Lanmz.ru - Форум Гиков

Вернуться   Lanmz - Форум Гиков > :: Киберпанк :: > Безопасность

Безопасность Обсуждение вопросов сетевой безопасности.


Ответ
 
LinkBack Опции темы Опции просмотра


Старый 20.04.2008, 01:39   #1 (permalink)
[Модер]
 
Аватар для mozk
 
Статус: [Оффлайн]
Регистрация: 13.12.2007
Сообщений: 69

:

:
mozk is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
Инфо

Борьба с вирусами на съемных носителях (autorun.inf)



Инфа хоть и баян но думаю пригодится тем кому надоело бороться с авторанами.
Радикальный способ, который заставляет систему думать что такого файла как autorun.inf не существует.
Отключает автозапуск везде, т.е. CD и DVD с игрушками придется запускать вручную.
Изменения происходят в реестре системы. Для вступления в силу изменений требуется перезагрузка.
Содержимое .reg файла:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Для пользователей: скачайте прикрепленный файл, поменяйте расширение на .reg (autorunOff.reg - так должен файл называццо). Два раза по нему кликнуть и применить изменения.
Вложения
Тип файла: txt autorunOff .txt (154 байт, 26 просмотров)

Последний раз редактировалось mozk; 20.04.2008 в 01:50..
  Ответить с цитированием

Старый 22.04.2008, 20:06   #2 (permalink)
[Мембер]
 
Аватар для Ivan_83
 
Статус: [Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130

:

:
Ivan_83 is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


НЕ КАШЕРНО!!!!!!!!!!!!!!!!!!!!!!!!!!


Цитата:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff ;запретить автоматический запуск на всех дисках

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff ;откл автозапуск на всех дисках

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff ;откл автозапуск на всех дисках

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\USB Monitor]
"Driver"="usbmon.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\USB Monitor]
"Driver"="usbmon.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Pr int\Monitors\USB Monitor]
"Driver"="usbmon.dll"


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe]



Вообще, на предприятиях оно через ГП в домене отключается, это так, для дома-частников-одиночек.

Добавлено через 4 минуты
А ещё, в конторах, где нет необходимости/возможности ставить антивирь, можно в домене такой логон скрипт сделать:

Цитата:
@echo off
cls


echo Autorun automatic cleaner - now working


attrib -r -s -h -a %windir%\system32\usbmons.dll >nul 2>nul
del %windir%\system32\usbmons.dll /s /q /f >nul 2>nul


echo Deleting autorun.inf from all drives
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
if exist %%a:\autorun.inf echo %%a:\Autorun.inf
attrib -r -s -h -a %%a:\autorun.inf >nul 2>nul&del %%a:\autorun.inf /f /q >nul 2>nul
)




echo Cleaning Recycled/Recycler
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
for %%b in (EXE COM PIF BAT CMD LNK) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul&attrib -r -s -h -a %%a:\RECYCLED\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul&del %%a:\recycled\*.%%b /s /q /f >nul 2>nul
)
)





attrib -r -s -h -a c:\found.??? /S /D >nul 2>nul
del c:\found.???\*.* /s /q /f >nul 2>nul
rd c:\found.??? >nul 2>nul

Строчку с юзбимонсом можно убрать, если безправные.
И при каждом логоне оно будет вычищать все диски.

Последний раз редактировалось Ivan_83; 22.04.2008 в 20:06.. Причина: Добавлено сообщение
  Ответить с цитированием

Старый 22.04.2008, 21:36   #3 (permalink)
[Модер]
 
Аватар для mozk
 
Статус: [Оффлайн]
Регистрация: 13.12.2007
Сообщений: 69

:

:
mozk is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
Инфо


Откуда выдрал?
Первые три параметра не спасают от двойного клика по диску
Четвертый должен запрещать AutoPlay у известных дисков... - толку с этого мало, заражения все равно не избежать, хотя удалить файлы вируса поможет наверно, если убить процесс вируса.
Пятый возвращает дейсвие галочки "скрывать защищенные файлы".
Шестой это автозагрузка, вкупе с четвертым и убиванием процесса позволяет убить файлы виря.
Седьмой восьмой и девятый возвращают к жизни USB принтеры
Большой список - это дебаг ветка. В ней винда устанавливает параметры для запуска или НЕзапуска приложений.
В итоге все это ИМХО "не кашерно" ©Ivan_83. От заражения не спасет, но последствия поправит, не все к сожалению

На предприятиях может и отключается, если есть AD и человек который доменом способен рулить. А домен, да и человека далеко не всегда даже на крупных предприятиях можно встретить, о малых вообще молчу, ибо там смысла в AD нет.

Скриптик интересный, но, опятьже ИМХО, я бы им не пользовался, не люблю когда в автозагрузке такая фигня сидит, тем более что это средство для уничтожения последствий... плюс с вирьпроцессом этот батник не борется, посему толку мало.
P.S. поправте меня если где-то ошибся
P.P.S Здесь есть хороший набор утилит для борьбы с вируснёй. Перед применением читать readme. Набор в самом деле хорош.

Последний раз редактировалось mozk; 23.04.2008 в 15:45..
  Ответить с цитированием

Старый 22.04.2008, 22:47   #4 (permalink)
[Мембер]
 
Аватар для Ivan_83
 
Статус: [Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130

:

:
Ivan_83 is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


На любой конторе более 5 компов, ну предел 10 должна быть АД, если админ себе не враг.

Есть АД - значит юзеры без прав админа, - пусть хоть обдолбятся запуская вирусы с флешки руками - нихера у них не получится!

Вообще, для домашнего обычно хватает первых трёх (там по дее даже одного, для HKLM) и отсутствия прав админа.

И то и другое обкатано и у меня дома, и не только у меня дома, и в конторах где есть АД и где его нет, прецедентов заражения именно авторунами НЕБЫЛО НИ ОДНОГО!
(был кажется бронток, который себя под папку маскирует и его сам юзер запускает, но и тот на одном только компе)

Скриптик - средство автоочистки флешек, хотя и ленивое, ибо мне лень писать для этого прогу и/или сервис, который не только авторуны херить будет при появлении нового диска, но и файлы на которые авторун ссылается.

Это средство предотвращения заражения, и небольшая помощь после очистки.
Чистить нада конечно же руками и головой


Боротся нада не с вирусами, а с причинами их появления.
Вот вы, находя у себя в c:\windows файл svchost.exe что с ним делаете?
- Удаляете?
- ВОТ И ЗРЯ!!!
Каждый день будете удалять. А нужно просто зарпетить всем доступ в нему, и он станет не просто безвредным, а ещё и вирусы будут глючить, пытаясь в него записать себя.
Хотя лучше таки устранить первоначальную причину записи в эту папку.

Утилиты и антивирусы - для чайников и случаев типа чиха, када заипёшься руками лечить все исполняемые файлы в системе.


PS: ваш патч принимается
  Ответить с цитированием

Старый 23.04.2008, 16:25   #5 (permalink)
[Модер]
 
Аватар для mozk
 
Статус: [Оффлайн]
Регистрация: 13.12.2007
Сообщений: 69

:

:
mozk is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


Про AD на малом предприятии не согласен, еще и потому что локалка не всегда есть.
Для домашнего пользования статья есть у КК, FTP его не работает потому ТУТ читайте кому интересно.
По прежнему утверждаю что от двойного клика по диску не спасет первый параметр. вот если правой... зайти в проводник... тогда да.
Про причины согласен.
Не понял про svchost. Если я его нахожу то радуюсь что он жив и работает, если в нем зловредный код поселился заменяю оригиналом после лечения причины.
Руками лечить - понимаю как дизассемблирование бинарника со всеми вытекающими. Ну карй HEX редактором может только маньяк и то по шаблону. ИМХО глупость.

Последний раз редактировалось mozk; 23.04.2008 в 16:31..
  Ответить с цитированием

Старый 23.04.2008, 17:41   #6 (permalink)
[Мембер]
 
Аватар для Ivan_83
 
Статус: [Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130

:

:
Ivan_83 is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


Я себе слабо представляю предприятие без локалки, разве что бабки на базаре семечками торгуют или в какойнить школе какойнить системник неликвидный.

Хз, я обычно не кликаю, а через проводник по дереву. Народ спасает.

Перечитайте ещё раз про svchost.exe, если он у вас там...то лечить там нечего, в остальных случаях встроенная защита, а также то, что файл постоянно открыт не даст вирусам его заменять оригинал.

Руками лечить машину, те берёшь и херишь руками зловреда и с реестра вычищаешь. А бинарники заражённые какимнибуть чихом - нафик нада.
  Ответить с цитированием

Старый 24.04.2008, 14:20   #7 (permalink)
[ньюб]
 
Аватар для Ranza
 
Статус: [Оффлайн]
Регистрация: 02.04.2008
Сообщений: 48

:

:
Ranza is an unknown quantity at this point
Репутация: 9
Родина:
Пол:
По умолчанию


это мой вариант снятия ограничений сделанных авторун-троянами. и всеже помогает далеко не всегда в отличии от тогоже AVZ, юзайте его и будет вам счастье, и небудет у вас ни вирусов ни троянов ни руткитов)

Цитата:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\explorer]

"NoPrinterTabs"=dword:00000000
"NoDeletePrinter"=dword:00000000
"NoAddPrinter"=dword:00000000

"RestrictRun"=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000000

"DisallowCpl"=dword:00000000
"RestrictCpl"=dword:00000000

"NoFolderOptions"=dword:00000000
"NoFileAssociate"=dword:00000000
"StartMenuLogoff "=dword:00000000
"NoSimpleStartMenu"=dword:00000000
"NoTrayItemsDisplay"=dword:00000000

"NoNetHood"=dword:00000000
"NoComputersNearMe"=dword:00000000
"NoDesktop"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoManageMyComputerVerb"=dword:00000000
"DisablePersonalDirChange"=dword:00000000
"NoViewContextMenu"=dword:00000000
"NoTrayContextMenu"=dword:00000000
"NoToolbarCustomize"=dword:00000000
"NoFileMenu"=dword:00000000
"NoCustomizeWebView"=dword:00000000
"NoShellSearchButton"=dword:00000000
"ClassicShell"=dword:00000000
"NoDFSTab"=dword:00000000
"NoControlPanel"=dword:00000000

"NoStartMenuPinnedList"=dword:00000000
"NoStartMenuMFUprogramsList"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoNetworkConnections"=dword:00000000
"NoStartMenuNetworkPlaces"=dword:00000000
"StartmenuLogoff"=dword:00000000
"NoStartMenuSubFolders"=dword:00000000
"NoCommonGroups"=dword:00000000
"NoFavoritesMenu"=dword:00000000
"NoRecentDocsMenu"=dword:00000000
"MaxRecentDocs"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000000
"NoRecentDocsHistory"=dword:00000000
"NoSMMyPictures"=dword:00000000
"NoSMMyMusic"=dword:00000000
"NoSMMyDocs"=dword:00000000
"NoSetFolders"=dword:00000000
"NoSetTaskbar"=dword:00000000
"NoSetActiveDesktop"=dword:00000000
"StartMenuLogoff"=dword:00000000
"NoSMHelp"=dword:00000000
"NoRun"=dword:00000000
"NoStartMenuMorePrograms"=dword:00000000
"NoClose"=dword:00000000
"NoChangeStartMenu"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\explorer\DisallowCpl]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\explorer\RestrictCpl]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\network]

"NoNetSetup"=dword:00000000
"NoNetSetupIDPage"=dword:00000000
"NoNetSetupSecurityPage"=dword:00000000
"NoNetSetupConfigPage"=dword:00000000

"DisablePwdCaching"=dword:00000000
"HideSharePwds"=dword:00000000
"NoDialIn"=dword:00000000
"NoEntireNetwork"=dword:00000000
"NoFileSharing"=dword:00000000
"NoFileSharingControl"=dword:00000000
"NoPrintSharing"=dword:00000000
"NoPrintSharingControl"=dword:00000000
"NoWorkgroupContents"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\system]

"dontdisplaylastusername"=dword:00000000

"NoSecCPL"=dword:00000000
"NoPwdPage"=dword:00000000
"NoAdminPage"=dword:00000000
"NoProfilePage"=dword:00000000

"NoDevMgrPage"=dword:00000000
"NoConfigPage"=dword:00000000
"NoFileSysPage"=dword:00000000
"NoVirtMemPage"=dword:00000000

"DisableChangePassword"=dword:00000000
"DisableLockWorkstation"=dword:00000000
"DisableTaskMgr"=dword:00000000

"NoDispCPL"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispSettingsPage"=dword:00000000

"DisableCMD"=dword:00000000
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/Advanced]
"EnableBalloonTips"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Uninstall]
"NoAddRemovePrograms"=dword:00000000
"NoRemovePage"=dword:00000000
"NoAddPage"=dword:00000000
"NoWindowsSetupPage"=dword:00000000
"NoAddFromCDorFloppy"=dword:00000000
"NoAddFromInternet"=dword:00000000
"NoSupportInfo"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\NonEnum]

"{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000000
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"AutoRestartShell"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\WinOldApp]

"NoRealMode"=dword:00000000
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind ows NT\SystemRestore]

"DisableSR"=dword:00000000

  Ответить с цитированием

Старый 27.04.2008, 20:52   #8 (permalink)
[юный постер]
 
Аватар для ledokol
 
Статус: [Оффлайн]
Регистрация: 12.02.2008
Адрес: Иркутск
Сообщений: 187

:

:
ledokol is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
Имя: Тоха
Сотовый: Nokia N81
По умолчанию


Вообще снос и постановку системы заного!
__________________

  Ответить с цитированием

Старый 28.04.2008, 01:32   #9 (permalink)
[Мембер]
 
Аватар для Ivan_83
 
Статус: [Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130

:

:
Ivan_83 is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


Ranza -


А смысл?
И учти, что без прав админа юзер не сможет изменить свои ограничения.

Всё что написано, можно заменить на это, в принципе эквивалент.
================================================== ======
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"AutoRestartShell"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\WinOldApp]

"NoRealMode"=dword:00000000
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind ows NT\SystemRestore]

"DisableSR"=dword:00000000
================================================== ======

а тут у тебя косые в др сторону: [HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/Advanced]


Не срабатывает иногда, потому что ты правишь только ограничения для текущего пользователя, а ещё такие же ограниченияч есть в HKLM для всего компа.


ledokol -
Угу, как закончишь устанавливать - пихни свою флешку, и начни с начала, может после тысячи цыклов придёт другая идея %)
  Ответить с цитированием

Старый 29.04.2008, 15:39   #10 (permalink)
[ньюб]
 
Аватар для Ranza
 
Статус: [Оффлайн]
Регистрация: 02.04.2008
Сообщений: 48

:

:
Ranza is an unknown quantity at this point
Репутация: 9
Родина:
Пол:
По умолчанию


без прав админа AVZ снимает ограничения!!! сам нераз так снимал пока сам нестал админом) невериш проверь)
  Ответить с цитированием

Старый 15.06.2008, 03:00   #11 (permalink)
[ньюб]
 
Аватар для Tommy
 
Статус: [Оффлайн]
Регистрация: 03.12.2007
Сообщений: 14

:

:
Tommy is an unknown quantity at this point
Репутация: 0
Родина:
Пол:
По умолчанию

Internet_free.exe



Появился новый вирус: Internet_free называется. Смысл в том что при подключении флэшки забуривается во все процессы и не дает эту флэшку вытащить нормальным способом. Переносится в основном на флэшках, другие способы пока замечены не были. Будучи удаленным с флэшки через некоторое время восстанавливается. Единственным пока способом справится с ним является возможность завершить задачу через Task Meneger и удалить его файлы (Internet_free.exe и Autorun.inf) с флэшки вручную. При этом гарантии, что они не остануться на жестком диске и не будут загружены при следующем запуске нет никакой. Антивирусы Kaspersky 7.0 и Symantec Antivirus его не видят, насчет других не знаю.
  Ответить с цитированием

Старый 08.07.2008, 12:08   #12 (permalink)
[Мембер]
 
Аватар для Ivan_83
 
Статус: [Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130

:

:
Ivan_83 is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


Tommy -
Напоминает байку про вирус который через монитор двадцать пятым кадром зомбировал людей
Чё он флешку, приклеивает/привариваривает к разъёму чтоли?)
Или по руке бьёт, када её взять пытаешься?)
  Ответить с цитированием

Старый 08.07.2008, 14:56   #13 (permalink)
[ньюб]
 
Аватар для Ranza
 
Статус: [Оффлайн]
Регистрация: 02.04.2008
Сообщений: 48

:

:
Ranza is an unknown quantity at this point
Репутация: 9
Родина:
Пол:
По умолчанию


просто он запускается с флэшки) и когда пытаешся её програмно отключить он матерится что флэшка занята и неможет быть отключена. кому надо могу кинуть этого корявого зверя, он нормально определяется большинством антивирей (кидал его на virustotal.com его там определили 26 антивирей из 32) каспер его точно определил а вот нод32 дествительно обосрался.
  Ответить с цитированием

Старый 18.07.2008, 12:04   #14 (permalink)
TSM
[ньюб]
 
Аватар для TSM
 
Статус: [Оффлайн]
Регистрация: 04.01.2008
Адрес: Иркутск ex. Крым
Возраст: 36
Сообщений: 23

:

:
TSM is an unknown quantity at this point
Репутация: 1
Родина:
Пол:
Имя: Сергей
Сотовый: MT50->SL-45->M55->SX1->N70
По умолчанию


Админю сеть с доменами (около 200 компов) и вирусы у нас бродят лесом, даже если антивирус не будет работать. Суть такая:
Каждому пользователю домена в профиле прописывается вот такие значения реестра
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
Эта запись не даёт запускаться на компьютере exe, bat и msi файлам, если они не входят в список разрешенных к запуску.
Пример списока
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="LA.exe"
"2"="WinRAR.exe"
"4"="wscript.exe"
"5"="regedit.exe"
"6"="cmd.exe"
"7"="NHSRVW32.EXE"
"8"="paint.exe"
"9"="notepad.exe"
и т.д.
Список составляется один раз для всех и при первом логоне в домен прописывается в реестр пользователя, в перемещаемый профиль.

Действует эффективно:
Во-первых не сработает вирус, даже если антивирус его не опознал
Во-вторых пользователь может запускать только те приложения, которые ему разрешил администратор сети
В-третьих пользователи не смогут устанавливать на своём рабочем компе всякий левый софт, который там явно не нужен.
__________________

Не фарт, но не факт, что по жизни.


-- создать форум phpbb за одну минуту --
создать свой форум Invision Power Board
  Ответить с цитированием

Старый 20.07.2008, 23:58   #15 (permalink)
[Мембер]
 
Аватар для Ivan_83
 
Статус: [Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130

:

:
Ivan_83 is an unknown quantity at this point
Репутация: 5
Родина:
Пол:
По умолчанию


TSM -
1. Ну переименую я virus.exe в notepad.exe и запущу и поставлю...
2. см1 + гимор
3. см1

Если нужно круто зажать то есть политики ограниченного использования программ, там есть вариации работы по хэшу, эцп и прочему.
Приведённое помоему просто защита от дурака и неудобство самому админу.

А что, просто забрать права админа и посадить всех в группу юзерс плохо?
И нтфс везде...
У меня с этим и небольшими затяжками гаек в гп без всяких антивирусов всё чисто уже ни один год.
  Ответить с цитированием
Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 11:41. Часовой пояс GMT +9.




Всё временно - любовь, искусство, планета Земля, вы, я. Особенно я. 2007-2017
Golos.io @gogirotsky