Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?   Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:     1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.   Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.   2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.   Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.   Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.   3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.   Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.   Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!   Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Bujnyj - это и есть принцип действия AUTOSTOP. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 13:39 11-12-2010

eptkno Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору привет всем, нужна ваша помощь, есть флешка на 16 гб, в ней вирус точно, не важно как узнал но я узнал, одна в папке fish другая даже путь скажу: H:\carry\jIm.exe, удалить я не могу их ибо как только я прикасаюсь к файлам курсором (1 раз кликаю), вся флешка виснет, и показывает 0 кб на ней, так же при любой операции через файл менеджеры или антивирусы, она сразу виснет, если ее вытащить и вставить то она опять полноценно работает, опять же до тех пор пока не начну делать то что писал выше, через Total Commander получилось залезть на флешку, там у меня 2000 песен, они все нужны, получилось начать копирование, но как только начинает копироваться, виснет процесс копирования, вытаскиваешь и вставляешь флешку жму повторить, он ту песню которая зависла ДОКОПИРЫВАЕТ и на след. зависает, и так сидел тыкал флешку туда сюда, 100 песен скинул, надоело)) решил спросить можно как нибудь исправить это? форматировать еще не пробовал так как то что лежит на флешке нужно скопировать, прихоть не моя давно бы уже попробовал форматнуть, помогите кто чем может Всего записей: 8 | Зарегистр. 30-12-2010 | Отправлено: 16:05 30-12-2010

vzar Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eptkno, Вы ошиблись темой, см. Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения. В частности: Dr.Web CureIT! и/или AVPTool Всего записей: 7648 | Зарегистр. 31-07-2009 | Отправлено: 16:22 30-12-2010

Sraboti Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Как лишить вирус возможности создать файл autorun.inf (вообще любой файл) в корне флешки с FAT:        Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.    Выполняем такую последовательность команд (все данные при этом будут уничтожены!):     Код:  umount /dev/sdc1    mkdosfs -r 16 /dev/sdc1    mount /dev/sdc1 /media/disk    cd /media/disk    touch `perl -e 'print "X" x 160'`    mkdir Documents    cd /    umount /dev/sdc1        Вынимаем флешку, втыкаем её в компьютер с виндовс. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".        В чём смысл этих действий?    В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины (16 элементов) и заняв почти все их длинным именем файла (160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится. У меня не сработал этот способ в корневой директории можно создавать сколько угодно других папок и файлов Да и не совсем понятно откуда взята цифра 160 и как она сочетается с папкой Documents. Так получается 160 символов Х, и 9 символов папки "Documents" = 169 (?) Какой предел-то?   зы Флешка - 2Гб. Всего записей: 142 | Зарегистр. 24-04-2007 | Отправлено: 19:29 07-02-2011 | Исправлено: Sraboti, 19:50 07-02-2011

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sraboti Цитата: У меня не сработал этот способ   Используйте программную защиту флешки от записи в моем AUTOSTOP - для FAT самое то. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 20:00 07-02-2011

FIZIK Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На пустом месте проблемы нашли. На своем компьютере автозапуск отрублен правильно? Ну тогда чего боятся? Правой кнопкой щелкаеш в проводнике по флешке, если основное действие не "Открыть" а "Автозапуск", значит подселился червячек. Ничего страшного тут же кликаеш на "Открыть" (Будет ниже) и сносиш все подозрительные файлы. Опции "Показывать скрытые и системные файлы" в проводнике надо включать. И все. Всего записей: 193 | Зарегистр. 09-08-2004 | Отправлено: 07:59 08-02-2011

AXVill Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FIZIK Не все так просто. И пункт "Открыть" можно спокойно подменить. Первые версии (от китайчегов) палились тем, что подменяли его на иероглифы. Согласен в одном - этой теме в обед сто лет, а до сих пор тут идут бурления, хотя любой нормальный антивирь (от дяди Жени, например) блочит автозагрузку со сменных носителей и предлагает осуществить проверку на обнаруженном устройстве. Даже быстрые варианты для ленивого предлагают. Но идея AUTOSTOP мне всегда нравилась. Всего записей: 320 | Зарегистр. 22-09-2005 | Отправлено: 11:47 08-02-2011

FIZIK Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: И пункт "Открыть" можно спокойно подменить.   Можно поподробнее с этого места.  Каким образом неактивный червь при отключеном авторане может подменить контекстное меню? Всего записей: 193 | Зарегистр. 09-08-2004 | Отправлено: 19:25 08-02-2011

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Создаем на флэшке каталог с именем autorun,inf, аттрибуы ему ставим только на чтение и  скрытый. На 90% будет защита от создания  файла autorun,inf, а значит и от автозапуска вирей, даже если сам вирь, то есть его exe файл,  на флэху записался. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11740 | Зарегистр. 10-12-2003 | Отправлено: 22:09 08-02-2011 | Исправлено: ipmanyak, 22:10 08-02-2011

Engaged Clown Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak Последние версии вирусов тупо переименуют твой каталог. Panda USB Vaccine поможет в этом случае. Всего записей: 8782 | Зарегистр. 08-06-2006 | Отправлено: 22:36 08-02-2011

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Engaged Clown Ну я ж сказал, на 90% будет защита, а не на 100. Не каждый вирус проверяет права на чтение и меняет их их. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11740 | Зарегистр. 10-12-2003 | Отправлено: 23:42 08-02-2011

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Автору Автостопа. А почему Вы не хотите добавить в скрипт отключения автозапуска в реестре удаление ключей mountpoints ? Почему бы не добавить это в AUTOSTOP? Вот, например, не помню уже кто и когда выложил скрипт, но в нём это есть:     noAutorun.vbs Код:   '**************************   '*** AutorunDisabled ******   '**************************   Dim WSHShell   Set WSHShell = wscript.CreateObject("wscript.Shell")   '******************************************   '**** Добавляем записи в реестр ***********   '******************************************     'отключаем автозагрузку через политики Windows   WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"     'отключаем автозагрузку через политики Windows   WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"     'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются   WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"     'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой   WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""     '*************************************************   '**** Удаление MountPoints2 из реестра ***********   '*************************************************     'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).   Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"   Return = WshShell.Run(Command, 0, true)     Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"   Return = WshShell.Run(Command, 0, true)     Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"   Return = WshShell.Run(Command, 0, true)     Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"   Return = WshShell.Run(Command, 0, true)     Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"   Return = WshShell.Run(Command, 0, true)     WSHShell.Popup "Автозагрузка успешно отключена"     Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 21:55 22-02-2011 | Исправлено: BakLAN, 21:57 22-02-2011

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BakLAN   Потому что давненько уже не брался за скрипт. Теоретически можно было бы добавить, но практически не знаю доберусь ли когда-нибудь до этого.   По авторству - наработки по MountPoints были у Paul - скорее всего это его код. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:06 22-02-2011

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Забросили значит своё творение? Печально. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 22:13 22-02-2011

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grh1 Какая система? 7-ка? В 7-ке наверное надо под админом скрипт запускать. А также, для пущей уверенности, можно залезть в реестр и проверить действительно ли внесены изменения. А то у меня на ХР х64 был прикол, что данные в реестр тупо не хотели вноситься, пока вручную их не вписывал. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 16:45 23-02-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование