Автор Тема: борьба с malware...  (Прочитано 2588 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн z01d

  • быдлоинтеллегент
  • Стахановец
  • *****
  • Сообщений: 1683
    • Просмотр профиля
    • DagAntiVirus
борьба с malware...
« : Мая 26, 2008, 09:11:07 am »
и-так пост - реакция на вопрос кефирчика относительно autorun.inf в диарее на 171 странице...

intro

Всякие-разные автораны опасны тем, что используют встроенные в windows средства автозапуска, и заражают систему сразу после установки флшки(к примеру) в комп, и по возможности люблю делать все что возможно средствами самой системы, поэтому мой любимый выход из подобной ситуации выглядит так:

main()

1. Заходим м менеджмент-консоль
(Пуск->Выполнить->(вбиваем в окошко mmc (от microsoft menagment cosole))

2. Жмем <Ctrl>+M, затем трижды <Tab> (ну или мышкой жмем на "Добавить..." ;) )

3. В окошке "Изолированная оснастка" выбираем пункт "Редактор объекта групповой политики", в появившемся окошке жмем "ГОТово".

4. Закрываем окошко со списком оснасток, и окошко "Добавить удалить оснастку" (ОК, ОК, Закрыть, ипр пр пр)

5. Теперь в консоли у вас присутствует оснастка "Политика "локальный компьютер"".. жмем на нее, далее на "Конфигурацию компьютера", дале "Административные шаблоны" и наконец "Система"...

6. находим там шаблон "отключить автозапуск" жмем на него, в появившемся диалоге устанавливаем рабиокнопку на пункт: "Включена" а в выпадающем списке устанавливаем пункт "Всех дисководах" все. жмем "ок" а уж затем закрываем менеджмент консоль (обратите внимание имеет место обратное отрицание - Включить отключение автозапуска на всех дисководах) (на вопрос сохранить ли параметры консоли можно отвечать "нет").. уходим в ребут (а в случае, если система уже скомпрометированна (а-ля заражена) лучше переустановить виндоуз и первым делом повторить описанные выше действия)..

outro
этот ход хоть и не вылечит флешку, но и на содержащееся там авторан вирье компу будет начхать... внимание отключение автозагрузки чревато отключением всяких там авторанов и на полезных дисках, а так же не следует ждать соотвтетствующего диалога после вставки флешки в комп (а оно тебе надо?) в любом случае более полное поисание того как собрать на базе обыкновенного виндоуза - форт нокс  эдишн, выложу как добью сессию (если конечно тема будет комго-нить интересовать)...
« Последнее редактирование: Июня 25, 2008, 04:43:59 pm от z01d »
Как приятно когда тебя недооценивают.

Оффлайн Acsel

  • Ударник труда
  • *****
  • Сообщений: 587
    • Просмотр профиля
(Нет темы)
« Ответ #1 : Мая 26, 2008, 07:57:09 pm »
Цитата: "z01d"
1. Заходим м менеджмент-консоль
(Пуск->Выполнить->(вбиваем в окошко mmc (от microsoft menagment cosole))
2. Жмем <Ctrl>+M, затем трижды <Tab> (ну или мышкой жмем на "Добавить..."  )
3. В окошке "Изолированная оснастка" выбираем пункт "Редактор объекта групповой политики", в появившемся окошке жмем "ГОТово".
4. Закрываем окошко со списком оснасток, и окошко "Добавить удалить оснастку" (ОК, ОК, Закрыть, ипр пр пр)
5. Теперь в консоли у вас присутствует оснастка "Политика "локальный компьютер"".. жмем на нее, далее на "Конфигурацию компьютера", дале "Административные шаблоны" и наконец "Система"...
))) есть вариант проще!!!
Win+R - "GPEDIT.msc" - enter
Цитата: "z01d"
6. находим там шаблон "отключить автозапуск" жмем на него, в появившемся диалоге устанавливаем рабиокнопку на пункт: "Включена" а в выпадающем списке устанавливаем пункт "Всех дисководах" все. жмем "ок" а уж затем закрываем менеджмент консоль (обратите внимание имеет место обратное отрицание - Включить отключение автозапуска на всех дисководах) (на вопрос сохранить ли параметры консоли можно отвечать "нет").. уходим в ребут (а в случае, если система уже скомпрометированна (а-ля заражена) лучше переустановить виндоуз и первым делом повторить описанные выше действия)..
Если система "аля" заражена, то имеет место создать нового пользователя! и скопировать все доки со старой уч записи!
Новые учетки обычно не имеют свойства хранить в себе последствия вирусов! (Хотя недавно был случай... создавая учетку он и её заражал)!
Цитата: "z01d"
этот ход хоть и не вылечит флешку, но и на содержащееся там авторан вирье компу будет начхать...

 :) А что будет если воспользоваться двойным кликом на флешке с файлом в корне Autorun.inf?
« Последнее редактирование: Января 01, 1970, 03:00:00 am от Acsel »
Жизнь коротка чтобы пить неспеша!

Оффлайн elPoohy

  • Жрец-экскурсовод Моисей
  • Стахановец
  • *****
  • Сообщений: 2761
    • Просмотр профиля
(Нет темы)
« Ответ #2 : Мая 26, 2008, 10:26:05 pm »
Цитата: "Acsel"
:) А что будет если воспользоваться двойным кликом на флешке с файлом в корне Autorun.inf?

Дефолтным действием станет open.

Кроме того стоит отрубать людям которые в винде используют explorer в качестве файл манагера.
« Последнее редактирование: Января 01, 1970, 03:00:00 am от elPoohy »
Standing naked infront of a mirror, with a radish in one hand and nothing but possibilities © A Bit of Fry and Laurie


Оффлайн sek.tor

  • Administrator
  • Стахановец
  • *****
  • Сообщений: 5709
    • Просмотр профиля
    • xsektorx.org
(Нет темы)
« Ответ #3 : Мая 26, 2008, 10:53:45 pm »
Цитата: "elPoohy"
Кроме того стоит отрубать людям которые в винде используют explorer в качестве файл манагера.
+1. а так же надо отрубить ие, чтоб не заражались из инета. и ваще, стоило бы отрубить нах винду, гг
« Последнее редактирование: Января 01, 1970, 03:00:00 am от sek.tor »

Оффлайн elPoohy

  • Жрец-экскурсовод Моисей
  • Стахановец
  • *****
  • Сообщений: 2761
    • Просмотр профиля
(Нет темы)
« Ответ #4 : Мая 26, 2008, 11:08:11 pm »
Ну венда нехай жЫвёт, чтоб время от времени ужосатьсо.
А про осла факт.
Ещё стоит бить в рожу за юзание дырявого стандартного асечного клиента.
« Последнее редактирование: Января 01, 1970, 03:00:00 am от elPoohy »
Standing naked infront of a mirror, with a radish in one hand and nothing but possibilities © A Bit of Fry and Laurie


Оффлайн z01d

  • быдлоинтеллегент
  • Стахановец
  • *****
  • Сообщений: 1683
    • Просмотр профиля
    • DagAntiVirus
(Нет темы)
« Ответ #5 : Мая 27, 2008, 08:23:40 am »
to Acsel
Цитировать
))) есть вариант проще!!!
Win+R - "GPEDIT.msc" - enter

писал так подробно в надежде, что кто нить начнет зырить другие оснастки (а ведь там реально кладезь всяких твиков, красотулек, и отчетов)..

Цитировать
Если система "аля" заражена, то имеет место создать нового пользователя! и скопировать все доки со старой уч записи!
Новые учетки обычно не имеют свойства хранить в себе последствия вирусов! (Хотя недавно был случай... создавая учетку он и её заражал)!


это если имеет место сидение с гостевыми правами.. основной же контингент сидит за рутом...
« Последнее редактирование: Января 01, 1970, 03:00:00 am от z01d »
Как приятно когда тебя недооценивают.