» USB Anti Autorun

Я к методу, предложенному Bolenic для NTFS флешек добавляю еще создание папки autorun.inf с запретом на все и для всех. Переформатил все свои флешки в NTFS и пока все норм. Для чужих флешек (приносят иногда) пользую USB Disk Security (http://www.zbshareware.com/), пока глюков с ней не было, чистит корректно)

GreyTers

Цитата:

Для чужих флешек (приносят иногда) пользую USB Disk Security (http://www.zbshareware.com/), пока глюков с ней не было, чистит корректно)

Насколько я понял она для чистки используют просто определённый набор (базу) и если вирус есть в этой базе она его удаляет. Сам не однократно видел ( в частности был набор из неё и аваста) как на компе жили авторанвирусы. Так что доверять я бы не советовал, KIS я доверяю намного больше, так как у него базы быстро обновляются, но тоже от свежего зверька поможет только отключение автозапуска ( для компа), а для флешки создание неубиваемой папки.

Сабж - хороший скрипт
Теперь постоянно крутится флопик и каждые 3 секунды к нему идет обращение
И Dr Web на него ругается.
Короче, снес его

Достал этот usb.wsf.
Кто-то приносит видимо на флешке.
Вся сеть с этой фигнёй.
Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf?

Цитата:

Сабж - хороший скрипт
Теперь постоянно крутится флопик и каждые 3 секунды к нему идет обращение

Только в версии 1.0 и 1.1 на некоторых материнках. В версиях 1.2 и 2.0 этого глюка нет.

quickweb
Может стоит, посетить соотвествующую ветку?
Там тебе gjf поможет, сабж http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=20225&start=120#lt

Цитата:

Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf

а что это за файл? неизвестный KISу вирус? тогда шли в лаболаторию на анализ.

Цитата:

а что это за файл?

Версия 1.0 или 1.1 обсуждаемой темы. Насколько мне известно, каспер изначально определяет его как "not-a-virus:RiskTool".

Цитата:

Подскажите как объяснить KIS 2009 чтобы он удалял usb.wsf?

А файл случайно не был добавлен в доверенную зону?

3. Вверху выбрать только что созданные папку/файл, нажать правой кнопкой мыши, выбрать Position->Go To Directory Entry (позиция, перейти к точке входа директории)
В старых версиях не было 'position'...
4. Сразу за названием папки autorun.inf следует атрибут, а в случае файлов recycler/recycled следовало 3 пробела (20h), а затем атрибуты.
Похоже, под имя файла всегда отводится 8+3 символа, после которых идут атрибуты
5. Установить атрибуты.
Папкам я устанавливал атрибут 77h, а файлам 67h

на этом завис..как дальше ?
WinHex 15.7

Цитата:

на этом завис..как дальше ?
WinHex 15.

Сохранить.
Выйти из WinHex.
Попытаться переименовать папку/файл.
Если все правильно было сделано, то переименовать не удастся.

5. Установить атрибуты.
Папкам я устанавливал атрибут 77h, а файлам 67h

Где сам атрибут?

Цитата:

Где сам атрибут?

Для WinHex'а атрибуты - всего лишь цифры, которые находятся по определенному адресу:смещению.

Цитата:

3. Вверху выбрать только что созданные папку/файл, нажать правой кнопкой мыши, выбрать Position->Go To Directory Entry (позиция, перейти к точке входа директории)
В старых версиях не было 'position'...
4. Сразу за названием папки autorun.inf следует атрибут, а в случае файлов recycler/recycled следовало 3 пробела (20h), а затем атрибуты.
Похоже, под имя файла всегда отводится 8+3 символа, после которых идут атрибуты

Выполняя эти два пункта, ты находишь те самые адрес:смещение. Окно WinHex'а поделено на три части: Offset, цифры от 0 до F, окно без названия. Offset (смещение) - текущий адрес, цифры от 0 до F - смещение относительно текущего адреса, окно без названия - символьное обозначение значений. Значение (байт) представлено двумя цифрами (старшая и младшая часть, но тебе в это вникать не нужно). После того, как найдешь нужные циферки поменяй их на 77 или 67. Чтобы убедиться, что меняешь те циферки можешь сделать следующее:
Запоминаешь/записываешь цифры, идущие после autorun.inf.
Не выходя из WinHex'а меняешь атрибуты на файле/папке autorun.inf
Заново сканируешь флешку, ищешь адрес:смещение
Смотришь, какой байт изменился
Меняешь...

Здраствуйте. Подскажите кто-то пожалуйста.
Как вылечить флешку от Panda USB Vaccine.
Здуру поставил эту прогу, она удалила мой авторан и создало свой, который не могу удалить.

http://img192.imageshack.us/i/81358328.png/

Заранее всем биг сенкс.

Цитата:

Как вылечить флешку от Panda USB Vaccine

1. Простой вариант: переписать данные с флешки на винчестер, переформатировать флешку, вернуть данные.

2. Сложный вариант - с помощью WinHex сменить у файла autorun.inf атрибут с нестандартного на стандартный.

ЗЫ - "вылечить" в данном случае не совсем корректный термин - это как-никак Vaccine, а не вирус.

Ув. Serhiy123

Я немного утрировал ситуацию.
Не флешка а внешний винт 500 Gb NTFS

Autorun.ini Пандовский я удалил посредством LiveCD.
Но вставить свой посредством LiveCD не получилось.



Короче говоря щя винт вообще без Autorun.ini и я не знаю как его туда впихнуть.

Цитата:

Не флешка а внешний винт 500 Gb NTFS

Хе-хе, как работает пандовская защита NTFS знают только сами пандовцы.
В самой Панде, к сожалению, нет возможности "девакцинировать" флешку (тем более что пункт "девакцинировать компьютер" есть).

Из альтернативных инструментов, которые могут помочь в данной ситуации, можете покопать в сторону "RDG USB De Vaccine v0.1" - разработка небезызвестного в определенных кругах RDGMax. Но я не уверен, есть ли в версии 0.1 поддержка NTFS, да и сама утилита из "противоположного защите лагеря", скажем так.

Ув. Serhiy123
RDG USB De Vaccine к сожалению найти не удалось((

На indetectables.net ссылка на рапиду, с которой прога была удалена.

000alex
Если у Вас установлен антивирус, например DrWeb, то он вообще по-умолчанию блокируер создание файлов Autorun.inf на любых носителях. Поэтому, если антивирус присутствует, попробуйте его отключить и задействовать Panda, а потом снова можно включить.

Ув. BakLAN
Антивирус - ЕСЕТ НОД
Что значит задействовать Panda
У Панды, если не ошибаюсь отсутствует возможность девакцинации.

000alex
Cорри, я думал, речь шла о компе, а не флешке. В остальном всё точно так, как написал

Цитата:

Serhiy123
1. Простой вариант: переписать данные с флешки на винчестер, переформатировать флешку, вернуть данные.

2. Сложный вариант - с помощью WinHex сменить у файла autorun.inf атрибут с нестандартного на стандартный.

Цитата:

На indetectables.net ссылка на рапиду, с которой прога была удалена.

Могу выдать вам эту утилиту - давайте спишемся в личке. На FAT32 она работает на ура. На NTFS у меня не было случая ее потестить.

У Меня в НТФС не работает.

000alex
Ну так выложите ее, вдруг пригодится.

кому понадобится пускай в личку пишут.


Короче говоря буду переписывать - форматировать - опять записывать.
Другого выхода не вижу.
Всем спс за участие.

Как вариант (создать файл с расширением vbs):
[more]'**************************
'*** AutorunDisabled ******
'**************************
Dim WSHShell
Set WSHShell = wscript.CreateObject("wscript.Shell")
'******************************************
'**** Добавляем записи в реестр ***********
'******************************************

'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"

'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"

'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"

'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""

'*************************************************
'**** Удаление MountPoints2 из реестра ***********
'*************************************************

'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

WSHShell.Popup "Автозагрузка успешно отключена"[/more]

А можно ли как то убрать autorun.inf ,который не вирус а вшит во флеш производителем ?
То есть когда я вставляю флеш в комп, то автоматом поднимается домашняя страница фирмы.
Это идет отдельным диском на флеше с двумя файлами autorun.inf и start.bat . Так можно ли как то удалить этот диск, или что то с ним сделать ?

keter
Однако агрессивная у них реклама

Отключите автозапуск на компьютере (например, моим скриптом AUTOSTOP - http://mechanicuss.livejournal.com/195192.html - пункт 1)
Даже если упомянутые файлы не получается удалить - они не будут вас больше беспокоить.

Цитата:

Отключите автозапуск на компьютере

Serhiy123 Проблема не в этом . Дело в том ,что я хотел на этой флешке переносить проги со станка на комп и обратно, а станок эту флешку (скорее всего из за этого авторана не видит) . У меня есть древний Сан диск на 256 мега без всяких U3 и прочей лабуды, так он станком прекрасно определяется.

keter 17:44 17-12-2010
Цитата:

А можно ли как то убрать autorun.inf ,который не вирус а вшит во флеш производителем ?

он обычно не вшит, а обычный файл, который можно просто удалить. Вкрайнем случае формат флешки

Для тех кто не любит вводить свои данные чтобы скачать ПО, под ковриком прямая ссылка на скачивание Panda USB Vaccine с хомяка - #