» USB Anti Autorun

Цитата:

может случиться прикол: вставил диск

слышал об этом, но у меня такого не случалось
Цитата:

Эпицентр распространения вирусов - файл AUTORUN.INF, создание вместо него папки достаточно для блокирования распространения СТАРЫХ вирусов.

ну так в том и прикол, создать неудаляемую папку

Цитата:

Защита должна быть комплексной. Наличие какого - нибудь антивиря обязательна...

ясен пень, я это даже не обсуждал. я все это замутил как ДОПОЛНЕНИЕ, и как показала практика, отнюдь не лишнее.

Цитата:

Принцип скрипта - создание дополнительных папок/файлов

неудаляемых (ну если только флэху форматнуть), разве не так?

Меня интересует второй пункт - реестр (ну не гуру я в нем!), не накосячил ли я там?

Цитата:

Цитата: Цитата:Принцип скрипта - создание дополнительных папок/файлов

неудаляемых (ну если только флэху форматнуть), разве не так?

Цитата:

Как раз удаляемых

? ну просто так они не удаляются! И до сих пор мне это помогало, и не только мне! Думаю это дополнение все таки лучше чем ничего? Стена по кирпичикам строится!

SLKuL
Притом, когда вирь не может удалить папку - он ее переименовывает...
100% помогает...

Скачал мелкую утилиту Flash Drive Protector 1.0 с http://www.manhunter.ru/releases/192_flash_drive_protector_1_0.html
Она создала на флэшке autorun.inf который я удалить или переименовать не могу.
Вот бы еще RECYCLER, System Volume Information и др. так сделать на всякий случай!

ЗЫ:
Разобрался как сделать RECYCLER и др.файлы защищенными от удаления и переименования! С помощью WinHEX нужно править атрибуты.

SLKuL
Притом, когда вирь не может удалить папку - он ее переименовывает...
100% помогает...

[q][/q]

Вот заладил! Не встречал я еще такого виря к счастью! И файлы RECYCLER и др, делаю (с помощью WinHex) по точно такому же методу что Flash Drive Protector (атрибут файла 77) и Panda USB and AutoRun Vaccine (атрибут файла 42), и удалить их или переименовать из под винды никак не могу! Попробуй сначала сам переименуй (без WinHex-a)!

To ALL
Старым добрым Norton Commander'ом всё это сносится на ура. Сегодня пробовал.
SLKuL
И переименовать и удалить, и делать всё что угодно можно при помощи скрипта, или NC, DN etc.

Цитата:

Старым добрым Norton Commander'ом всё это сносится на ура. Сегодня пробовал.

Цитата:

или NC, DN etc.

Нука нука, с этого момента поподробнее! Только что создал файлы - пробовал открыть/удалить из под винды с помощью FAR-а, Total Commander, Volkov Commander 4.99.08, DOS Nsvigator v1.51.10b16 Win32, Norton Commander v5.0 - БЕСПОЛЕЗНО!
Ты либо реально великий кул-хацкер, либо просто поставил на файлы атрибут только чтение WinHex в руках держал? Выставляй атрибут 77 или 42 (если не знаешь как, то спроси) и отпишись о результатах, я уже всю флэшку затерроризировал, не могу удалить и все (только форматом)!

PS:
Скрипт в студию! Только что запускал MiniAntiAutorun - он не смог удалить autorun.inf и завершил работу, файлы остался не измененным.

После WinHex'а папку/файл уже удалить/переименовать нельзя.
Самый простой способ использования WinHex'а:
1. Создать на флешке папку/файл, атрибуты которых будут редактироваться.
2. В WinHex'е нажать F9 и выбрать свою флешку.
3. Вверху выбрать только что созданные папку/файл, нажать правой кнопкой мыши, выбрать Position->Go To Directory Entry (позиция, перейти к точке входа директории)
В старых версиях не было 'position'...
4. Сразу за названием папки autorun.inf следует атрибут, а в случае файлов recycler/recycled следовало 3 пробела (20h), а затем атрибуты.
Похоже, под имя файла всегда отводится 8+3 символа, после которых идут атрибуты
5. Установить атрибуты.
Папкам я устанавливал атрибут 77h, а файлам 67h

el_verdugo

Цитата:

Уже работает с NTFS...

увы не работает сегодня скачал последнюю вер. Panda USB Vaccine, флэшка у меня Transcend JF V60 на 16gb. в NTFS
после запуска утилиты она вроде говорить что все ОК!

но файл autorun.inf на диске не создаеться.

Цитата:

Папкам я устанавливал атрибут

Все верно. Я только в одном вопросе не совсем разобрался: относительно атрибутов. Разные проги используют разные (42 , 47, 77) я пробовал и так и сяк - результат одинаков. Может в этом есть какой либо скрытый смысл? Или действительно, без разницы.. Я и на файлы и на папки ставил одинаковый атрибут - ризницы нет. Да и в случае с WinHex-ом не вижу никакой необходимости создавать именно папку, я создал текстовый документ RECYCLER.txt, убрал расширение, создал файлы autorun.inf и desktop.ini , присвоил всем атрибут 77, и все начало отображаться как папки. НО когда я поменял атрибуты на 42 то RECYCLER принял вид несвязанного с приложением, а autorun.inf и desktop.ini приняли вид файлов. С атрибутом 47 та же песня. Остановился на 77 - смотрится красивее

s800
На сайте была информация, что последняя вышедшая версия работает с нтфс... сам лично эту утилиту я не тестировал...
SLKuL
Атрибуты (не все)
01h - Только чтение
02h - Скрытый
04h - Системный
10h - Папка
20h - Готов(а) для архивирования (винда втыкает этот атирбут везде, где сможет...)
40h - Устройство

По большому счету особой разницы нету, какой из перечисленных тобой атрибутов ставить... 40h - хоть и входит в спецефикацию, но ни относительно папки, ни относительно файла не является верным.
67h для файла, а 77 для папки - типа по спецефикации

el_verdugo

Цитата:

Последняя версия AutoStop, насколько мне известно, 3.0...

Ошибаетесь - на сегодняшний день актуальная версия моего AUTOSTOP - 2.6


Цитата:

Чтобы, узнать, появился ли вирус на флешке, защищенной AutoStop'ом, нужно зайти на флешку, а значит вирус запустится...

Ошибаетесь - не запустится, если предваительно использовать п.1 скрипта AUTOSTOP - отключения автозапуска флешек и CD/DVD.


Цитата:

Накидал скрипт, который создает файл "AvaiLableSpace.container" на все свободное место...

Что-то это мне напоминает - не иначе как п.3 в AUTOSTOP версии 2.3 - программную защиту флешки от записи. В более поздних версиях, начиная с 2.4 она более толково реализована.

s800

Цитата:

увы не работает сегодня скачал последнюю вер. Panda USB Vaccine, флэшка у меня Transcend JF V60 на 16gb. в NTFS после запуска утилиты она вроде говорить что все ОК!

Все работает. Попробуйте теперь создать на этой флешке файл или папку с названием autorun.ing- не получится.

Serhiy123

Цитата:

Ошибаетесь - на сегодняшний день актуальная версия моего AUTOSTOP - 2.6

Надо полагать что вы автор AUTOSTOP'а. Тогда попробуйте объяснть наличие на некоторых сайтах версии 3.0
Цитата:

Ошибаетесь - не запустится, если предваительно использовать п.1 скрипта AUTOSTOP - отключения автозапуска флешек и CD/DVD.

Тогда скрипт защиты не нужен. Наличие вирусняка можно тогда выявить "на глаз".
PS Сам AUTOSTOP'ом не пользовался, только описалово читал...

el_verdugo


Цитата:

попробуйте объяснть наличие на некоторых сайтах версии 3.0

Берется любая программа, заражается вирусом, и выкладывается под видом "более новой версии". Именно из этих соображений я у себя на страничке AUTOSTOP всегда указываю MD5.



Цитата:

Тогда скрипт защиты не нужен. Наличие вирусняка можно тогда выявить "на глаз".

Нужен: применив п.1 (отключение автозапуска на компьютере) вы обезопасили свой компьютер. А при подключении зараженной флешки к другому компьютеру, где автозапуск не отключен, наличие индикатора на флешке очень пригодится.

Подскажите как создать autorun.inf на NTFS (на ЖД) с неправильным атрибутом? На FAT32 WinHex`ом получается, как всё это проделать для NTFS?

Serhiy123

Цитата:

Цитата: Тогда скрипт защиты не нужен. Наличие вирусняка можно тогда выявить "на глаз".

Нужен: применив п.1 (отключение автозапуска на компьютере) вы обезопасили свой компьютер. А при подключении зараженной флешки к другому компьютеру, где автозапуск не отключен, наличие индикатора на флешке очень пригодится.

el_verdugo

Цитата:

Попробуй "Panda USB Vaccine". Она вроде работает с NTFS дисками...

Да нет же, Panda не создаёт автораны на локальных дисках! Мне вручную нужно попробовать. Только объясните как.

Добавлено:
el_verdugo

Цитата:

Попробуй "Panda USB Vaccine". Она вроде работает с NTFS дисками...

Да нет же, Panda не создаёт автораны на локальных дисках! Мне вручную нужно попробовать. Только объясните как.

BakLAN

Цитата:

Да нет же, Panda не создаёт автораны на локальных дисках!

этот пост говорит обратное.

Цитата:

Мне вручную нужно попробовать. Только объясните как.

Вручную - через WinHex. Описание поиска вроде на одной из предыдущих страниц было...

el_verdugo

Цитата:

этот пост говорит обратное.

Что-то не вижу я обратного в этом посте. В этом посте говорится лишь, что поддерживается NTFS в бета-режиме. Но это не имеет ничего общего с локальным дисками.

Цитата:

Описание поиска вроде на одной из предыдущих страниц было...

Ага, для FAT32 было.

Цитата:

Что-то не вижу я обратного в этом посте. В этом посте говорится лишь, что поддерживается NTFS в бета-режиме.

Цитату, где говорится про бета режим в "студию"...

Цитата:

Цитата: Описание поиска вроде на одной из предыдущих страниц было...

Ага, для FAT32 было.

el_verdugo

Цитата:

Цитату, где говорится про бета режим в "студию"...

Цитата:

Алгоритм один и тот-же. Только WinHex не находит точку входа на NTFS диске...

Алгоритм тот же, да переменные другие, точнее коды атрибутов файлов.

Цитата:

ИМХО можно попытаться провести данную процедуру с ЧИСТЫМ диском, на котором кроме папки или файла autorun.inf ничего нет...

Если бы он был...

Цитата:

Можешь попытаться через DiskEdit (кажется так прога называется)...

Не хотелось бы запороть диск.

Уже появилась версия Panda USB Vaccine 1.0.1.4, так что как понимаю та бета версия уже в прошлом. жалко, что теперь её надо инсталировать. хотелось бы иметь версию портативную ичтоб создавала невидимые (скрытые файлы).

regist123

Цитата:

Уже появилась версия Panda USB Vaccine 1.0.1.4

Уже? Вообще-то это уже было уже довольно давно... И скрин свой я приводил Вам как раз из этой версии.

Ну, когда вышла не знаю. я подумал, что последние цифры в конце потом дописали. Сам сабж не стала уставливать, не понравилось, что требуется установка. решил остаться на старой без инсталяции.

Замечательный бесплатный антивирус типа anti autorun , который находит и ИЗОЛИРУЕТ 100% вирусов, распространяющихся на флешках (по файлу автозапуска Autorun.inf). Не требует никаких обновлений вирусных баз! Работает параллельно с любым другим антивирусом (рекомендую как дополнение к основному антивирусу).
http://www.exnax.narod.ru/antivir.htm

Serwer45
Не знаю пользуюсь USB Tool и все нормально, а доверять какому то зоркому глазу, чего то не верится...

Вот как обхожусь я.

Меры общего характера.
Автозапуск отключен, без вариантов.
Когда KIS хочет проверить подключенную флешку - жму "Нет",
пока не загляну туда сам, через Total Commander.

На флешках FAT32 создаю, если не содавал
или обновляю (особенно, после обнаружения на флешке зловреда)
папку autorun.inf с "умными" атрибутами, ипользуя батник flashprotect.bat - подробности

На флешках NTFS имею всего 2 папки:
Data (со всемчемугодно) и Portable (полагаю, понятно с чем).
"Обработка" флешки - через "Безопасность" - подробности

И горя не знаю!

Bolenic

Цитата:

На флешках FAT32 создаю, если не содавал
или обновляю (особенно, после обнаружения на флешке зловреда)
папку autorun.inf с "умными" атрибутами, ипользуя батник flashprotect.bat

Можно создать батник, который будет удалять такие папки. Побочный эффект такого батника - попутно удаляется ВСЯ информация на флешке. Но если я правильно помню, то переименовывается такая папка без проблем...

Цитата:

На флешках NTFS имею всего 2 папки:
Data (со всемчемугодно) и Portable (полагаю, понятно с чем).
"Обработка" флешки - через "Безопасность" - подробности

Один знакомый именно так и делал, пока не столкнулся с моим AntiAutorun'ом. Которому почему-то данные настройки были по-барабану. Исходя из этого можно утверждать, что против скриптовых вирусов это работать не будет...
Сам делаю так: ручками создаю папку autorun.inf и WinHex'ом ставлю атрибуты на все флешки, которые проходят через меня. Эффективность данного метода ~10%, если больше ничего не делать. Пользователи, подцепившие где-нибудь авторан-вирус, который в большинстве случаев делает папки скрытыми, а свой exe'шник под эти папки маскирует, запускают этот самый вирусняк РУЧКАМИ. Учитывая, что все вирусы сжимаеются пакерами, то антивири не всегда могут их распознать(сам пытался пнуть несколько антивирей, указывая им на явный вирь, результат - 0). В качество дополнительных мер полезно: 1. Просмотреть список скрытых файлв в корне флешки... Если нет TotalCommander'a(DiscoCommander, NortonCommander, DosNavigator), предварительно настроенного то можно сделать так(из командной строки, пуск-выполнить-cmd):
dir буква_флешки: /a:h
при этом стоит обратить внимание на:
скрытые папки, которые таковыми не должны быть.
Скрытые папки Recycled или Recycler - которых на флешке не должно быть.
Скрытые exe файлы, которых не должно быть.
2. Для простоты всего перечисленного стоит отделить "мух" от "котлет", т.е. сделать раздельное хранение данных.
3. При обнаружении подозрительных файлов/папок сделать видимыми так attrib -s -h буква_флешки:\папка или файл
4. Удалить зловреда командой del(для файла) или rd /q /s для папки(и всех вложнных папок)