Борьба с вирусами на съемных носителях (autorun.inf)
Вложений: 1
Инфа хоть и баян но думаю пригодится тем кому надоело бороться с авторанами.
Радикальный способ, который заставляет систему думать что такого файла как autorun.inf не существует. Отключает автозапуск везде, т.е. CD и DVD с игрушками придется запускать вручную. Изменения происходят в реестре системы. Для вступления в силу изменений требуется перезагрузка. Содержимое .reg файла: Код:
Windows Registry Editor Version 5.00 |
НЕ КАШЕРНО!!!!!!!!!!!!!!!!!!!!!!!!!!
Цитата:
Добавлено через 4 минуты А ещё, в конторах, где нет необходимости/возможности ставить антивирь, можно в домене такой логон скрипт сделать: Цитата:
И при каждом логоне оно будет вычищать все диски. |
Откуда выдрал?
Первые три параметра не спасают от двойного клика по диску:( Четвертый должен запрещать AutoPlay у известных дисков... - толку с этого мало, заражения все равно не избежать, хотя удалить файлы вируса поможет наверно, если убить процесс вируса. Пятый возвращает дейсвие галочки "скрывать защищенные файлы". Шестой это автозагрузка, вкупе с четвертым и убиванием процесса позволяет убить файлы виря. Седьмой восьмой и девятый возвращают к жизни USB принтеры:) Большой список - это дебаг ветка. В ней винда устанавливает параметры для запуска или НЕзапуска приложений. В итоге все это ИМХО "не кашерно" ©Ivan_83. От заражения не спасет, но последствия поправит, не все к сожалению:twisted: На предприятиях может и отключается, если есть AD и человек который доменом способен рулить. А домен, да и человека далеко не всегда даже на крупных предприятиях можно встретить, о малых вообще молчу, ибо там смысла в AD нет. Скриптик интересный, но, опятьже ИМХО, я бы им не пользовался, не люблю когда в автозагрузке такая фигня сидит, тем более что это средство для уничтожения последствий... плюс с вирьпроцессом этот батник не борется, посему толку мало. P.S. поправте меня если где-то ошибся :redface: P.P.S Здесь есть хороший набор утилит для борьбы с вируснёй. Перед применением читать readme. Набор в самом деле хорош. |
На любой конторе более 5 компов, ну предел 10 должна быть АД, если админ себе не враг.
Есть АД - значит юзеры без прав админа, - пусть хоть обдолбятся запуская вирусы с флешки руками - нихера у них не получится! Вообще, для домашнего обычно хватает первых трёх (там по дее даже одного, для HKLM) и отсутствия прав админа. И то и другое обкатано и у меня дома, и не только у меня дома, и в конторах где есть АД и где его нет, прецедентов заражения именно авторунами НЕБЫЛО НИ ОДНОГО! (был кажется бронток, который себя под папку маскирует и его сам юзер запускает, но и тот на одном только компе) Скриптик - средство автоочистки флешек, хотя и ленивое, ибо мне лень писать для этого прогу и/или сервис, который не только авторуны херить будет при появлении нового диска, но и файлы на которые авторун ссылается. Это средство предотвращения заражения, и небольшая помощь после очистки. Чистить нада конечно же руками и головой :) Боротся нада не с вирусами, а с причинами их появления. Вот вы, находя у себя в c:\windows файл svchost.exe что с ним делаете? - Удаляете? - ВОТ И ЗРЯ!!! Каждый день будете удалять. А нужно просто зарпетить всем доступ в нему, и он станет не просто безвредным, а ещё и вирусы будут глючить, пытаясь в него записать себя. Хотя лучше таки устранить первоначальную причину записи в эту папку. Утилиты и антивирусы - для чайников и случаев типа чиха, када заипёшься руками лечить все исполняемые файлы в системе. PS: ваш патч принимается :) |
Про AD на малом предприятии не согласен, еще и потому что локалка не всегда есть.
Для домашнего пользования статья есть у КК, FTP его не работает потому ТУТ читайте кому интересно. По прежнему утверждаю что от двойного клика по диску не спасет первый параметр. вот если правой... зайти в проводник... тогда да. Про причины согласен. Не понял про svchost. Если я его нахожу то радуюсь что он жив и работает, если в нем зловредный код поселился заменяю оригиналом после лечения причины. Руками лечить - понимаю как дизассемблирование бинарника со всеми вытекающими. Ну карй HEX редактором может только маньяк и то по шаблону. ИМХО глупость. |
Я себе слабо представляю предприятие без локалки, разве что бабки на базаре семечками торгуют или в какойнить школе какойнить системник неликвидный.
Хз, я обычно не кликаю, а через проводник по дереву. Народ спасает. Перечитайте ещё раз про svchost.exe, если он у вас там...то лечить там нечего, в остальных случаях встроенная защита, а также то, что файл постоянно открыт не даст вирусам его заменять оригинал. Руками лечить машину, те берёшь и херишь руками зловреда и с реестра вычищаешь. А бинарники заражённые какимнибуть чихом - нафик нада. |
это мой вариант снятия ограничений сделанных авторун-троянами. и всеже помогает далеко не всегда в отличии от тогоже AVZ, юзайте его и будет вам счастье, и небудет у вас ни вирусов ни троянов ни руткитов)
Цитата:
|
Вообще снос и постановку системы заного!:cool:
|
Ranza -
А смысл? И учти, что без прав админа юзер не сможет изменить свои ограничения. Всё что написано, можно заменить на это, в принципе эквивалент. ================================================== ====== Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "AutoRestartShell"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\WinOldApp] "NoRealMode"=dword:00000000 "Disabled"=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind ows NT\SystemRestore] "DisableSR"=dword:00000000 ================================================== ====== а тут у тебя косые в др сторону: [HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/Advanced] Не срабатывает иногда, потому что ты правишь только ограничения для текущего пользователя, а ещё такие же ограниченияч есть в HKLM для всего компа. ledokol - Угу, как закончишь устанавливать - пихни свою флешку, и начни с начала, может после тысячи цыклов придёт другая идея %) |
без прав админа AVZ снимает ограничения!!! сам нераз так снимал пока сам нестал админом) невериш проверь)
|
Internet_free.exe
Появился новый вирус: Internet_free называется. Смысл в том что при подключении флэшки забуривается во все процессы и не дает эту флэшку вытащить нормальным способом. Переносится в основном на флэшках, другие способы пока замечены не были. Будучи удаленным с флэшки через некоторое время восстанавливается. Единственным пока способом справится с ним является возможность завершить задачу через Task Meneger и удалить его файлы (Internet_free.exe и Autorun.inf) с флэшки вручную. При этом гарантии, что они не остануться на жестком диске и не будут загружены при следующем запуске нет никакой. Антивирусы Kaspersky 7.0 и Symantec Antivirus его не видят, насчет других не знаю.
|
Tommy -
Напоминает байку про вирус который через монитор двадцать пятым кадром зомбировал людей :) Чё он флешку, приклеивает/привариваривает к разъёму чтоли?) Или по руке бьёт, када её взять пытаешься?) |
просто он запускается с флэшки) и когда пытаешся её програмно отключить он матерится что флэшка занята и неможет быть отключена. кому надо могу кинуть этого корявого зверя, он нормально определяется большинством антивирей (кидал его на virustotal.com его там определили 26 антивирей из 32) каспер его точно определил а вот нод32 дествительно обосрался.
|
Админю сеть с доменами (около 200 компов) и вирусы у нас бродят лесом, даже если антивирус не будет работать. Суть такая:
Каждому пользователю домена в профиле прописывается вот такие значения реестра Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] Пример списока Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun] Действует эффективно: Во-первых не сработает вирус, даже если антивирус его не опознал Во-вторых пользователь может запускать только те приложения, которые ему разрешил администратор сети :) В-третьих пользователи не смогут устанавливать на своём рабочем компе всякий левый софт, который там явно не нужен. |
TSM -
1. Ну переименую я virus.exe в notepad.exe и запущу и поставлю... 2. см1 + гимор 3. см1 Если нужно круто зажать то есть политики ограниченного использования программ, там есть вариации работы по хэшу, эцп и прочему. Приведённое помоему просто защита от дурака и неудобство самому админу. А что, просто забрать права админа и посадить всех в группу юзерс плохо? И нтфс везде... У меня с этим и небольшими затяжками гаек в гп без всяких антивирусов всё чисто уже ни один год. |
Текущее время: 03:04. Часовой пояс GMT +9. |
Powered by vBulletin® Version 3.8.8 Beta 2
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод:
zCarot