Безопасность Обсуждение вопросов сетевой безопасности. |
20.04.2008, 01:39
|
#1 (permalink)
|
[Модер]
Статус:
[Оффлайн]
Регистрация: 13.12.2007
Сообщений: 69
:
:
Репутация: 5
Родина:
Пол:
|
Борьба с вирусами на съемных носителях (autorun.inf)
Инфа хоть и баян но думаю пригодится тем кому надоело бороться с авторанами.
Радикальный способ, который заставляет систему думать что такого файла как autorun.inf не существует.
Отключает автозапуск везде, т.е. CD и DVD с игрушками придется запускать вручную.
Изменения происходят в реестре системы. Для вступления в силу изменений требуется перезагрузка.
Содержимое .reg файла:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Для пользователей: скачайте прикрепленный файл, поменяйте расширение на .reg (autorunOff.reg - так должен файл называццо). Два раза по нему кликнуть и применить изменения.
Последний раз редактировалось mozk; 20.04.2008 в 01:50..
|
|
|
22.04.2008, 20:06
|
#2 (permalink)
|
[Мембер]
Статус:
[Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130
:
:
Репутация: 5
Родина:
Пол:
|
Последний раз редактировалось Ivan_83; 22.04.2008 в 20:06..
Причина: Добавлено сообщение
|
|
|
22.04.2008, 21:36
|
#3 (permalink)
|
[Модер]
Статус:
[Оффлайн]
Регистрация: 13.12.2007
Сообщений: 69
:
:
Репутация: 5
Родина:
Пол:
|
Откуда выдрал?
Первые три параметра не спасают от двойного клика по диску
Четвертый должен запрещать AutoPlay у известных дисков... - толку с этого мало, заражения все равно не избежать, хотя удалить файлы вируса поможет наверно, если убить процесс вируса.
Пятый возвращает дейсвие галочки "скрывать защищенные файлы".
Шестой это автозагрузка, вкупе с четвертым и убиванием процесса позволяет убить файлы виря.
Седьмой восьмой и девятый возвращают к жизни USB принтеры
Большой список - это дебаг ветка. В ней винда устанавливает параметры для запуска или НЕзапуска приложений.
В итоге все это ИМХО "не кашерно" ©Ivan_83. От заражения не спасет, но последствия поправит, не все к сожалению
На предприятиях может и отключается, если есть AD и человек который доменом способен рулить. А домен, да и человека далеко не всегда даже на крупных предприятиях можно встретить, о малых вообще молчу, ибо там смысла в AD нет.
Скриптик интересный, но, опятьже ИМХО, я бы им не пользовался, не люблю когда в автозагрузке такая фигня сидит, тем более что это средство для уничтожения последствий... плюс с вирьпроцессом этот батник не борется, посему толку мало.
P.S. поправте меня если где-то ошибся
P.P.S Здесь есть хороший набор утилит для борьбы с вируснёй. Перед применением читать readme. Набор в самом деле хорош.
Последний раз редактировалось mozk; 23.04.2008 в 15:45..
|
|
|
22.04.2008, 22:47
|
#4 (permalink)
|
[Мембер]
Статус:
[Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130
:
:
Репутация: 5
Родина:
Пол:
|
На любой конторе более 5 компов, ну предел 10 должна быть АД, если админ себе не враг.
Есть АД - значит юзеры без прав админа, - пусть хоть обдолбятся запуская вирусы с флешки руками - нихера у них не получится!
Вообще, для домашнего обычно хватает первых трёх (там по дее даже одного, для HKLM) и отсутствия прав админа.
И то и другое обкатано и у меня дома, и не только у меня дома, и в конторах где есть АД и где его нет, прецедентов заражения именно авторунами НЕБЫЛО НИ ОДНОГО!
(был кажется бронток, который себя под папку маскирует и его сам юзер запускает, но и тот на одном только компе)
Скриптик - средство автоочистки флешек, хотя и ленивое, ибо мне лень писать для этого прогу и/или сервис, который не только авторуны херить будет при появлении нового диска, но и файлы на которые авторун ссылается.
Это средство предотвращения заражения, и небольшая помощь после очистки.
Чистить нада конечно же руками и головой
Боротся нада не с вирусами, а с причинами их появления.
Вот вы, находя у себя в c:\windows файл svchost.exe что с ним делаете?
- Удаляете?
- ВОТ И ЗРЯ!!!
Каждый день будете удалять. А нужно просто зарпетить всем доступ в нему, и он станет не просто безвредным, а ещё и вирусы будут глючить, пытаясь в него записать себя.
Хотя лучше таки устранить первоначальную причину записи в эту папку.
Утилиты и антивирусы - для чайников и случаев типа чиха, када заипёшься руками лечить все исполняемые файлы в системе.
PS: ваш патч принимается
|
|
|
23.04.2008, 16:25
|
#5 (permalink)
|
[Модер]
Статус:
[Оффлайн]
Регистрация: 13.12.2007
Сообщений: 69
:
:
Репутация: 5
Родина:
Пол:
|
Про AD на малом предприятии не согласен, еще и потому что локалка не всегда есть.
Для домашнего пользования статья есть у КК, FTP его не работает потому ТУТ читайте кому интересно.
По прежнему утверждаю что от двойного клика по диску не спасет первый параметр. вот если правой... зайти в проводник... тогда да.
Про причины согласен.
Не понял про svchost. Если я его нахожу то радуюсь что он жив и работает, если в нем зловредный код поселился заменяю оригиналом после лечения причины.
Руками лечить - понимаю как дизассемблирование бинарника со всеми вытекающими. Ну карй HEX редактором может только маньяк и то по шаблону. ИМХО глупость.
Последний раз редактировалось mozk; 23.04.2008 в 16:31..
|
|
|
23.04.2008, 17:41
|
#6 (permalink)
|
[Мембер]
Статус:
[Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130
:
:
Репутация: 5
Родина:
Пол:
|
Я себе слабо представляю предприятие без локалки, разве что бабки на базаре семечками торгуют или в какойнить школе какойнить системник неликвидный.
Хз, я обычно не кликаю, а через проводник по дереву. Народ спасает.
Перечитайте ещё раз про svchost.exe, если он у вас там...то лечить там нечего, в остальных случаях встроенная защита, а также то, что файл постоянно открыт не даст вирусам его заменять оригинал.
Руками лечить машину, те берёшь и херишь руками зловреда и с реестра вычищаешь. А бинарники заражённые какимнибуть чихом - нафик нада.
|
|
|
24.04.2008, 14:20
|
#7 (permalink)
|
[ньюб]
Статус:
[Оффлайн]
Регистрация: 02.04.2008
Сообщений: 48
:
:
Репутация: 9
Родина:
Пол:
|
|
|
|
27.04.2008, 20:52
|
#8 (permalink)
|
[юный постер]
Статус:
[Оффлайн]
Регистрация: 12.02.2008
Адрес: Иркутск
Сообщений: 187
:
:
Репутация: 5
Родина:
Пол:
Имя: Тоха
Сотовый: Nokia N81
|
Вообще снос и постановку системы заного!
__________________
|
|
|
28.04.2008, 01:32
|
#9 (permalink)
|
[Мембер]
Статус:
[Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130
:
:
Репутация: 5
Родина:
Пол:
|
Ranza -
А смысл?
И учти, что без прав админа юзер не сможет изменить свои ограничения.
Всё что написано, можно заменить на это, в принципе эквивалент.
================================================== ======
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\WinOldApp]
"NoRealMode"=dword:00000000
"Disabled"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind ows NT\SystemRestore]
"DisableSR"=dword:00000000
================================================== ======
а тут у тебя косые в др сторону: [HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/Advanced]
Не срабатывает иногда, потому что ты правишь только ограничения для текущего пользователя, а ещё такие же ограниченияч есть в HKLM для всего компа.
ledokol -
Угу, как закончишь устанавливать - пихни свою флешку, и начни с начала, может после тысячи цыклов придёт другая идея %)
|
|
|
29.04.2008, 15:39
|
#10 (permalink)
|
[ньюб]
Статус:
[Оффлайн]
Регистрация: 02.04.2008
Сообщений: 48
:
:
Репутация: 9
Родина:
Пол:
|
без прав админа AVZ снимает ограничения!!! сам нераз так снимал пока сам нестал админом) невериш проверь)
|
|
|
15.06.2008, 03:00
|
#11 (permalink)
|
[ньюб]
Статус:
[Оффлайн]
Регистрация: 03.12.2007
Сообщений: 14
:
:
Репутация: 0
Родина:
Пол:
|
Internet_free.exe
Появился новый вирус: Internet_free называется. Смысл в том что при подключении флэшки забуривается во все процессы и не дает эту флэшку вытащить нормальным способом. Переносится в основном на флэшках, другие способы пока замечены не были. Будучи удаленным с флэшки через некоторое время восстанавливается. Единственным пока способом справится с ним является возможность завершить задачу через Task Meneger и удалить его файлы (Internet_free.exe и Autorun.inf) с флэшки вручную. При этом гарантии, что они не остануться на жестком диске и не будут загружены при следующем запуске нет никакой. Антивирусы Kaspersky 7.0 и Symantec Antivirus его не видят, насчет других не знаю.
|
|
|
08.07.2008, 12:08
|
#12 (permalink)
|
[Мембер]
Статус:
[Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130
:
:
Репутация: 5
Родина:
Пол:
|
Tommy -
Напоминает байку про вирус который через монитор двадцать пятым кадром зомбировал людей
Чё он флешку, приклеивает/привариваривает к разъёму чтоли?)
Или по руке бьёт, када её взять пытаешься?)
|
|
|
08.07.2008, 14:56
|
#13 (permalink)
|
[ньюб]
Статус:
[Оффлайн]
Регистрация: 02.04.2008
Сообщений: 48
:
:
Репутация: 9
Родина:
Пол:
|
просто он запускается с флэшки) и когда пытаешся её програмно отключить он матерится что флэшка занята и неможет быть отключена. кому надо могу кинуть этого корявого зверя, он нормально определяется большинством антивирей (кидал его на virustotal.com его там определили 26 антивирей из 32) каспер его точно определил а вот нод32 дествительно обосрался.
|
|
|
18.07.2008, 12:04
|
#14 (permalink)
|
[ньюб]
Статус:
[Оффлайн]
Регистрация: 04.01.2008
Адрес: Иркутск ex. Крым
Возраст: 42
Сообщений: 23
:
:
Репутация: 1
Родина:
Пол:
Имя: Сергей
Сотовый: MT50->SL-45->M55->SX1->N70
|
Админю сеть с доменами (около 200 компов) и вирусы у нас бродят лесом, даже если антивирус не будет работать. Суть такая:
Каждому пользователю домена в профиле прописывается вот такие значения реестра
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
Эта запись не даёт запускаться на компьютере exe, bat и msi файлам, если они не входят в список разрешенных к запуску.
Пример списока
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="LA.exe"
"2"="WinRAR.exe"
"4"="wscript.exe"
"5"="regedit.exe"
"6"="cmd.exe"
"7"="NHSRVW32.EXE"
"8"="paint.exe"
"9"="notepad.exe"
и т.д.
Список составляется один раз для всех и при первом логоне в домен прописывается в реестр пользователя, в перемещаемый профиль.
Действует эффективно:
Во-первых не сработает вирус, даже если антивирус его не опознал
Во-вторых пользователь может запускать только те приложения, которые ему разрешил администратор сети
В-третьих пользователи не смогут устанавливать на своём рабочем компе всякий левый софт, который там явно не нужен.
__________________
Не фарт, но не факт, что по жизни.
-- создать форум phpbb за одну минуту --
создать свой форум Invision Power Board
|
|
|
20.07.2008, 23:58
|
#15 (permalink)
|
[Мембер]
Статус:
[Оффлайн]
Регистрация: 16.08.2007
Сообщений: 130
:
:
Репутация: 5
Родина:
Пол:
|
TSM -
1. Ну переименую я virus.exe в notepad.exe и запущу и поставлю...
2. см1 + гимор
3. см1
Если нужно круто зажать то есть политики ограниченного использования программ, там есть вариации работы по хэшу, эцп и прочему.
Приведённое помоему просто защита от дурака и неудобство самому админу.
А что, просто забрать права админа и посадить всех в группу юзерс плохо?
И нтфс везде...
У меня с этим и небольшими затяжками гаек в гп без всяких антивирусов всё чисто уже ни один год.
|
|
|
Опции темы |
|
Опции просмотра |
Линейный вид
|
Ваши права в разделе
|
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
HTML код Выкл.
|
|
|
Текущее время: 18:09. Часовой пояс GMT +9. |
|
|
|