Roman Merkushin 131 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 (изменено) И снова мусолится эта старая тема.. "Сделать так, чтобы на флэшку не лезли вирусы" можно только сделав ее невидимой для всех форточек - например, отформатировав ее в "чужую" файловую систему )) Но тк на 90% компьютеров стоит винда - это не решение Обмануть вирусню можно было бы и монтируя флэшку без присвоения ей "буквы" (в любую папку на любом разделе - так называемые junсtion points), но это прокатывает только если ФС на usb-диске - ntfs, да и способ работает только на тех компах, где проведены предварительные настройки форточек. Ну а способ с защитой от записи - неудобен (ибо в корень писать нельзя, и по "Отправить" будет облом, и для памяти, например, плеера эта фишка не прокатит), да и работает он только при условии, что везде, куда вы суете свою флэшку, активный юзер не входит в группу "Администраторы", что тоже, увы, недостижимо. Так что 100% эффективного способа нет, и это уже стотысячпицот раз было сказано и писано. ОС Виндоуз не позволяет закрыть этот вопрос раз и навсегда (например, сделав автозапуск без выполнения инф-файлов). Tаrаsitm, а в чем проблема? Защитить отдельно взятые компьютеры от авторан-вирусов вполне можно. Отключи форточный сервис "Определение оборудования оболочки" (Shеll hаrdwаrе dеtесtion) и забудь об автоматическом выполнении файлов аutorun.inf (разве что самому, ручками, теперь можно будет их запустить, и эту возможность можно исключить, например, настройкой списка разрешенных для запуска приложений в групповых политиках безопасности или твоем антивирусном комбайне). Ну а уж удалять теперь уже не страшных зловредов придется ручками, антивирусом или вообще не удалять Изменено 24 марта, 2010 пользователем Roman Merkushin 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Kanaduchi 287 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 Споры - споры... Создал 2 папки на флешке: autorun.inf\com1 и desktop.ini\com1 с атрибутами +s +h. В результате ни одна зараза не смогла их удалить и вставить свой автозапуск. А то что они копируются в корень флешки - не беда, т.к. потом их вручную можно элементарно удалить. Данный метод опробовал на нескольких своих знакомых - все довольны. Т.к. флешки постоянно используются в различных ЦОПах и чистыми быть никак не могут. А благодаря "неудаляемым" файлам, вирусы просто не могут с флешки себя проявить. Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить: А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Suren 51 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить: А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe? С последним не согласен, ибо есть вирусня, которая косит под папки с таким-же названием, а настоящие прячет. Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит Цитата Ссылка на сообщение Поделиться на другие сайты
Drru 143 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe? У меня нет, но желающие найдутся. И ещё, есть вирусы которые заражают другие файлы. Например Sality. Цитата из описания: Заражение файлов Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: EXE SCR Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт. Заражаются только файлы, которые содержат в PE-заголовке секции: TEXT UPX CODE При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредонос копирует оригинальное не зараженное тело файла в созданный временный каталог с именем: %Temp%\__Rar\<имя запускаемого файла>.exe В этом случае пользователь запустит нужную ему программу и ... Поймите меня правильно, я не против, но пользователь должен понимать, что это далеко не панацея. Даже больше - это просто "костыль", который помогает, но не защищает. Понимаете, у некоторые пользователей создаётся иллюзия полной защиты. Гораздо эффективней отключить автозапуск, работать под учётной записью с ограниченными правами и иметь нормальный, настроенный антивирус, а, да, чуть не забыл, пытаться думать. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman Merkushin 131 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 (изменено) Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидитВот только если у тебя не отключено выполнение autorun.inf и ты уже "увидел" ранее скрытую "неудаляемую" папку - то как бы "матрица тебя уже поимела"))) Изменено 24 марта, 2010 пользователем Roman Merkushin Цитата Ссылка на сообщение Поделиться на другие сайты
Kanaduchi 287 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит У меня стоит в системе отображение скрытых папок и данная папка видна всегда, независимо от наличия вирусов) Цитата Ссылка на сообщение Поделиться на другие сайты
tarasitm 23 Опубликовано 24 марта, 2010 Автор Share Опубликовано 24 марта, 2010 (изменено) Создал 2 папки на флешке: autorun.inf\com1 и desktop.ini\com1 с атрибутами +s +h. Ну вот и развитие наметилось! Уважаемый Kanaduchi! А не могли-бы Вы bat файл написать и выложить здесь? Заранее спасибо. Tаrаsitm, а в чем проблема? Защитить отдельно взятые компьютеры от авторан-вирусов вполне можно. Отключи форточный сервис "Определение оборудования оболочки" (Shеll hаrdwаrе dеtесtion) и забудь об автоматическом выполнении файлов аutorun.inf (разве что самому, ручками, теперь можно будет их запустить, и эту возможность можно исключить, например, настройкой списка разрешенных для запуска приложений в групповых политиках безопасности или твоем антивирусном комбайне). Ну а уж удалять теперь уже не страшных зловредов придется ручками, антивирусом или вообще не удалять Спасибо Roman Merkushin! Ваши объяснения как всегда обстоятельны и убедительны! Изменено 24 марта, 2010 пользователем tarasitm Цитата Ссылка на сообщение Поделиться на другие сайты
valet 57 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 (изменено) А не могли-бы Вы bat файл написать и выложить здесь? Примерный батник GanK приводил: rd /s /q %~d0\recycled rd /s /q %~d0\recycler rd /s /q "%~d0\System Volume Information" del /f /q %~d0\autorun.* mkdir "\\?\%~d0\autorun.inf\com1" attrib +s +h +r %~d0\autorun.inf Ну и дописать туда: mkdir "\\?\%~d0\desktop.ini\com1" attrib +s +h +r %~d0\desktop.ini А в принципе, можно и форматировать в линуксовую ФС (пост 31). А на ненужной флешке носить Ext2Fsd. И, опять же, это спасет (? - не проверял) только от авторан-вирусов. Изменено 24 марта, 2010 пользователем valet Цитата Ссылка на сообщение Поделиться на другие сайты
tarasitm 23 Опубликовано 24 марта, 2010 Автор Share Опубликовано 24 марта, 2010 Примерный батник GanK приводил:... Спасибо большое! Цитата Ссылка на сообщение Поделиться на другие сайты
Kanaduchi 287 Опубликовано 24 марта, 2010 Share Опубликовано 24 марта, 2010 Мой bat'ник с диалогами: @echo off ECHO. ECHO =========================== ECHO ====ANTI AUTORUN SCRIPT==== ECHO ====Kanaduchi @2010==== ECHO =========================== ECHO. set /p proc="Вы хотите активировать защиту вашего Flash устройства? [y/n] - " if %proc% == y ( rem Удаление всех лишних файлов ECHO. <nul set /p strTemp=Удаление ненужных папок и файлов. if exist "%~d0\recycled" ( rd /s /q "%~d0\recycled" ) ping 127.1 -n 2 >nul <nul set /p strTemp=.. if exist "%~d0\recycler" ( rd /s /q "%~d0\recycler" ) ping 127.1 -n 2 >nul <nul set /p strTemp=.. if exist "%~d0\System Volume Information" ( rd /s /q "%~d0\System Volume Information" ) ping 127.1 -n 2 >nul <nul set /p strTemp=.. if exist "%~d0\desktop.ini" ( del /f /q "%~d0\desktop.ini" ) ECHO OK ECHO. rem Создание папки с идентификатором com порта <nul set /p strTemp=Создание системных директорий и файлов. if exist "\\?\%~d0\autorun.inf\com1" ( goto next ) else ( mkdir "\\?\%~d0\autorun.inf\com1" attrib +s +h %~d0\autorun.inf ) :next ping 127.1 -n 4 >nul <nul set /p strTemp=...... rem Создание папки с идентификатором com порта if exist "\\?\%~d0\desktop.ini\com1" ( goto next ) else ( mkdir "\\?\%~d0\desktop.ini\com1" attrib +s +h %~d0\desktop.ini ) :next ECHO OK ECHO. ECHO --------------------------- ECHO. ECHO Защита вашего FLASH устройства успешно активирована! ) rem Удаление за собой всех лишних файлов ECHO. PAUSE del /f /q %~d0\autorun.bat Цитата Ссылка на сообщение Поделиться на другие сайты
tarasitm 23 Опубликовано 27 марта, 2010 Автор Share Опубликовано 27 марта, 2010 (изменено) Мой bat'ник с диалогами: Полный сервис, графический интерфейс! Большое спасибо Kanaduchi! Как я понимаю, все учтено? -------------------------------------------------------------------------------------------------------------------------------------------------------------- А вот еще знакомые переслали инфо по этой теме. Два файла с расширением reg: Файл №1 (NoAutoRun.reg), текст: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" Файл №2 (АбракадабраКодовойСтраницы.reg), текст: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage] "1250"="c_1251.nls" "1252"="c_1251.nls" Как мне объяснили запуск этих файлов просто закрывает автозагрузку? Думаю, что это излишне и автозагрузку можно просто отключить из интерфейса Win? Изменено 27 марта, 2010 пользователем tarasitm Цитата Ссылка на сообщение Поделиться на другие сайты
Suren 51 Опубликовано 27 марта, 2010 Share Опубликовано 27 марта, 2010 Kanaduchi чёта у меня абракадабра в окошке Кодировки в винде не правильные? Цитата Ссылка на сообщение Поделиться на другие сайты
apq 361 Опубликовано 27 марта, 2010 Share Опубликовано 27 марта, 2010 чёта у меня абракадабра в окошке аналогично, вместо русских символов кракозябры, попробовал сохранять код в юникоде, тогда батник запускается и сразу же вылетвет Цитата Ссылка на сообщение Поделиться на другие сайты
Suren 51 Опубликовано 27 марта, 2010 Share Опубликовано 27 марта, 2010 (изменено) apq ну там в принципе всё понятно и так. Создаётся две папки на флешке. Просто удивило, что Полный сервис, графический интерфейс! Большое спасибо Kanaduchi! как я понял у человека всё нормально отобразилось. Сделал надписи в транслитерации, теперь нормально Изменено 27 марта, 2010 пользователем Suren Цитата Ссылка на сообщение Поделиться на другие сайты
Roman Merkushin 131 Опубликовано 27 марта, 2010 Share Опубликовано 27 марта, 2010 tаrаsitm, достаточно просто отключить службу "определение оборудования оболочки", остальные твики после этого теряют смысл. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.