.inf.
Согласен полностью с DmB89, что это не лучший вариант для обычного пользователя (я сисадмин :)), что на чужом компьютере не побезобразничаеш. Но все рекомендации очень помогают на своем, родном компьютере или в своей сетке (домене если хотите). И метод отнюдь не радикален. Такова жизнь, что в угоду безопасности надо идти в ущерб некоторым нужным-ненужным функциям. Понятие радикальности метода улетучивается когда у тебя не 20 компов, а 400 и более как у меня в офисе. Поэтому режем на корню.
4) - более чем разумно. Но объяснить это всем невозможно и это есть человеческий фактор.

Извиняюсь перед DmB89, за мою критику. И советую aset, выбрать для него самый оптимальный вариант.
Я свой выбрал. Это связка приведенных ключей реестра (собственно вся локальная политика XP и проводится через реестр)+отключение службы Определение оборудования оболочки + хороший антивирус с последними базами. Спастись от заражения флешки на чужом компьютере (где Вы не хозяин) врятли удаться, но свой от инфекции Вы убережете :)

Давайте еще представим что у нас получилось запретить вирусу изменять Autorun.inf, но ничто не мешает на зараженном компьютере ему заразить остальные и в отчасти испольяемые файлы типа Setup.exe или какой-нибудь хороший Autorun.exe используемый например для менюшек и очень часто..
Никто не гарантирует, что защищенный совсех сторон файл на флешке Autorun.inf не содержит команду на запуск этого меню.. а как следствие запуск вируса. В виду это логичнее убрать такую возможность в угоду безопасности.

Повторю схему:

Отключение AutoPlay (окно такого типа "Выберите чем хотите запустить файл..")
|
Отключение отработки файла Autorun.inf (лежит-не лежит в корне флешки)
|
Открытие приимущественно через левую панель проводника - "Папки" (Win-E)
и только под неустанной защитой Вашего антивируса с последними базами

Morpheya,
у меня именно это каждый раз

Morpheya, здравая критика всегда приветствуется! :tomato2: Особенно, если при этом что-нибудь полезное и новое для себя почерпнёшь. :)
Пока мне всё-таки непонятно, каким образом может при вставке USB флэш-диска автоматически запуститься исполняемый файл? Я имею в виду без попытки открытия этого диска в проводнике.
Насчёт Autoplay - да... подзабыл я про него, поскольку систему ставлю сразу с твиками, и эта фича у меня отключена, но даже с ней - это всего лишь окошко, с предложением выбора действий на запуск установленных программ для открытия файлов с этой флэшки! Если я что-то упустил - поправьте...

Кстати, пост Tomset - это копипаст с форума iXBT, поэтому пара ссылок битые. Привожу их полностью:
NoDriveAutoRun
NoDriveTypeAutoRun

Мы, конечно, немного расширили тему, заданную вначале Akboozat, но я думаю, что не страшно, а наоборот - полезно. :)
Тема, имхо, должна рассматриваться в двух аспектах:
1. Защита компьютера (своего, или стороннего) от заражённой (или вероятно заражённой) флэшки.
2. Защита USB flash диска от заражённого (или вероятно заражённого) компьютера.
И желательно также не забывать про Windows XP Home Edition, которая не только не имеет редактора групповой политики, но и не позволяет отключить простой общий доступ к файлам.

Было бы очень интересно узнать про чей-либо практический опыт форматирования флэшки в NTFS. У меня вот никак не получилось это сделать... :(

DmB89, 1. Правой кнопкой мыши на флешке. Пункт "Свойства" - вкладка "Оборудование". Находим флешку и жмем внизу на кнопку "Свойства".

2. Выбираем вкладку "Политика" - выбираем пункт "Оптимизировать для выполнения" (из плюсов получем кэш и соответственно скорость передачи даных, из минусов - отключение флэшки исключительно через значок в трее, а не простым выдергиванием).
Этот пункт является главным условием для форматирования флешки в NTFS

3. Пуск - Выполнить - cmd - команда FORMAT буква_флешки_двоеточие /FS:NTFS - жмем ENTER

в ветке насколько мне известно Windows хранит те настройки которые используются в AutoPlay, в том числе выбранными пользователем по умолчанию путем галочки, а также критерии запуска выбранной программы в зависимости от содержимого и буквы диска.

То есть при включенной функции AutoPlay (по умолчанию она включена) выполняются заданные в данной ветке параметры.
Это тоже самое что если бы пользователь сам щелкнул на заданный файлик в качестве действия по умолчанию.

Функцию AutoPlay отключить можно либо через политику, либо что более гибко, через реестр:
- по типу диска (жесткий диск, cd-rom, флешка)
и/или - по букве диска

Отключив AutoPlay мы уже приходим к моменту когда заразиться можно только если щелкнуть на флешку (то есть обработка файлика AutoRun.inf).
Обойти можно нажав Win-E (или через кнопку Папки в Проводнике), но имхо проще запретив эту отработку..
Как выяснилось для флешки сделать это стандартными методами невозможно. Но формально возможно через удаление полностью ветки (что конечно очень радикально и не приветствуется, так как назад пути уже не будет :))

либо отключением службы Определение оборудования оболочки (что в принципе не сложно сделать через реестр и есть возможность обратного включения).

Я сомневаюсь в наличии 100% защиты от заражения Вашей флешки на чужом компьютере, где меры защиты не были сделаны.
Но для Вашего компьютера эта флешка вреда не представит. Вирус будет лежать мертвым грузом, не причиняя никакого вреда. И здесь уже важно наличие антивируса, для удаления этого безобразия, чтобы защитить уже Ваши или чужие чистые компьютеры без мер защиты, так как в благоприятной среде он (вирус) снова может стать активен, что повлечет их заражение и Вашей плохой репутации :)

Новое поколение выбирает безопасный секс :)

Таким образом, вероятность автоматического запуска файла существует только тогда, когда компьютер уже заражён. Но, как говорится, поздно боржом пить, когда почки отказали...
А вот за разъяснение механизма работы ветки ...\MountPoints2\... - большое спасибо! Я весь сайт Microsoft перешерстил, но ничего не нашёл толкового. Да и в сети негусто...

Я свою флэшку обезопасил от autorun.inf очень простым способом: создал папку с названием AUTORUN.INF
Еще ни один вирус не смог создать файл с таким же названием. А переименовать / удалить эту папку вирусы пока не догадываются, причем многие вылетают с ошибкой! :-)
Правда, все равно могут создаться файлы типа autorun.exe, autorun.vbs и т.д, но без inf-файла они не выполнятся.

gabasov, забавный способ! Надо это дело оттестировать! К сожалению, несмотря на наличие тестовых вирусов, мой комп наотрез отказался заражаться, уж и не знаю, почему. :) Вылетает в BSOD. Завтра на работе проверю, вот там рассадник... :biggrin:

Кое-что по теме с других форумов:

Наверно это все же временное решение. Думаю вирусописателям не представит труда учесть это в последующих модификациях вирусов. Но пока самое то!

Кстати, переустановил систему и уже на чистой системе проверил .

Скорее всего так.. Вот только я вставил флешку со своим AutoRun.inf.

Действием по умолчанию в самом вверху сейчас стоит "Запустить заразу..", а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." и думаю ни о чем не подозревающий пользователь, все-таки сам щелкнет на ОК, тем самым.. Ну хотя может быть это только моя паранойя :)

Протестировал два метода защиты USB флэш диска так сказать, в полевых условиях (то бишь на работе). Один комп нашёлся с вирусом, второй заразил сам. (для теста, потом откатил всё назад, естественно :) )
1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко!
2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! Конечно, не исключено, что когда-нибудь вирусописатели найдут пути обхода этого метода, но пока его можно рекомендовать к применению для защиты USB-flash дисков, как часть комплекса мер защиты.

Пожалуй, это всё же выходит за рамки темы, поскольку здесь применяются не столько технические, сколько социальные методы, типа: "А открой вот этот интересный файлик!" Вот к примеру, в Windows XP по умолчанию отключен показ расширения файлов, так многие вирусы иконку своего *.exe-файла делают как у папок проводника, да ещё и название генерируют похожее на уже имеющиеся файлы! Ну какой же пользователь не полезет посмотреть - "А что это у меня за новая папка Music2 !?" Но технических или программных средств защиты от этого нет... как там у Шиллера - "Против глупости сами боги........"

Вот-вот как часть комплекса.
А вот в такой ситуации как быть: подоткнул флэху к ноуту что бы скопировать на ноут инсталяху NOD`a , приношу флэху на свой комп и вот результат:
=================================================
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
08.05.2008 12:51:39 AMON файл J:\xo8wr9.exe Win32/PSW.OnLineGames.MUU троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.
08.05.2008 12:51:04 AMON файл J:\Autorun.inf INF/Autorun вирус удален NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\WINDOWS\System32\svchost.exe.
08.05.2008 12:46:07 AMON файл J:\fppg1.exe Win32/PSW.OnLineGames.NLI троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE.
=================================================
что на флэхе посоздавать папки xo8wr9.exe ; fppg1.exe и ещё всякой хрени ?

народ, а как на чсет таких средств защиты?

1) С Флэшками Transcend в комплекте идет такая программуля называется Ustorage, правда флешку под неё нужно форматировать изначально, после установки в слот она копирует клиенскую часть во временную директорию и запускает её вводишь пароль открывается флэш.

2) NTI Ninja - программа, которая позволяет создавать защищенные разделы на любых flash-носителях. Для этого требуется предварительно выбрать размер конкретной области, указав пароль доступа. После чего он будет отформатирован с использованием специальных алгоритмов, которые обеспечат надежную защиту от несанкционированного доступа.

* Создание публичных и защищенных разделов на носителе
* Парольная защита для доступа к данным
* Пользовательская настройка размеров раздела
* Поддержка файловых систем FAT, FAT32 и NTFS с возможностью быстрого форматирования
* Автоматическое определение и запрос пароля при вставке защищенного носителя
* Установка специальной подсказки на случай утраты пароля

а с этого места - поподробнее.. это каким образом обходят-то?

Да, я не совсем подробно расписал. Имелось в виду создание файла autorun.inf и в свойствах, на вкладке "Безопасность" изменить владельца на себя, и закрыть доступ для всех, в том числе и для системы. Собственно, это то, о чём говорилось в восьмом посте, поэтому я и не стал расписывать подробности...
При вставке этой флэшки в заражённый компьютер вирус успешно перезаписал этот файл своим! Вот это я и имел в виду, говоря "обходят". При этом я в качестве эксперимента ставил права системе только на чтение, чтобы обрабатывался файл, потом вовсе убрал все галки - результат один.
Об этом и был предыдущий пост! Если вирус не сможет создать файл Autorun.inf, то при открытии USB диска через "Мой компьютер" никакие "xo8wr9.exe ; fppg1.exe и ещё всякая хрень" не запустятся! Ну, а уж если у человека есть привычка вручную, из любопытства, запускать всякие неизвестные файлы - тут уж вряд ли что поможет! :) Перечитайте внимательно всю ветку ещё раз!

это конечно хорошо, но вот Antu_autorun после создания в корне диска Autorun.inf начинает говорить что компютер заражен, что для меня конечно неприемлимо

Baw17, ты имеешь в виду вот это?

Вряд ли anti_autorun можно рассматривать как серьёзное средство защиты. Он реагирует на любые файлы autorun.*. К тому же, это средство защиты компьютера, а создание на флэшке папки с именем Autorun.inf - это средство защиты USBдиска!
Для чего тебе нужна вообще флэшка? Разве ты втыкаешь её только в свой системник? Вот об этом подумай. Лучшей защиты флэшки пока не предложено.

Мне кажется для защиты компьютера следует не париться с реестрами и доменными политиками, а только отключить определение оборудования оболочки. Я у себя в домене эту службу отключил и вуаля, уже ни одного вируса за большое количество времени. У меня Вуз там каждый день студенты шарятся с флэшками по компам, а толку то, вирусы не проходят в систему даже если антивирус их не видит, они остаются мирно лежать на флэшке в скрытом виде пользователь даже не обнаружит что у него на флэшке вирус и системе это не повредить. Да и не понимаю, чем этот метод опасен для пользователя, что он чтоли в моё компьютер зайти не сможет и два клика по флэшке сделать? Тем более даже если 2 клика сделаешь вирус не проникнет в систему. Метод 100%, а если ещё и антивирус хороший и с последними базами, то флэшка пользователя будет автоматически очищена от вирусов. У меня лично drweb в автоматическом режиме работает, они довольно быстро сейчас на автораны реагируют, а что не находят сам отправляю в лабораторию, включают в базу. А вот средство от попадания вируса на флэшку, вижу выход лишь в флэшке с хардверной функцией защиты от записи. И отключении у пользователей по визиту определение оборудования оболочки и установке хорошего антивируса.

DmB89, к сожаленю, подтверждаю - метод с изменением прав доступа НЕ РАБОТАЕТ. Почему - ответить тоже затрудняюсь - в частности, на вопрос, действительно ли виры пошли настолько продвинутые, что научились получать права владельца, после чего менять права доступа.

Ну а что на счёт софта для USB HDD? Существует ли универсальный софт, который создаёт защищенный раздел на диске? Существует ли такой софт вообще?

DeathMan2k4, вопрос не совсем по теме. Здесь всё же обсуждение касается методов защиты USB flash драйвов, в просторечи - "флэшек", и компьютеров - от вирусов, использующих системный автозапуск. А защищённый раздел - это больше относится к защите информации от несанкционированного использования.
Стоит определиться, что же в действительности нужно, и возможно - создать новую тему.

DmB89, ну почему же, ведь создав защищенный раздел, мы победим автоматическое записывание вируса на flash drive !

DeathMan2k4, смотря для чего использовать флэшку. Ведь защищённый раздел требует специального софта для работы с ним. Если ограничить её использование двумя-тремя компьютерами, где этот софт установлен, тогда это вариант.
Но реально ведь флэшка используется несколько иначе. Необходима возможность подключения к любому (ну, или почти любому) компьютеру, независимо от наличия/отсутствия на нём особого софта. Вот пришёл ты к другу со своей защищённой флэшкой - и что? С чего ставить программу? С компакта? Весь смысл флэшек как-то теряется...
То есть смысл это решение имеет в первую очередь для защиты информации, а остальное - сплошные неудобства.
А чем всё же так не нравится решение создать папку с именем Autorun.inf? Хоть у одного человека есть серьёзные доводы "против"? Встретился хоть кому-нибудь вирус, способный уничтожить папку, и записать свой файл autorun.inf?

Добрый день!

Помогите проверить такой способ защиты:

1. флэшка форматируется под NTFS.
2. В корне создается папка с произвольным именем, на нее даются полные права только для "Все" (Everyone), без наследования.
3. На сам корень флэшки назначаются права только для чтения, опять же для "Все".
Пользователь может производить запись только в созданную папку.

У меня данный способ работает, но поскольку с вирусами сталкиваюсь редко, не могу однозначно утвержать об его 100% эффективности, с тем и выношу его на обсуждение.



С Уважением!

В этой теме нельзя не упомянуть замечательную программу Flash Drive Disinfector, которая уже упоминалась на страницах нашего форума, да и не только нашего форума, и в других местах уважаемым Pili.
Эта утилита выполняет несколько функций.
Во-первых, она чистит систему от всех известных ей вирусов типа autorun (т.е. использующих метод заражения при помощи файла autorun.inf).
Во-вторых, производится иммунизация всех разделов жёстких дисков и подключенных в момент запуска программы внешних накопителей. Для этого в корне каждого диска создаётся папка с именем autorun.inf с атрибутами "скрытый", "системный" и "только для чтения". В дополнение эта папка содержит файл нулевого объёма с именем lpt3.This folder was created by Flash_Disinfector. Файлик этот, надо сказать - весьма непрост! Если вы попытаетесь его удалить - то ничего у вас не выйдет - появится сообщение с ошибкой, что файл не существует! Уж не знаю, каким способом автор добился такого эффекта, но вирус эту папку с файлом точно удалить не сможет - а это главное, что нас интересует.
В-третьих, она устраняет даже последствия заражения этими вирусами! В частности, разблокируется доступ к реестру, разблокируется менеджер задач, включается показ скрытых и системных файлов, удаляются префиксы адресной строки для IE, и это ещё не весь список!
Короче - must have, однозначно! Или переводя на русский - rulezz! =)

Jhel, Выйду из отпуска - обязательно на работе проверю! У нас сисадмин ленивый... Или наоборот - трудолюбивый... :) В общем, у нас на работе - рассадник всякой заразы! Слава Богу, свой рабочий ноут я сам администрирую! :)

lpt3 - имя DOS-устройства. Даже с дописанным расширением оно является таким именем. Операции с ним запрещены. Только из командной строки. Правда, если Вы используете принтер с LPT-портом (что маловероятно) и имеете порт LPT3 (вероятность чего практически нулевая, т.к. на большинстве материнских плат один (очень редко - два) таких порта, могут появится глюки.

Я тоже эту штуку пробовал - жаль, что сама папка autorun.inf удаляется легко (несмотря на хитрый файл в ней).

Увы, это так... :( С предыдущим своим заявлением я поторопился. Проверил - и правда, командой RD /S /Q C:\Autorun.inf каталог легко удаляется. Как бы его гвоздями-то прибить? :) Впрочем, пока ещё ни один autorun-вирус не удаляет эту папку, но готовиться лучше заранее.

Вот посмотрите чё навоял. Хотелось бы услышать ваше мнение. если понравилось нажмите спасибо.

для интереса решил проверить запустится ли у меня подобный зловред. записал autorun.inf, открывающий notepad.exe (блокнот). перетыкаю флешку и выскакивает такое окошко:

выходит моя система защищена от autorun'еров?

Нет не выходит. Если афторун.инф такого содержания:
[autorun]
shell\open\command=virus.exe
shell\explore\command=virus.exe

Dr.Dark, ну а если пользоваться Total Commander'ом?

Ну и? Мы об експлохере!!!

Dr.Dark, ackerman2007, перечитайте тему с начала! Об этом уже писали не раз, можно и explorer-ом безопасно открывать диски.
ackerman2007, выскакивающее окошко - это работа функции "Autoplay" Windows XP. К файлу autorun.inf эта функция не имеет отношения! Об этом тоже уже писалось, зачем повторяться? Вот пара ссылок:
NoDriveAutoRun
NoDriveTypeAutoRun

И я о том же!!! А насчёт безопасного входа из експлорера можно щелкнуть правой по флешке нажать автозапуск (если не стоит по умолчанию т.е. не выделено жирным) и в меню выбрать открыть.

Dr.Dark, ещё раз повторяю - перечитай тему! Ты наступаешь на те же грабли , что и некоторые товарищи до тебя! Почитай этот пост, да и свой пост тоже... Ты похоже, пишешь, не разбираясь в сути, у тебя один пост противоречит другому. Ты попробуй на практике, и тогда не будешь писать такие вещи:

DmB89, Сорри перечитал тему. Просто я ни когда, повторюсь никогда НЕ ВСТРЕЧАЛСЯ с Autoplay на флешках.
так ты смотрел чё я предлагаю (первый пост на странице). Если да то как идея?

Dr.Dark, посмотрел... Во-первых, это варез, поскольку с ключом. Во-вторых, это можно заменить бесплатной утилитой CureIt! А в третьих, многие вирусы просто отключают сканер от DrWeb, я с этим сталкивался неоднократно.

Jhel, проверил предлагаемый способ защиты - работает! Проверил на ноутбуке, перед сносом системы. Вирус не смог создать в корне ни одного файла. Так что способ годится!

Для того чтобы ничего не записалось на флешку достаточно, не оставлять на ней свободного места :)

ну это не риально просто !

Есть интересная программка DriveSentry GoAnywhere http://www.drivesentry.com/AntiVirus...ble-media.html

Попутно интересует вопрос организации автозапуска какой либо программы с флэшки после её подключения.

Не предлагаемый выбор запуска этой программы в появляющимся окне в классичечком случае, например :
а сразу запуск программы!

Решение для единичного компа известно, но не преемлемо, т.к. флэшка подключается к множеству разных машин.

Вспомнились недавние копания в этой области... В общем, есть и ещё один способ, сработает % на 80 флешек :) Только руки нужно иметь... ну очень прямые :) -- я не потянул, даже браться не стал :(

Во "флешке" кроме usb разъёма и самой флеш-памяти есть ещё и контроллер. Он рулит чипом памяти и разруливает обмен по usb шине. Однажды от безделья я расковырял штук 5 разных "новых" (без "замочка") флешек (дохлых или просто механически сломанных), выписал маркировки контроллеров и поспрошал у знакомых даташиты на них.

А результат таков:
На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа.
На всех 5 есть несколько незадействованных ног.
У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE.
На всех 5 эта нога среди незадействованных.

Ну или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется.

Т.е. всё "очень просто" -- разобрать флешку, отпаять ногу, впаять в разрыв переключатель (или вообще две проволочки отвести, и скручивать их между собой по необходимости :wink: ), и собрать всё снова. :o

Попробовал я её... :spiteful: Моё сугубое ИМХО - чушь полная! :drug: Вот их заверения с сайта: Вкратце смысловой перевод - "Наша прога автоматически запустится при подключении USB устройства к любой системе."
На практике этого, разумеется, не произошло. Чуда не случилось! Программа запускается, как и авторановские вирусы, при двойном клике по иконке USB-устройства.
Зато я был неприятно удивлён тем, что папку на флэшке с именем Autorun.inf эта прога автоматически переименовала, и даже не пискнула! Это не то чтоб в минус программе, но наводит на мысли, что скоро и вирусы таким трюкам обучатся... ...если уже не обучились... :o
Рассматриваем программу далее. Я уж было подумал - а может у меня система защищена слишком хорошо? :biggrin: Поотключал все твики, связанные с автораном, перезагрузился, проверил - всё работает как положено... ...кроме этой программы!
Поскольку автоматом эта вешчь не запускается, вопреки заверениям авторов, то смысла в ней ну ровным счётом никакого! Поясню. Рассмотрим для примера "работу" вируса OnLineGames (терминология avast!). При загрузке системы запускается файл amva.exe, который постоянно мониторит систему на предмет подключившихся дисков. Как только произошло подключение - тут же в корень диска записывается .bat или .com файл плюс autorun.inf!
Таким образом, вставив свою "защищённую" флэшку в заражённый компьютер, вы её тут же заражаете, и при попытке открытия (двойной щелчок) - у вас запускается НЕ DriveSentry GoAnywhere, а ВИРУС!
Прочие аспекты работы программы рассматривать уже не имеет смысла.
P.S. И самое главное - за неё ещё и денег просят! :angry2:

VitRom, я конечно, электронщик... Но ТАКИМ :o геморроем я бы точно не стал заморачиваться! :swoon:

:) И я о том же :o Хотя на самом деле всё очень несложно -- если иметь флешку, на внешний вид (и вообще корпус) которой ваще глубоко плевать (и при этом исправную) :) Ноги эти почти везде легко доступны -- с корпусами вот беда, "одноразовые" они :o потом, после вскрытия, только что выкидывать, а фляжку целиком эпоксидкой заливать - типа моддинг :)

DriveSentry тоже попробовал сегодня. Правда, у меня оно запускалось :) Итоги:

0. После старта свою работу делает :) НО
1. Стартует ч-з Автоплей (а на 2000 -- только ручками, даже в мане сказано)
2. При работе всегда(!) перед запросом юзера несколько сек пытается проверить файло по ихней "community database"
3. По принципу работы -- просто обрезанный HIPS. При первом старте ставит в систему, где стартует, пару драйверов(!) и добавляет элемент в Winlogon Notify(!). Обе этих вещи меня вообще прибили (даже без учёта того, что современные червяки умеют эти "перехватчики" обходить). Плюс хранение базы разрешённых прог рядом с собой и постоянная модификация её, что жизнь фляжки не продлит.

Вердикт тот же: "Полное Гэ"

Доброго времени суток всем!
О своем способе защиты уже писал на форуме softoroom.net, зашел сюда, вижу, тут тоже эту тему обсуждают.

Написал собственный архив, содержащий autorun и лекарство от вируса, качаем.
Во время автозапуска запускается скрипт, открывающий корневую папку, запускающий лекарство и, в случае необходимости, автоматически гасящий автозапуск в настройках винды.
Полностью защищает флэшку и, в дальнейшем, комп от "автозапускающихся" вирусов.
Защищает флэшку путем перевода файловой системы на ней в NTFS (только не баловаться с плеерами, фотиками и мобилами) и размещения на ней своего файла autorun.inf

ZIP-архив распаковывается на флэшку, в корень. Далее читаем вложенную инструкцию.

Таким образом можно не только защититься самому, но и помочь другим, к кому с флэшкой пойдете.
Лично у меня на работе просто эпидемия этих аффтаранофф!!! Но ни один в наш отдел и ко мне на комп еще не пролез. А если и записываются на флэшку, то запуститься все равно не могут, поскольку autorun.inf указывает на другой файл. К тому же глушатся автозапускаемой лечилкой. А я уже удаляю все оставшееся (если еще встречается).

Качаем отсюда:
http://rapidshare.com/files/16979461...torun.zip.html
http://slil.ru/26395944
http://webfile.ru/2441121

Давно сам мучался защитой флэшки от autorun- вирусов, бо работа такая- 250 компов по городу, и не везде есть CDROM, флоп не говоря уже про сеть. Вот мой вариант, правда я не считаю его выходом. Создал скрытый диск с файловой системой NTFS с помощью Rohos диск. Оставил открытым диск на пару метров - дабы оттуда запускался Rohos и открывал основной диск. На открытом диске создал папку Autorun.inf и забил остаток пустого места мусором. Пока ничего не пробралось. При автозапуске флэшки заражение произойти не может - нет места.
На всякий пожарный сделал тамже копию в архиве Rohos_mini.exe- от вирусов заражающих exe, хотя повторюсь цель защита от autorun -вирусов.
Пока не пролез ни один. Понимаю, что это не панацея, да и использовать эту флэшку как загрузочную и в ОС отличных от XP - неполучится,
но больше ничего в голову не приходит

Мдя... Если хотите быстро и весело угробить флэшку - форматируйте ее в NTFS. Поскольку NTFS - журналируемая система, при каждой операции с диском (доступ к файлу, чтение, запись) в одно и то же место на флэшке будет писаться лог. В итоге - смерть флэшки. =)

Единственное рабочее решение - антивирус типа SEP 11, он позволяет блокировать запуск программ со съемных накопителей НА УРОВНЕ ДРАЙВЕРА.

Вирус, конечно, надоедливый :angry2:
Решение проблем - отключить автозапуск, да так чтобы и левая кнопка мыши тоже на запускала. И включить показ скрытых файлов и удалять вирус с флешки. Запретить ему туда лезть со стороны флешки нельзя, вернее, можно, но не нужно, проще удалять.

Чудесно. Моделируем ситуацию, описанную DmB89 парой постов выше:
1) вставляем флешку с новомодной защитой.
2) 3) после этого происходит.. точно-точно, запуск того, что указано в авторан.инф.. только что замененном вирусом.

archiv@rius_31: я что-то пропустил? Заодно - зачем в NTFS переводить-то? Мало того, что сказал Enforcer2K? Или мы потом по модному права на авторан.инф предполагаем настроить? так это мы уже проходили, сам на этом попался... полистай с начала темы.

ребят давайте жить дружно... есть выход - ща продаются флешки для мобил (microSD), так вот - с ними в комплекте идут переходники на SD с переключателем lock<->unlock... к такой флешке докупаем usb картридер - по внешним габаритам он не на много больше флешки - чуть поболее моего корсара.
цена комлекта из 4-х ГБ флешки + картридера - около 500-600 рублей, я себе взял на 2ГБ и не жалуюсь - набор дров, антитварь, да пара мелких софтин
ps. по скорости не уступает простой флешке
pps. я живу в Кемерово

Жить дружно давайте всегда, тем более, что этот раздел благодаря усилиям Pili - один из самых результативных.

Но не вдаваясь в подробности, всё-же отмечу:
Самый простой способ обезопаситься от autorun.inf это создание одноимённого каталога в корне Flash диска
с атрибутами Read only, Hidden, System.

О чём НЕОДНОКРАТНО писалось в различных разделах форума.

В данном случае если Вы и цепляете вирус на флешку, autorun.inf на неё не записывается, и в любой ситуации, автозапуск не происходит!

Наличие на флешке остального вирусного хлама можно почистить даже без антивируса, имея невысокую квалификацию.

andrew71, что помешает вирусу удалить эту папку? Ответ: ни-че-го! =)

Тема перенесена из лечения, т.к. логов в ней не ожидается.

По теме читаем
Как отключить автозапуск со съемных носителей

Повторю ещё раз

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
или распакуйте файл AutorunDisabled.zip и примените reg файл

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Если примените Flash_Disinfector - то отстутствие прав поользователя (включая администратора) на папку + наличие файла в папке lpt3.this folder was created by flash_disinfector, теоретически зловред может вернуть права, для этого ему надо работать с правами system, но таких зловредов пока ещё в природе не встречал.

Pili, проверю в понедельник на работе. Дома семерка стоит просто. Но я более чем уверен, что обойду эту защиту. =)

Enforcer2K, согласен!

Но!
Назовите хоть один вирус, снимающий атрибуты с папок, я пока, таких не знаю. Появятся, будут другие пути решения.
В данной ситуации может лучше просто действовать? Как Вы считаете?

Да, тут согласен на все 100% Правда, как я уже ранее писал, SEP 11 умеет блокировать запуск программ со съемных носителей на уровне драйвера, и эту защиту уже ни один троян или руткит не обойдет.

Естественно обойдете, там для админа и обходить нечего - стандартно возвращаются права на папку для себя, снимаются атрибуты, затем папку можно удалить (FAR и без снятия атрибутов удалит или del с опциями)
Перед запуском Flash Drive Disinfector не забудьте отключить антивирус.
Если под "обходом защиты" подразумеваете написание зловреда, который
1. удаляет autorun.inf от утилиты;
2. записывает свой файл autorun.inf и тело зловреда на флешку;
3. заражает другой компьютер, на котором отключен автозапуск по методике выше (т.е. применен noautorun.reg и на дисках есть папки autorun.inf от утилиты Flash Drive Disinfector.
То, имхо, очень много вирусописателей к вам обратятся в ПМ за технологией применяемой в пункте 3 :))

Pili, andrew71, похоже, Мелкомягкие наконец стали умнеть! =) http://support.microsoft.com/kb/967715

Так что теперь достаточно рубануть автозапуск через групповые политики. Аллилуйа, братья! =)))

Enforcer2K, этого вроде как не достаточно.
Да я видел любопытный вирус - на флешке появлялся файл teen_movie.exe, который никак себя не скрывал.
Надеялся, что иконка кассеты и слово movie введет пользователя в заблуждение.

Данное обновление позволяет полностью отключить обработку файла autorun.inf => не будет ни контекстного меню, ни автозапуска по двойному клику. Только если юзер руками запустит вирус с флэшки, но это уже клиника. =)))

Источник

Чуть подробнее на англ. яз. Panda USB and AutoRun Vaccine, там же можно загрузить утилиту.
Имхо, утилита - почти аналог Flash Disininfector

Тут читать вообще умеют? Все, проблемы больше нет!!!

Действительно, тут читать умеют? Идет общая дискуссия на тему методики защиты от autorun...
По проблемам с вирусами - в раздел http://forum.oszone.net/forum-87.html

Pili, какой авторан? Нет больше авторана, все. Майкрософт окончательно решила эту проблему.

Ещё одна бесплатная программа для контроля авторана Autorun Guard.

...И Билли лично прошёлся по всем компам с Виндой (особенно по неподключенным к Сети) и тщательно проконтролировал установку заплатки и настроил соотв. политики "с помощью gpedit.msc" (даже на Хомке). Алилуйя! :lol:

---

Дальнейшее развитие идеи Flash Disinfector и подобных -- скрипт Autostop.

Отличия от FD / особенности :
1. не чистит "популярных" на момент рождения FD (давно уже) червяков и соотв. не даёт фолсов с некоторыми антивирями из-за наличия червячных фрагментов
2. обрабатывает только диск, с которого запущен
3. после сработки самокопируется в созданную папку (AUTORUN.INF)
4. сделана какая-никакая индикация того, что "нашу любимую папку" кто-то "трогал"
5. в каталоге AUTORUN.INF делает подкаталог LPT3, а уже в нём -- файл ".." :)

Угу, MS "окончательно решает" многие проблемы от патча к патчу :) Информация, по ссылке на MS была известна очень давно, такие рекомендации приводились и ранее и на technet и здесь на oszon.net и таких рекомендаций полно в интернете, дополнительные рекомендации от p2u Борьба с автозапуском новыми методами и ещё в прошлой редакции книги Безопасный Интернет. Универсальная защита для Windows ME - Vista. И не надо думать, что у всех компьютеры в домене, все могут сами редактировать реестр и создавать групповые политики, также MS выпустил утилиту TweakUI (Powertools for Windows), в ней тоже можно отключить My Computer - Autoplay - Drives
Вся беда в том, что автозапуск по умолчанию в системе включен и статистика из раздела "Лечение систем от вредоносных программ" неутешительна, почти у всех, судя по первым логам, автозапуск включен. Более того некоторые зловреды (червь по сетке или троян из интернета) возвратить такие параметры как NoDriveTypeAutoRun в состояние включенного автозапуска, поэтому и требуются дополнительные меры, например такие как в рекомендациях p2u и применение утилит (более того их посредством можно защитить съемные носители от utorun.inf, что не достигается правкой реестра)

VitRom, Flash Disinfector дополнительно, кроме установки атрибутов, убирает права у пользователя на папку autorun.inf, соответственно пользователь (и с правами администратора) не сможет просто так удалить папку без возвращения себе прав, в скрипте Autostop я такого функционала не увидел )

Pili, gpedit.msc может запустить даже ребенок. Конечно, если ему сказать, как это сделать. И домены тут совсем не при чем.

ЗЫ: У меня все прекрасно работает. А все остальные могут продолжать борьбу с ветряными мельницами. =)

Отличная позиция. Рад что у вас все работает. Остальные, я надеюсь, научаться сами и продолжат помогать другим сделать настройки системы более безопасными.

Бугага =))) И чем хомка отличается от Про? Учим матчасть и не пудрим людЯм мосх. Все там настраивается. А gpedit - это консоль, которая позволяет внести изменения в систему. Если нужен патч, включающий установку всех обнов от мелкософта + включение политики для хомки - за батл Блэк Лэйбл сделаю. Но имхо если юзер пришел сюда (на этот форум), то он уже не дебил, и сам сможет настроить свой комп.

Не думаю, что отключение автозапуска через gpedit является более сложным процессом, чем то, что описано в шапке =)

Как, интересно, если его нет в системе? Если руткит в системе, то он и антивирус снесет к чертям, найдет способ.


Собственно, как отключить автозапуск:
Само обновление, позволяющее использовать изложенный выше способ, можно загрузить здесь: http://support.microsoft.com/kb/967715 (раздел "Предварительные условия для отключения функций автоматического запуска").

Ещё такое высказывание и бан.
Насчет групповой политики в WinXP Home и чем отличается от Pro - в поиск по форуму, вопрос неоднократно поднимался, см. с учетом ОПК 3.18
Это ваше мнение, попробуйте порекомендовать gpedit обращающимся в разделе лечения (хотя... с вашей позицией "У меня все прекрасно работает. А все остальные могут...").
Тем более готовый reg файл в шапке из архива содержит доп. возможности, см.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Если интересно, посмотрите логи в разделе лечения, в системах там много всего бывает.
Руткиты не занимаются правкой реестра, обычно они скрывают тело зловреда и могут помешать работе антивируса.

Очень страшно.
Могу рассказать по секрету - ничем! Парой строчек в реестре. Элементарно трансформируется в Про. Как - не скажу (см. ОПК 3.18) =)))
Мне не интересно. У меня своих логов хватает, с рабочих компов. Правда, теперь это уже в прошлом.
Хмм... Считайте, что можно банить, поскольку:
=))) Руткит скрывает свое присутствие, а заниматься он может чем угодно: блокировать антивирус, вносить изменения в систему, шпионить, форматировать хард, шкворчать дисководом... Даже матом ругаться. Но, видимо, для модераторов "матчасть" - это какое-то ругательство, а не то, что надо учить.

ЗЫ: Учите народ борьбе с заразой и дальше. И логи их читайте. Которых меньше после такого "учения" явно не станет. =)))

ЗЗЫ: Вот, нашел по руткитам, может кому интересно будет: http://www.viruslist.com/ru/analysis?pubid=204007621

Ну вы уже потихоньку, но начали исправляться от албанского )
По руткитам я вам тоже ссылки на статьи привести, больше на английском, на русском есть книга Олега Зайцева "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита", рекомендую. Кроме теории есть ещё и практика (ЛК, VI, здесь и на др. форумах), например популярный сейчас gaopdxserv.sys или tdssserv.sys скрывает модули dll, который (заметьте, не сам руткит) блокирует обращение к сайтам, производят редирект, меняют настройки DNS, руткитов, которые сами исправляют параметры автозапуска ещё не встречал, этим должны заниматься другие модули, которые может скрывать руткит.

Pili, возможно, я просто проглядел установку прав во Flash Disinfector. Насколько жёстко они забираются? А то ведь даже если "пользователь (и с правами администратора) не сможет просто так удалить папку", есть шанс, что он сможет её переименовать. Как я понимаю, Autostop просто нацелен на "обычные флешки", которые на 99% FAT16/32.

Цитата:

Цитата Enforcer2K gpedit.msc может запустить даже ребенок »

В аттаче результат запуска gpedit.msc, взятой с XP Pro SP3 VL, на XP Home SP3 OEM.

Цитата:

Парой строчек в реестре. Элементарно трансформируется в Про.

Этому "открытию" в обед сто лет. Только вот на "живой" системе для этого нужна или альт. загрузка, или заюзать NTSwitch. Последний вариант меняет SID машины, а это не всем приемлемо (не говоря уж о том, что теряется лиц. чистота).

Цитата:

И чем хомка отличается от Про? Все там настраивается

Отсутствием. В. Стандартной. Поставке. Некоторых. Файлов. (ЧСВ выкл и см. аттач ещё раз).

Цитата:

если юзер пришел сюда (на этот форум), то он уже не дебил, и сам сможет настроить свой комп.

Угу. Только настройка настройке рознь. Ключевая фраза -- "стандартные (штатные) средства". Иногда приходится ограничиваться только ими. Иногда так бывает. Даже ФГМ не должен помешать это понять.

Там помимо самой оснастки еще несколько файлов нужны. Для Home проще всего через реестр изменить параметр и не мучаться.

Само собой, нужны! Я просто показал результат действий юзера, который "уже не дебил, и сам сможет настроить свой комп", но ещё не сисадмин, да и не собирается им становится.

Вот мы и возвращаемся "к нашим баранам" -- да, действительно, "проблемы уже нет, Майкрософт всё исправила". Но если копнуть поглубже, начнут один за одним находится случаи, требующие доп. телодвижений -- "через реестр изменить параметр", доп. файлики скопировать, и т.д. и т.п. При которых, в свою очередь, также возникнет ряд случаев... и т.д. Плюс к тому случаи, когда съёмный носитель вынужденно используется на "неизвестной территории" -- на чужих машинах -- где, конечно же, Билли так и не приезжал и установку апдейта и доп. действия не проконтроллировал. Плюс к тому...

По сравнению со всем этим обсуждаемые здесь решения намного юзабельнее.

А в шапке предлагается что-то другое? =)))

Дело в том, что при подключении "защищенной" описанным в шапке способом флэшки к зараженному компу, вероятность сноса защиты с каждым днем растет в геометрической прогрессии. Здесь же человек на 100% обезопасит СЕБЯ, и ему, по большому счету, уже будет все равно, что там ему на переноску заскочит!

действительно, по работе обходишь в день порой по 10 клиентов совершенно тебе не знакомых, и как результат полна флеха всякой х-йни заразной. да ладно бы просто меняла авторан, так ведь частенько и программы на флехе тоже заражает. и если это случилось на первых клиентах - сушите вёсла господа :) , пипец просто - едем домой или офис для забора софта заново на флешку.

Реальных выхода из положения на мой взгляд 2

1. 1 аппаратно отключать запись на флеху :up вот этот пост
   
   Цитата:

   А результат таков: На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа. На всех 5 есть несколько незадействованных ног. У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE. На всех 5 эта нога среди незадействованных. Ну или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется.

2. 2 я так думаю есть программы для ограничения доступа к разделам.
   создать на флешке 2 раздела.
   первый раздел размером равным размеру данной программки.
   все остальное второй раздел.
   т.е. на первом разделе не будет места для создания autorun.ini файла и записи теле вируса. Только одна программка открытия второго раздела на необходимый доступ (чтение/запись)

:) да то же самое! Только "чужими руками" :) типа "ван-клик солюшн".
Риск сноса есть всегде и -- да, нарастает -- ну так "хоть что-то" всё лучше, чем "вообще ничего"! :)
Кстати, два недавно упомянутых скрипта как раз и "обезопасивают ;) СЕБЯ", ведь первоначально юзер запускает их на своём компе, где они тут же бодренько и отрубают всякие автоплеи и пр. Да, это делается напрямую, через реестр, это можно и "откатить" через тот же реестр, ну так то же самое относится и к политикам -- у многих ли включен запрет запуска и/или логона, если невозможно обработать политику? А "покоцать" соотв. файлы -- и только через эвентлог узнаешь, что политики не применены. Зато есть совместимось с системами, которые о политиках ни сном ни духом.
В моём посте была только теория, однако есть непроверенные данные (см. сайт ниже), что не всё так просто, и есть побочные эффекты, увы :( В случае ходьбы по клиентам вполне достаточно просто доступа на чтение.
Кстати, этот вариант возможно реализовать перепрограммированием контроллера флехи.

В общем, велкам на FlashBoot.ru, там среди всего и подобные вопросы тоже активно обсуждаются.

ЗЫ. Кстати, вариант 2 из пред. поста можно превратить в такой.
Вар-т 3: один раздел, разрешённый на запись, но в корне и каждом подкаталоге лежит "сюрпрайз!" типа "LPT3" и/или "..", а размер раздела указан точно равным сумме размеров файлов, т.е. свободного места типа нет :)

ЗЗЫ. Ну и вар-т 4: как оказалось (кажется, инфа на том же флешбут-е), таки есть ещё мозги у производителей "фляжки" с "замочком"!

Pili и другие заинтересованные лица.

Ваял я тут свой скрипт для Complete Autorun Off - с автоустановкой KB967715 если не установлен
с закрытием всех 4 ключей автозапуска, с удалением mountpoints и тд....

обнаружил такую вещь


Запросто удаляет созданную Flash Drive Disinfector "неудаляемую" папку.
Первая команда удаляет все файлы из директории x:\autorun.inf\* вместе с хитрым lpt3
Прошу обратить на это внимание, так как вирусописатели не дремлют...
А ложное ощущение безопастности хуже чем просто незащищенная флешка...

volk1234, ответ здесь

Вот в развитие дискусии протекающей в этой ветке (спасибо всем за идеи),
сделал утилиту для полного отключения автозапуска. , пользуйтесь кому надо...

ShaddyR, что Вы там говорили насчет защиты файлов? У меня все получилось! Но все равно, спасибо за замечания, усовершенсововал. Этот способ, думаю, получше будет.

1) Во-первых, все-таки стоит отформатировать или преобразовать флешку в NTFS (не следует бояться это делать для обычных флэшек - для них это практически безопасно, но надо бояться для проигрывателей, телефонов и камер, ибо можете этим убить некоторые из них);
2) Создать на флэшке отдельную папку и переместить туда все данные;
3) Выбрать "Свойства" (для ВСЕЙ флэшки) и на вкладке "Безопасность" установить для пользователя "Все" (то есть, для всех, другие записи из списка удалив, если есть) (кнопка "Дополнительно" > "Изменить") запрет на "Создание файлов / Запись данных", "Создание папок / Дозапись данных", "Запись атрибутов", "Запись дополнительных атрибутов", "Смену разрешений" и "Смену владельца". Удаление оставить разрешенным. Поставить птичку "Заменить разрешения для всех дочерних объектов..."
4) Для папки с данными следует отменить "Наследование от родительского объекта применимых к дочерним объектам разрешений...", нажать "Добавить" > "Дополнительно" > "Поиск" > "Все" > "ОК", разрешить полный доступ к папке и "Заменить разрешения для всех дочерних объектов...". Применить все.
5) Чтобы папку никто не мог удалить, можно для этой папки (но не для дочерних объектов и вложенных файлов!) поставить атрибут "только чтение" и запрет на "Удаление", "Смену разрешений" и "Смену владельца".
6) Если на флэшке присутствует свой autorun.inf (папка, файл - не важно) и другие системные данные, которые перемещать не рекомендуется (например, поставляемые вместе с флэшкой программы или файлы, связанные с autorun.inf), то для них следует выставить атрибуты "только чтение" и задать те же параметры, что и в п.2, добавив к этому запреты на "Удаление папок и файлов" и "Удаление".

В итоге получаем носитель, на который в корень не может записаться АБСОЛЮТНО ничего ни с какого компа (только со своего - теоретически - но и в этом случае удаление разрешено), но в то же время сохраняется возможность записи, редактирования и удаления пользовательских данных в папках. Чтобы при запуске флэшки открывалась папка с данными, можно использовать файл autorun.inf, указывающий на папку. Таким образом реализуется двухступенчатая защита флэшки.

Что в итоге у меня получилось? В общем, ковырялся я после этого с autorun.inf, написал, казалось бы безвинный, файл, защитил флэшку и файл вновь и включил NOD32. Антивирус сразу же посчитал файл за троянскую программу под общим названием INF/Autorun.gen, клятвенно пообещав удалить ее после перезагрузки (ага, значит с первого раза не получилось - уже хорошо). После перезагрузки файл остался лежать на том же самом месте, и антивирус продолжал ругаться. Испытал флэшку в "полевых" условиях - третий день активного пользования на работе на разных компах (рассадниках вирусов) ни одна вирусня пока еще туда не пролезла. :ok:

Вообще, защита в NTFS? как оказывается, полна нюансов (или криво организованы ее настройки?). В общем, смотря как ее ставить. При некоторых, казалось бы рабочих, комбинациях защищенные файлы удаляются по обычному shift+del, или перезаписываются вирусом. Думаю, описанного выше способа будет достаточно (и необходимо), чтобы запретить перезапись.

Остается лишь молиться о том, чтобы вирусописатели не состряпали вирус, реализующий защиту на основе NTFS, иначе всем худо будет.

___________
PS: Насчет NTFS: Лучше не форматировать, а конвертировать флэшку, не изменяя ее свойств оборудования, при этом она по прежнему будет оптимизирована для извлечения, а не для выполнения, что увеличит срок ее службы. То есть, при имеющейся на ней системе NTFS, работа Windows с ней будет напоминать работу с FAT-разделом. Сам уже больше года, как преобразовал ее в NTFS и активно использую на разных компах - флэшка жива и не думает умирать. У друга - больше двух лет работает.

Хочется внести ясность в один вопрос.
Как уже ранее отмечалось в этой теме, надо разделять функции автозапуска (autorun), и автовоспроизведения (autoplay).
Что такое автозапуск? Это обработка файла autorun.inf, и выполнение его инструкций - либо через контекстное меню, либо по двойному щелчку на иконке диска, либо просто при вставке компакт-диска в дисковод.
Что такое автовоспроизведение? Это сканирование содержимого подсоединённого диска, и при обнаружении мультимедийных файлов - выбрасывание окошка с выбором приложений, коими эти файлы можно открыть. Данный выбор можно запомнить, и в дальнейшем для данного диска это приложение будет запускаться автоматически. И выбор этот сохраняется в разделе реестра В чём проблема? Как обычно, в Microsoft! :)
Это не шутка. На сей раз Microsoft умудрились запутать даже самих себя! Дело в том, что ключики NoDriveAutoRun и NoDriveTypeAutoRun в разделе реестра отвечают вовсе не за автозапуск, как можно решить из названия, а за автовоспроизведение!!! Соответственно, все их (MS) прежние советы по отключению автозапуска на отдельных дисках -
так вот эти советы к автозапуску не имеют никакого отношения!!!
Да и сама групповая политика, которая в Windows 2000 называлась правильно - "Disable Autoplay", в Windows XP русской версии почему-то названа "Отключить автозапуск".
Теперь MS признала свои ошибкии появилась статья 967715. После установки данного обновления вышеуказанные ключи реестра начинают-таки работать так, как и задумано - отключать автозапуск!
Некоторые товарищи как-то чересчур бурно отреагировали на это нововведение. Хотя ничего принципиально нового тут нет. Большинство рабочих решений описаны на первых страницах этой темы, и вовсе не требуют наличия данного обновления. А если думать только о себе, так можно вовсе ничего не ставить - И будет вам счастье!

DmB89, отличный пост, спасибо!

archiv@rius_31
Боятся NTFS на флэшках надо - ибо эта файловая система сильно уменьшает их ресурс.

Разрешения достаточно поставить на всю флэшку стразу - Все - чтение(без выполнения можно) и скопировать будет можно, а записать и запустить с флэшки нет ... ( перед этим удалить всех пользователей из разрешений)
Я такое практикую на своих пользователях которые выкладывают видео и музыку для других, дабы не повадно было остальным простматривать фильмы по сети с чужого компа. Но поидее такое можно применить и в любой общей папке - разрешить запись и чтение - а выполнение нет.
А толку ? встроенная УЗ Администратора всегда может вернуть себе любые права в NTFS - сделано для защиты от утраты информации. Плюс chkdsk умеет видеть такие "ошибки" в правах и если нет ни одного пользователя с доступом к разделу\папке - исправляет это дело...

---

DmB89

Спасибо за разъяснения. Я сам запутался в этих терминах.

Вопросы:
Я в своей утилите удаляю ключ MountPoints2 и создав его пустым - блокирую всем доступ в него. Насколько это критично для системы?

Насколько критично с точки зрения вирусной защиты отключать autorun с CD\DVD - в принципе вирусов не встречал на дисках, а без автозапуска пользователям очень грустно вставлять диск и вручную искать исполняемый файл....
Могут ли вирусы используя механизм автозапуска с CD\DVD пролезть с флешек и тд???

М-да... Вопрос, что называется - на засыпку! :) На самом деле механизм работы этого раздела реестра нигде не освещён. Я тоже не совсем верно представлял его работу. Предыдущий пост поправлен.
Пришлось провести ещё несколько экспериментов. Выяснилось следующее. При вставке USB-диска в этой ветке появляется ещё один раздел где ID - это цифробуквенный идентификатор, причём на один диск их может быть несколько! И внутри этого раздела - дополнительные разделы и параметры, повторяющие структуру файла Autorun.inf!
При установлении запрета для всех на доступ к разделу MountPoints2, значения из файла Autorun.inf не могут скопироваться в этот раздел, и как оказалось - не обрабатываются!
Про отрицательные последствия к сожалению, ничего не могу сказать, просто отсутствует информация. Возможно при работе с сетевыми дисками могут быть ошибки в логах, но вряд ли что-то критичное.
Я думаю, что опасность этого раздела, как бы это сказать... несколько преувеличена. При удалении файла Autorun.inf из корня диска никакие файлы не запустятся, даже если "память" о них и осталась в соответствующем разделе. Но это я утверждаю, исходя только из собственных экспериментов. Точной информации, повторюсь, у меня нет. Если кто-то найдёт описание от Microsoft - выкладывайте сюда!

Если установлено обновление 967715, то используя параметры реестра NoDriveAutoRun и NoDriveTypeAutoRun можно настроить систему так, что автозапуск с CD/DVD останется, в то время как у подключаемых дисков автозапуск не будет срабатывать. И тут вирус с флешки никак не сможет использовать механизм автозапуска с CD/DVD, поскольку настраивается и то и другое одним параметром реестра!
Мне тоже представляется, что оптимальнее было бы оставить автозапуск с CD/DVD. Столкнулся с одной ситуацией, DVD с игрой Neverwinter Nights Diamond edition. Файл autorun.inf следующего содержания:

При отключении автозапуска любым способом, ручной запуск файла autorun.exe никакого результата не даёт! Не появляются кнопки "Install" и "Exit", прописанные в autorun.inf.
Так что возможности файла autorun.inf тоже описаны далеко не полностью...

Inf-файл для логического диска

Получается autorun.inf можно запускать некой командой через rundll32 ?

Продолжаю публиковать результаты своих "изысканий". :moil:
Начну с рекомендованного параметра реестра Этот параметр (или ключ, как иногда говорят) имеет какое-то половинчатое действие. Он отключает автозапуск, но это касается только автозапуска файла при установке CD/DVD в привод! Двойной щелчок ЛКМ и контекстное меню продолжают работать! Изменения параметра требуют перезагрузки.

Ещё один параметр: Так и не смог понять, для чего он предназначен. Никакой реакции на его изменение я не обнаружил, даже после перезагрузки. Ни с CD-R, ни с другими типами дисков.

Очень удобно отключать автозапуск при помощи TweakUI.

При этом способе, имея к примеру два дисковода CD/DVD можно на одном из них оставить автозапуск, а второй сделать "безопасным". Но поскольку TweakUI сохраняет изменения в ветке реестра HKCU, то эти настройки будут касаться только текущего пользователя.
Ещё раз уточняю - всё это справедливо при установленном обновлении 967715.

please дайте твик для включение Авторана обратно

спасибо всем уже нашел

DmB89, дай линк на русский TweakUI.

При установке диска в привод или флешки в разъем USB на экране открывается диалоговое окно автозапуска, в котором указаны программы , с помощью каких можно открыть имеющиеся на носителе файлы. У меня там присутствует программы, которые были мною удалены за ненадобностью, а как удалить эти ярлыки из предлагающегося списка в этом диалоговом окне, я не знаю. Может кто поможет с этим?

С помощью CleanHandlers, например.

Frag-o-Matik, я брал TweakUI из аддона CPLDAPU, также можно взять его из аддона Power Pack (MS Power Toys), или вот здесь.

Выявилась интересная особенность. При отключенной обработке файла autorun.inf с помощью твика: Включить обратно эту обработку "антитвиком" - не удаётся. В реестре остаётся пустое значение параметра, а должно стать "По умолчанию". Это вовсе не значит, что так и надо прописывать. Надо вручную удалить этот параметр в реестре, и он создастся сам с нужным значением. Почему так происходит - этого я не знаю, может более опытные форумчане что-нибудь добавят.

Приветствую.

Извеняюсь если неправильно выбрал раздел. Создавать новую тему не стал.

Задача в следующем:
С помощью программы nLite, дистрибутив windows можно изменить так,
чтобы отключить автозапуск на всех дисках. Мне нужно только на съемных носителях.

Дистрибутив:
Windows-XPSP3-Rus со встроенными обновлениями UpdatePack-XPSP3-Rus-9.7.30
включая аддон .Net FrameWork 1.1 + 3.5SP1+LP+KB и x-Reset10.

Таким образом, хотелось бы немного увеличить устойчивость системы к вирусам с флешек.
Может в текущих обновлениях это проблема как то решена ?
(дополнительно интересует параметр HonorAutoRunSetting)

Corei7
Перенес ваше сообщение сюда. Почитаете про твики реестра и можете добавить их
с помощью, например, аддона Mycustom.
Начиная с версии Update Pack 9.3.14 в него добавлена KB967715, которая и позволяет спользовать параметр HonorAutoRunSetting.

Можно после форматирования флешки в NTFS выдёргивать её просто так, не нажимая Безопасное извлечение устройства?

nikit-xxx, вопрос совершенно не по теме. Короткий ответ - нельзя.

Corei7, Прочитайте статью MS "Отключение функций автозапуска в Windows". Там всё есть.

Вышло исправление для Autoplay
kb971029
кто хорошо по англицки читает разьясните в чем смысл его?

volk1234, блокирует обработку AutoRun.inf для любых девайсов, кроме CD/DVD.

Я вот тут недавно обратил внимание на 1-й и 7-й пункты, где говорится об отключени автозапуска на приводах неизвестных типов, почему команда дублируется, а значения разные? И по сумме всех значений, получается не 255(FF), а 253(FD)? В общем погуглив, нашёл недостающее значением - 0x02 и пояснение по поводу неизвестных дисков. :)

То есть HonorAutorun и NoDriveTypeAutorun в реестре теперь не надо менять ?

Не совсем так: из AutoRun.inf берется только оформление (параметры label и icon), а остальные (всякие open, shell, shellexecute) игнорируются (проверял на AutoRun.inf из этого поста).

KB971029 не отключает AutoPlay (просто в нем не будет вариантов из AutoRun.inf, только стандартные виндусовые).

в смысле, будет только вариант - Автозапуск в контекстном меню ?
А автозапуск по 2-му щелчку останется ?
Я просто уже запутался во всех этих Autorun AutoPlay и куче параметров их регулирующих....

Если исходить из этого поста http://forum.oszone.net/post-1147267-106.html, то
обновление KB971029 отключает функционал Autorun, а не Autoplay.

Будут стандартные варианты (под "автозапуском" здесь подразумевается вызов окна AutoPlay).

Нет, конечно.

Да (для всех девайсов, кроме CD/DVD).

Вы сами поставьте и экспериментируйте.

У меня AutorunDisabled установлен, теперь после этого обновления KB971029 что-то изменит он? У меня нету автозапуска у CD/DVD, теперь он автоматически запуститься или нет?

Что-то я не понял, прочёл статью у майкрософта и выходит, что после установки этого обновления авторан инф файлы на флэшках всёровно будут запускаться? Пока в реестре не настроить?

Какого?

KB971029 Есть смысл AutorunDisabled отменить и включить его, ото с ним автораном CD/DVD не запускаются

Заупстил AutorunEnable я, затем вставил заражённую флэшку, она сама открылась, я закрыл окно и специально открыл двойным нажатием. Затем проверил папку систем 32 каспером и вирусов не обнаружено. Походу майкрсофт реально отключили все авторан инф файлы.

Покурил несколько мануалов по отключению автозапуска -возник вопрос по ветке:
Параметр

@="@SYS:DoesNotExist"

Просто ссылается на несуществующий раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist ??

Если это так, то с точки зрения защиты от вирусов неплохо было бы регулярно менять или использовать одно но собственное название несуществующей ветки - иначе что помешает вирусописателям создать такой раздел и поместить в него необходимые им команды ?

Ещё, как вариант, купить флешку, как в этом обзоре :) : http://planetsecurity.org.ua/zhelezo...tivirusom.html

Можно ссылку на пост со способом отключения autorun, действующем так?
:)

Обновление KB971029
для русской версии Windows XP
для русской версии Windows Vista

А если так:
В чистой WinXP SP2 этот раздел вообще отсутствует.

Продолжил исследования Dmb89 в сфере автозапуска и воздействия различных параметров на него.
Во первых, после прочтения теории:
http://support.microsoft.com/kb/967715/
http://ru.wikipedia.org/wiki/Autorun.inf

опровергну высказывание:

На самом деле, этот параметр отключает самый что ни наесть авто запуск.
Дальше много текста:

---

На данный момент получается следующая комбинация для борьбы с вирусами Autorun:


КОНЕЦ ??

Извиняюсь, если повторюсь - читать 14 страниц лень.

Основная проблема в том, что 90% пользователей работают под админом, поэтому даже права в NTFS не панацея т.к. администратор может назначить себя владельцем чего угодно и поменять права на какие угодно, а значит и вирус запущенный от имени администратора теоретически может сделать все то же самое. Поэтому запихивание вашей "защищенной" флешки где-нибудь в офисе, ни чем не отличается от незащищенной, разве что, количество вирусов умеющих изменять права гораздо меньше.

В общем есть одно решение, но только для виндовс начиная от висты. Берете флешку в FAT и создаете папку autorun.inf. В шестнадцатеричном редакторе ставите ей атрибут 0хF7. Для этого в WinHex, например, надо щелкнуть по папке правой кнопкой и выбрать Position\Go to directory entry и исправить первый же байт стоящий после имени папки на 0xF7. Это недопустимый атрибут, а драйвер FAT написан в виндовс таким образом, что не позволяет удалять, переименовывать и вообще проводить какие-либо файловые операции с такими объектами. Вуаля! На флешке есть папка autorun.inf, которую фиг чем удалишь!

Кстати, все описанные действия надо проводить в ХР, т.к. виста не дает низкоуровневый доступ к дискам даже под админом, а это значит, что вставляя такую флешку на комп с вистой и выше вы можете быть на 99,999% уверенными в защите от авторан-вирусов. А вот вставляя в комп с ХР, есть вероятность наткнуться на супер-мега-вирус, автору которого было не влом проверять допустимость атрибутов и исправлять их в случае необходимости.

И еще одно кстати. В операционной системе отличной от виндовс дела могут обстоять иначе и все будет зависеть от реализации драйвера FAT. Возможно даже другая операционка сама исправит недопустимый атрибут.

delog
А поставить на все компьютеры 2 обновления и одно значение реестра исправитть - не легче?

Ты же не будешь ставить обновления придя в гости, офис, университет, фотосалон, компьютерный клуб или интернет-кафе, а потом еще и проверять на вирусы, прежде, чем воткнуть флешку? Я описал способ защиты флешки, а не компьютера. Эти два способа вовсе не заменяют друг друга, а дополняют. И воткнув флешку в один "необработанный" комп, а потом в другой, ты не разнесешь заразу, как сделал бы это, если бы пользовался только одним способом.

Как сделать снимок диска т.е. флешки. ???? детально можешь рассказать . про папку autorun.inf скачал я WinHex незнаю как в программе мне поставить 0xF7 вроде русская версия программы всё перепробЫвал не получаеться не могу куда код ввести 0xF7 пробую открывать только папки открываються и не каких таблиц нет . может поможешь мне - по порядку расскажешь как мне папку защитить от авторуна . или можно в картинках если сможешь или пропиши порядок действия . я прошу тебя помочь мне

0. Создать на FAT-флешке папку или файл autorun.inf
1. Запустить WinHex
2. Нажать F9 на клавиатуре
3. Выбрать флешку
4. Щелкнуть по папке autorun.inf правой кнопкой и выбрать Position\Go to directory entry
5. Исправить первый байт идущий после имени папки на F7
6. Нажать ctrl+s, alt+F4

После этого, на флешке, папка или файл autorun.inf превратится в скрытую системную папку, которую нельзя ни удалить, ни переименовать в Windows'e. Избавиться от этой папки можно только с помощью форматирования.

Спасибо большое за совет !!! ты говоришь про F7 ВСЁ РАБОТАЕТ ХОРОШО а на 14 странице ты писал что надо прописать 0xF7 после имяни папки autorun.inf если писать 0xF7 то можно переименовать папку ! если просто писать autorun то защита только от удаленния папки а изменять названия папки можно . как прокоментируешь ?????

delog Спасибо большое delog за совет !!! ты говоришь про F7 ВСЁ РАБОТАЕТ ХОРОШО а на 14 странице ты писал что надо прописать 0xF7 после имяни папки autorun.inf если писать 0xF7 то можно переименовать папку ! если просто писать autorun то защита только от удаленния папки а изменять названия папки можно . . можно ли сделать папку видемой на фэлшке и зтитить от удаления и изменения названия папки . как прокоментируешь.

Можешь писать по-английски, если это твой родной язык, так, пожалуй, будет лучше для нас обоих. А из того, что я понял, могу сказать, что 0xF7 - это способ записи шестнадцатеричных чисел в С++ т.е. к числу относится только F7, а 0х означает, что это число записано в шестнадцатеричной системе счисления.

delog у меня вопрос скажи в виндусе ХР-2 FAT или NTFS можно так же папку сделать Autorun.inf чтоб тоже не заражалася если можно напиши как.или чтоб не удалялась и не переименовывалась и была видемой . или также применять F7 ??? . за рание Спасибо Большое .

Как можно самому сделать папку Autorun.inf с защитой от записи удаления переименования на компьютере Windows SP-2 система FAT-32 И NTFS ???? Жду ответа .

Мда... Что в ПМ, что здесь... Кто-нибудь из наблюдателей, скажите, вы понимаете, чего от меня хотят?

regis, вот ответ на твой вопрос:

Где-то я читал, но не запомнил точно где. Описывалось что можно создать папку на файловой системе FAT, а потом, открыть этот файл в HEX-редакторе, и заменить, несколько байтов в её имени, на какие-то символы (какие именно, не помню) операц. системой это распознаётся как ошибка и из-за этого вроде бы эта папка, по тому описанию, где я читал, становится неудаляемой с диска.

Наверное это было мое сообщение на предыдущей странице, которое ты отметил полезным :)

Я вот теперь понять не могу, чего от меня еще хотят? Я все вопросы осветил сполна, дал любопытству удовлетворение...

delog Если ты меня в этот раз не поймёшь тогда незнаю !!!! мне нужно не на флешке а в Windows XP-2 под NTFS у меня жёский диск и система ХР-2 на этом диске я хочу тоесть в системе сделать неудаляемую Папку !!!! это возможно или нет ?????? если возможно сделать в NTFS напиши пожалуйста !!!

Ах, вот оно что. Просто на жестких дисках автозапуск не работает, поэтому смысла защищаться от autorun.inf нет. Если же тебе нужна неудаляемая папка по другим причинам, то:
1. зайди под админом;
2. панель управления\свойства папки;
3. убери флажок на закладке по-середине "использовать упрощенный доступ";
4. зайди в свойства папки которую хочешь защитить и открой закладку безопасность;
5. щелкни по кнопке "изменить" и настрой права для группы "пользователи";
6. выйди из админа и продолжай работать под пользователем.
Все вышеописанное только для NTFS.

delog СПАСИБО БОЛЬШОЕ !!! Я РАД ЧТО ТЫ МЕНЯ ПОНЯЛ !!!! ВСЁ ПОЛУЧИЛОСЬ С ПАПКОЙ СТАЛА НЕУДАЛЯЕМОЙ НЕУДАЛЯЕМОЙ !!!!

отключил автозапуск на всех съемных дисках, в системные директории накидал пустые файлы autorun.inf, флешки открываю через проводник - проблем нет...

На основе исследований описанных выше сделал новую версию утилиты для отключения автозапуска
NoMoreAutoRun

А как сделать сделать флешку Read-Only так и не нашлось решение??!

[решено] Как запретить запись на usb-flash но оставить чтение?
Как запретить копирование на флешку?

okshef
Если не трудно глянь вот это AutorunDisabled и EnableAutorun

sereja6, во-первых, такие вещи нужно давать с открытым кодом, во-вторых, давать пояснения в теме. Раз вы не сделали это заранее - извольте изложить суть.

Самое простое, создать на флешке autorun.inf и в свойствах во вкладке безопасность, удалить всех пользователей. Тогда и вирь не сможет изменить ваш autorun. Но к сожалению это прокатит если носитель отформатирован в NTFS. Сам пользуюсь, спасает!

да что ты? А вот прочесть тему с начала, чтоб не изобретать велосипед - видимо, не судьба? Проверено - не помогает.

Если приходится пихать флешку в разные пк, есть смысл поставить по для защиты самой флешки, а не компа. Загляни сюда, очень интересное и лучшее на данный момент решение для защиты флешек: http://mechanicuss.livejournal.com/1...age=5#comments

Если ты вставляешь флешку и у вируса права администратора (или ещё хуже - SYSTEM), то ты должен кое-что знать:
1) У администратора есть право "Овладение файлами и иными объектами" - игнорирует права доступа NTFS и позволяет стать в любом случаи владельцем.
2) У администратора есть право "Архивирование файлов и папок" - игнорирует права доступа NTFS и позволяет считывать данные
3) У администратора есть право "Восстановление файлов и папок" - игнорирует права доступа NTFS и позволяет записывать данные.
4) У администратора есть возможность смотреть содержимое низкоуровневым доступом.
5) У неинтерактивного пользователя SYSTEM есть всевозможные права доступа.
6) Этот способ пройдет для тех случаев, если разработчику было лень заморачиваться с NTFS, либо работает от ограниченной учётной записи. А с приходом Vista, где Microsoft пытается заставить вас использовать правило пониженных привилегий - разработчики нового вредоносного ПО будут рассматривать и NTFS.

Есть ли скрипт или bat файл, который возвращает все прежние настройки автозапуска-автовоспроизведения в Windows 7 (удаляет созданные твиками ключи типа NoDriveTypeAutorun и тд)?

Кто-нибудь пользовался утилитой NoMoreAutorun - пробовал запускать от имени администратора на Windows 7 SP1 HP - ключи реестра не изменяются (антивирус MSE)

Задайте ваш вопрос автору непосредственно в ветке утилиты - NoMoreAutorun - утилита для отключения автозапуска.

Celsus, в Windows 7 не используется автозапуск по-умолчанию. Утилита создана для Windows XP.

Рискну предложить такое решение для командной строки:

В Windows 7 угрозы запуска Autorun.inf по двойному щелчку на локальном диске или флешке нет?

По двойному щелчку он откроется в блокноте, по существу в этом угрозы нет в принципе.

http://forum.oszone.net/thread-160939.html вот аадон

А если на уровне политик безопасности?
Файловая система NTFS, полный доступ для одной учётной записи, остальным чтение и выполнение.
Админ, не админ, без разницы, доступ только на чтение и выполнение.
Если выполнить смену владельца, то появятся права, но не каждый вирус или авторан это умеет делать...

Ребят всем привет, нужна ваша помощь, у меня есть флешка на флешки создал фаил AutoRun.inf прописал команду [autorun]
open="vvv.bat" но почему-то батник на флешки не запускается ОС у меня вин 7 , сама флешка стартует хорошо, может данная функия вин 7 не работает?Команды правильные все.

AutoRun отключен для любых устройств, кроме CD/DVD.
AutoRun changes in Windows 7

Petya V4sechkin, Получается на вин 7 не возможно запустить флешку стилер?

dred3377, получается что тут помогают бороться с вредоносами, а не помогать им жить.

Но данная файл в частности [autorun] не несет угрозы ПО я говорю о том файле который сам создаю, а для стороннего ПО и всякими вредоносны есть хороший антивирустники, которые в корне носителя не дадут запустится вредоносному по. Я просто для себя хочу на вин 7 запустить батник с помощью [autorun].Не ужели нельзя как то по другому запустить фаил .bat ?

dred3377, примеры в этой теме.