Борьба с вирусами на съемных носителях (autorun.inf)
 

Инфа хоть и баян но думаю пригодится тем кому надоело бороться с авторанами.
Радикальный способ, который заставляет систему думать что такого файла как autorun.inf не существует.
Отключает автозапуск везде, т.е. CD и DVD с игрушками придется запускать вручную.
Изменения происходят в реестре системы. Для вступления в силу изменений требуется перезагрузка.
Содержимое .reg файла:
Для пользователей: скачайте прикрепленный файл, поменяйте расширение на .reg (autorunOff.reg - так должен файл называццо). Два раза по нему кликнуть и применить изменения.

НЕ КАШЕРНО!!!!!!!!!!!!!!!!!!!!!!!!!!


Вообще, на предприятиях оно через ГП в домене отключается, это так, для дома-частников-одиночек.

Добавлено через 4 минуты
А ещё, в конторах, где нет необходимости/возможности ставить антивирь, можно в домене такой логон скрипт сделать:

Строчку с юзбимонсом можно убрать, если безправные.
И при каждом логоне оно будет вычищать все диски.

Откуда выдрал?
Первые три параметра не спасают от двойного клика по диску:(
Четвертый должен запрещать AutoPlay у известных дисков... - толку с этого мало, заражения все равно не избежать, хотя удалить файлы вируса поможет наверно, если убить процесс вируса.
Пятый возвращает дейсвие галочки "скрывать защищенные файлы".
Шестой это автозагрузка, вкупе с четвертым и убиванием процесса позволяет убить файлы виря.
Седьмой восьмой и девятый возвращают к жизни USB принтеры:)
Большой список - это дебаг ветка. В ней винда устанавливает параметры для запуска или НЕзапуска приложений.
В итоге все это ИМХО "не кашерно" ©Ivan_83. От заражения не спасет, но последствия поправит, не все к сожалению:twisted:

На предприятиях может и отключается, если есть AD и человек который доменом способен рулить. А домен, да и человека далеко не всегда даже на крупных предприятиях можно встретить, о малых вообще молчу, ибо там смысла в AD нет.

Скриптик интересный, но, опятьже ИМХО, я бы им не пользовался, не люблю когда в автозагрузке такая фигня сидит, тем более что это средство для уничтожения последствий... плюс с вирьпроцессом этот батник не борется, посему толку мало.
P.S. поправте меня если где-то ошибся :redface:
P.P.S Здесь есть хороший набор утилит для борьбы с вируснёй. Перед применением читать readme. Набор в самом деле хорош.

На любой конторе более 5 компов, ну предел 10 должна быть АД, если админ себе не враг.

Есть АД - значит юзеры без прав админа, - пусть хоть обдолбятся запуская вирусы с флешки руками - нихера у них не получится!

Вообще, для домашнего обычно хватает первых трёх (там по дее даже одного, для HKLM) и отсутствия прав админа.

И то и другое обкатано и у меня дома, и не только у меня дома, и в конторах где есть АД и где его нет, прецедентов заражения именно авторунами НЕБЫЛО НИ ОДНОГО!
(был кажется бронток, который себя под папку маскирует и его сам юзер запускает, но и тот на одном только компе)

Скриптик - средство автоочистки флешек, хотя и ленивое, ибо мне лень писать для этого прогу и/или сервис, который не только авторуны херить будет при появлении нового диска, но и файлы на которые авторун ссылается.

Это средство предотвращения заражения, и небольшая помощь после очистки.
Чистить нада конечно же руками и головой :)


Боротся нада не с вирусами, а с причинами их появления.
Вот вы, находя у себя в c:\windows файл svchost.exe что с ним делаете?
- Удаляете?
- ВОТ И ЗРЯ!!!
Каждый день будете удалять. А нужно просто зарпетить всем доступ в нему, и он станет не просто безвредным, а ещё и вирусы будут глючить, пытаясь в него записать себя.
Хотя лучше таки устранить первоначальную причину записи в эту папку.

Утилиты и антивирусы - для чайников и случаев типа чиха, када заипёшься руками лечить все исполняемые файлы в системе.


PS: ваш патч принимается :)

Про AD на малом предприятии не согласен, еще и потому что локалка не всегда есть.
Для домашнего пользования статья есть у КК, FTP его не работает потому ТУТ читайте кому интересно.
По прежнему утверждаю что от двойного клика по диску не спасет первый параметр. вот если правой... зайти в проводник... тогда да.
Про причины согласен.
Не понял про svchost. Если я его нахожу то радуюсь что он жив и работает, если в нем зловредный код поселился заменяю оригиналом после лечения причины.
Руками лечить - понимаю как дизассемблирование бинарника со всеми вытекающими. Ну карй HEX редактором может только маньяк и то по шаблону. ИМХО глупость.

Я себе слабо представляю предприятие без локалки, разве что бабки на базаре семечками торгуют или в какойнить школе какойнить системник неликвидный.

Хз, я обычно не кликаю, а через проводник по дереву. Народ спасает.

Перечитайте ещё раз про svchost.exe, если он у вас там...то лечить там нечего, в остальных случаях встроенная защита, а также то, что файл постоянно открыт не даст вирусам его заменять оригинал.

Руками лечить машину, те берёшь и херишь руками зловреда и с реестра вычищаешь. А бинарники заражённые какимнибуть чихом - нафик нада.

это мой вариант снятия ограничений сделанных авторун-троянами. и всеже помогает далеко не всегда в отличии от тогоже AVZ, юзайте его и будет вам счастье, и небудет у вас ни вирусов ни троянов ни руткитов)

Вообще снос и постановку системы заного!:cool:

Ranza -


А смысл?
И учти, что без прав админа юзер не сможет изменить свои ограничения.

Всё что написано, можно заменить на это, в принципе эквивалент.
================================================== ======
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"AutoRestartShell"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\WinOldApp]

"NoRealMode"=dword:00000000
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Wind ows NT\SystemRestore]

"DisableSR"=dword:00000000
================================================== ======

а тут у тебя косые в др сторону: [HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/Advanced]


Не срабатывает иногда, потому что ты правишь только ограничения для текущего пользователя, а ещё такие же ограниченияч есть в HKLM для всего компа.


ledokol -
Угу, как закончишь устанавливать - пихни свою флешку, и начни с начала, может после тысячи цыклов придёт другая идея %)

без прав админа AVZ снимает ограничения!!! сам нераз так снимал пока сам нестал админом) невериш проверь)

Internet_free.exe
 

Появился новый вирус: Internet_free называется. Смысл в том что при подключении флэшки забуривается во все процессы и не дает эту флэшку вытащить нормальным способом. Переносится в основном на флэшках, другие способы пока замечены не были. Будучи удаленным с флэшки через некоторое время восстанавливается. Единственным пока способом справится с ним является возможность завершить задачу через Task Meneger и удалить его файлы (Internet_free.exe и Autorun.inf) с флэшки вручную. При этом гарантии, что они не остануться на жестком диске и не будут загружены при следующем запуске нет никакой. Антивирусы Kaspersky 7.0 и Symantec Antivirus его не видят, насчет других не знаю.

Tommy -
Напоминает байку про вирус который через монитор двадцать пятым кадром зомбировал людей :)
Чё он флешку, приклеивает/привариваривает к разъёму чтоли?)
Или по руке бьёт, када её взять пытаешься?)

просто он запускается с флэшки) и когда пытаешся её програмно отключить он матерится что флэшка занята и неможет быть отключена. кому надо могу кинуть этого корявого зверя, он нормально определяется большинством антивирей (кидал его на virustotal.com его там определили 26 антивирей из 32) каспер его точно определил а вот нод32 дествительно обосрался.

Админю сеть с доменами (около 200 компов) и вирусы у нас бродят лесом, даже если антивирус не будет работать. Суть такая:
Каждому пользователю домена в профиле прописывается вот такие значения реестра
Эта запись не даёт запускаться на компьютере exe, bat и msi файлам, если они не входят в список разрешенных к запуску.
Пример списока
Список составляется один раз для всех и при первом логоне в домен прописывается в реестр пользователя, в перемещаемый профиль.

Действует эффективно:
Во-первых не сработает вирус, даже если антивирус его не опознал
Во-вторых пользователь может запускать только те приложения, которые ему разрешил администратор сети :)
В-третьих пользователи не смогут устанавливать на своём рабочем компе всякий левый софт, который там явно не нужен.

TSM -
1. Ну переименую я virus.exe в notepad.exe и запущу и поставлю...
2. см1 + гимор
3. см1

Если нужно круто зажать то есть политики ограниченного использования программ, там есть вариации работы по хэшу, эцп и прочему.
Приведённое помоему просто защита от дурака и неудобство самому админу.

А что, просто забрать права админа и посадить всех в группу юзерс плохо?
И нтфс везде...
У меня с этим и небольшими затяжками гаек в гп без всяких антивирусов всё чисто уже ни один год.