Я к методу, предложенному Bolenic для NTFS флешек добавляю еще создание папки autorun.inf с запретом на все и для всех. Переформатил все свои флешки в NTFS и пока все норм. Для чужих флешек (приносят иногда) пользую USB Disk Security (http://www.zbshareware.com/), пока глюков с ней не было, чистит корректно)
» USB Anti Autorun
GreyTers
Цитата:
Цитата:
Для чужих флешек (приносят иногда) пользую USB Disk Security (http://www.zbshareware.com/), пока глюков с ней не было, чистит корректно)Насколько я понял она для чистки используют просто определённый набор (базу) и если вирус есть в этой базе она его удаляет. Сам не однократно видел ( в частности был набор из неё и аваста) как на компе жили авторанвирусы. Так что доверять я бы не советовал, KIS я доверяю намного больше, так как у него базы быстро обновляются, но тоже от свежего зверька поможет только отключение автозапуска ( для компа), а для флешки создание неубиваемой папки.
Сабж - хороший скрипт
Теперь постоянно крутится флопик и каждые 3 секунды к нему идет обращение
И Dr Web на него ругается.
Короче, снес его
Теперь постоянно крутится флопик и каждые 3 секунды к нему идет обращение
И Dr Web на него ругается.
Короче, снес его
Достал этот usb.wsf.
Кто-то приносит видимо на флешке.
Вся сеть с этой фигнёй.
Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf?
Кто-то приносит видимо на флешке.
Вся сеть с этой фигнёй.
Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf?
Цитата:
Сабж - хороший скрипт
Теперь постоянно крутится флопик и каждые 3 секунды к нему идет обращение
Только в версии 1.0 и 1.1 на некоторых материнках. В версиях 1.2 и 2.0 этого глюка нет.
quickweb
Может стоит, посетить соотвествующую ветку?
Там тебе gjf поможет, сабж http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=20225&start=120#lt
Может стоит, посетить соотвествующую ветку?
Там тебе gjf поможет, сабж http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=20225&start=120#lt
Цитата:
Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf
а что это за файл? неизвестный KISу вирус? тогда шли в лаболаторию на анализ.
Цитата:
а что это за файл?
Версия 1.0 или 1.1 обсуждаемой темы. Насколько мне известно, каспер изначально определяет его как "not-a-virus:RiskTool".
Цитата:
Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf?
А файл случайно не был добавлен в доверенную зону?
3. Вверху выбрать только что созданные папку/файл, нажать правой кнопкой мыши, выбрать Position->Go To Directory Entry (позиция, перейти к точке входа директории)
В старых версиях не было 'position'...
4. Сразу за названием папки autorun.inf следует атрибут, а в случае файлов recycler/recycled следовало 3 пробела (20h), а затем атрибуты.
Похоже, под имя файла всегда отводится 8+3 символа, после которых идут атрибуты
5. Установить атрибуты.
Папкам я устанавливал атрибут 77h, а файлам 67h
на этом завис..как дальше ?
WinHex 15.7
В старых версиях не было 'position'...
4. Сразу за названием папки autorun.inf следует атрибут, а в случае файлов recycler/recycled следовало 3 пробела (20h), а затем атрибуты.
Похоже, под имя файла всегда отводится 8+3 символа, после которых идут атрибуты
5. Установить атрибуты.
Папкам я устанавливал атрибут 77h, а файлам 67h
на этом завис..как дальше ?
WinHex 15.7
Цитата:
на этом завис..как дальше ?
WinHex 15.
Сохранить.
Выйти из WinHex.
Попытаться переименовать папку/файл.
Если все правильно было сделано, то переименовать не удастся.
5. Установить атрибуты.
Папкам я устанавливал атрибут 77h, а файлам 67h
Где сам атрибут?
Папкам я устанавливал атрибут 77h, а файлам 67h
Где сам атрибут?
Цитата:
Где сам атрибут?
Для WinHex'а атрибуты - всего лишь цифры, которые находятся по определенному адресу:смещению.
Цитата:
3. Вверху выбрать только что созданные папку/файл, нажать правой кнопкой мыши, выбрать Position->Go To Directory Entry (позиция, перейти к точке входа директории)
В старых версиях не было 'position'...
4. Сразу за названием папки autorun.inf следует атрибут, а в случае файлов recycler/recycled следовало 3 пробела (20h), а затем атрибуты.
Похоже, под имя файла всегда отводится 8+3 символа, после которых идут атрибуты
Выполняя эти два пункта, ты находишь те самые адрес:смещение. Окно WinHex'а поделено на три части: Offset, цифры от 0 до F, окно без названия. Offset (смещение) - текущий адрес, цифры от 0 до F - смещение относительно текущего адреса, окно без названия - символьное обозначение значений. Значение (байт) представлено двумя цифрами (старшая и младшая часть, но тебе в это вникать не нужно). После того, как найдешь нужные циферки поменяй их на 77 или 67. Чтобы убедиться, что меняешь те циферки можешь сделать следующее:
Запоминаешь/записываешь цифры, идущие после autorun.inf.
Не выходя из WinHex'а меняешь атрибуты на файле/папке autorun.inf
Заново сканируешь флешку, ищешь адрес:смещение
Смотришь, какой байт изменился
Меняешь...
Здраствуйте. Подскажите кто-то пожалуйста.
Как вылечить флешку от Panda USB Vaccine.
Здуру поставил эту прогу, она удалила мой авторан и создало свой, который не могу удалить.
http://img192.imageshack.us/i/81358328.png/
Заранее всем биг сенкс.
Как вылечить флешку от Panda USB Vaccine.
Здуру поставил эту прогу, она удалила мой авторан и создало свой, который не могу удалить.
http://img192.imageshack.us/i/81358328.png/
Заранее всем биг сенкс.
Цитата:
Как вылечить флешку от Panda USB Vaccine
1. Простой вариант: переписать данные с флешки на винчестер, переформатировать флешку, вернуть данные.
2. Сложный вариант - с помощью WinHex сменить у файла autorun.inf атрибут с нестандартного на стандартный.
ЗЫ - "вылечить" в данном случае не совсем корректный термин - это как-никак Vaccine, а не вирус.
Ув. Serhiy123
Я немного утрировал ситуацию.
Не флешка а внешний винт 500 Gb NTFS
Autorun.ini Пандовский я удалил посредством LiveCD.
Но вставить свой посредством LiveCD не получилось.
Короче говоря щя винт вообще без Autorun.ini и я не знаю как его туда впихнуть.
Я немного утрировал ситуацию.
Не флешка а внешний винт 500 Gb NTFS
Autorun.ini Пандовский я удалил посредством LiveCD.
Но вставить свой посредством LiveCD не получилось.
Короче говоря щя винт вообще без Autorun.ini и я не знаю как его туда впихнуть.
Цитата:
Не флешка а внешний винт 500 Gb NTFS
Хе-хе, как работает пандовская защита NTFS знают только сами пандовцы.
В самой Панде, к сожалению, нет возможности "девакцинировать" флешку (тем более что пункт "девакцинировать компьютер" есть).
Из альтернативных инструментов, которые могут помочь в данной ситуации, можете покопать в сторону "RDG USB De Vaccine v0.1" - разработка небезызвестного в определенных кругах RDGMax. Но я не уверен, есть ли в версии 0.1 поддержка NTFS, да и сама утилита из "противоположного защите лагеря", скажем так.
Ув. Serhiy123
RDG USB De Vaccine к сожалению найти не удалось((
На indetectables.net ссылка на рапиду, с которой прога была удалена.
RDG USB De Vaccine к сожалению найти не удалось((
На indetectables.net ссылка на рапиду, с которой прога была удалена.
000alex
Если у Вас установлен антивирус, например DrWeb, то он вообще по-умолчанию блокируер создание файлов Autorun.inf на любых носителях. Поэтому, если антивирус присутствует, попробуйте его отключить и задействовать Panda, а потом снова можно включить.
Если у Вас установлен антивирус, например DrWeb, то он вообще по-умолчанию блокируер создание файлов Autorun.inf на любых носителях. Поэтому, если антивирус присутствует, попробуйте его отключить и задействовать Panda, а потом снова можно включить.
Ув. BakLAN
Антивирус - ЕСЕТ НОД
Что значит задействовать Panda
У Панды, если не ошибаюсь отсутствует возможность девакцинации.
Антивирус - ЕСЕТ НОД
Что значит задействовать Panda
У Панды, если не ошибаюсь отсутствует возможность девакцинации.
000alex
Cорри, я думал, речь шла о компе, а не флешке. В остальном всё точно так, как написал
Цитата:
Cорри, я думал, речь шла о компе, а не флешке. В остальном всё точно так, как написал
Цитата:
Serhiy123
1. Простой вариант: переписать данные с флешки на винчестер, переформатировать флешку, вернуть данные.
2. Сложный вариант - с помощью WinHex сменить у файла autorun.inf атрибут с нестандартного на стандартный.
Цитата:
На indetectables.net ссылка на рапиду, с которой прога была удалена.
Могу выдать вам эту утилиту - давайте спишемся в личке. На FAT32 она работает на ура. На NTFS у меня не было случая ее потестить.
У Меня в НТФС не работает.
000alex
Ну так выложите ее, вдруг пригодится.
Ну так выложите ее, вдруг пригодится.
кому понадобится пускай в личку пишут.
Короче говоря буду переписывать - форматировать - опять записывать.
Другого выхода не вижу.
Всем спс за участие.
Короче говоря буду переписывать - форматировать - опять записывать.
Другого выхода не вижу.
Всем спс за участие.
Как вариант (создать файл с расширением vbs):
[more]'**************************
'*** AutorunDisabled ******
'**************************
Dim WSHShell
Set WSHShell = wscript.CreateObject("wscript.Shell")
'******************************************
'**** Добавляем записи в реестр ***********
'******************************************
'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"
'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"
'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"
'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""
'*************************************************
'**** Удаление MountPoints2 из реестра ***********
'*************************************************
'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
WSHShell.Popup "Автозагрузка успешно отключена"[/more]
[more]'**************************
'*** AutorunDisabled ******
'**************************
Dim WSHShell
Set WSHShell = wscript.CreateObject("wscript.Shell")
'******************************************
'**** Добавляем записи в реестр ***********
'******************************************
'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"
'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"
'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"
'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""
'*************************************************
'**** Удаление MountPoints2 из реестра ***********
'*************************************************
'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)
WSHShell.Popup "Автозагрузка успешно отключена"[/more]
А можно ли как то убрать autorun.inf ,который не вирус а вшит во флеш производителем ?
То есть когда я вставляю флеш в комп, то автоматом поднимается домашняя страница фирмы.
Это идет отдельным диском на флеше с двумя файлами autorun.inf и start.bat . Так можно ли как то удалить этот диск, или что то с ним сделать ?
То есть когда я вставляю флеш в комп, то автоматом поднимается домашняя страница фирмы.
Это идет отдельным диском на флеше с двумя файлами autorun.inf и start.bat . Так можно ли как то удалить этот диск, или что то с ним сделать ?
keter
Однако агрессивная у них реклама
Отключите автозапуск на компьютере (например, моим скриптом AUTOSTOP - http://mechanicuss.livejournal.com/195192.html - пункт 1)
Даже если упомянутые файлы не получается удалить - они не будут вас больше беспокоить.
Однако агрессивная у них реклама
Отключите автозапуск на компьютере (например, моим скриптом AUTOSTOP - http://mechanicuss.livejournal.com/195192.html - пункт 1)
Даже если упомянутые файлы не получается удалить - они не будут вас больше беспокоить.
Цитата:
Отключите автозапуск на компьютере
Serhiy123 Проблема не в этом . Дело в том ,что я хотел на этой флешке переносить проги со станка на комп и обратно, а станок эту флешку (скорее всего из за этого авторана не видит) . У меня есть древний Сан диск на 256 мега без всяких U3 и прочей лабуды, так он станком прекрасно определяется.
keter 17:44 17-12-2010
Цитата:
он обычно не вшит, а обычный файл, который можно просто удалить. Вкрайнем случае формат флешки
Цитата:
А можно ли как то убрать autorun.inf ,который не вирус а вшит во флеш производителем ?
он обычно не вшит, а обычный файл, который можно просто удалить. Вкрайнем случае формат флешки
Для тех кто не любит вводить свои данные чтобы скачать ПО, под ковриком прямая ссылка на скачивание Panda USB Vaccine с хомяка - #
Предыдущая тема: Синхронизация папок через Интернет
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.