DagRock

Компьютеры => Software => Тема начата: z01d от мая 26, 2008, 09:11:07

Название: борьба с malware...
Отправлено: z01d от мая 26, 2008, 09:11:07
и-так пост - реакция на вопрос кефирчика относительно autorun.inf в диарее на 171 странице...

intro

Всякие-разные автораны опасны тем, что используют встроенные в windows средства автозапуска, и заражают систему сразу после установки флшки(к примеру) в комп, и по возможности люблю делать все что возможно средствами самой системы, поэтому мой любимый выход из подобной ситуации выглядит так:

main()

1. Заходим м менеджмент-консоль
(Пуск->Выполнить->(вбиваем в окошко mmc (от microsoft menagment cosole))

2. Жмем <Ctrl>+M, затем трижды <Tab> (ну или мышкой жмем на "Добавить..." ;) )

3. В окошке "Изолированная оснастка" выбираем пункт "Редактор объекта групповой политики", в появившемся окошке жмем "ГОТово".

4. Закрываем окошко со списком оснасток, и окошко "Добавить удалить оснастку" (ОК, ОК, Закрыть, ипр пр пр)

5. Теперь в консоли у вас присутствует оснастка "Политика "локальный компьютер"".. жмем на нее, далее на "Конфигурацию компьютера", дале "Административные шаблоны" и наконец "Система"...

6. находим там шаблон "отключить автозапуск" жмем на него, в появившемся диалоге устанавливаем рабиокнопку на пункт: "Включена" а в выпадающем списке устанавливаем пункт "Всех дисководах" все. жмем "ок" а уж затем закрываем менеджмент консоль (обратите внимание имеет место обратное отрицание - Включить отключение автозапуска на всех дисководах) (на вопрос сохранить ли параметры консоли можно отвечать "нет").. уходим в ребут (а в случае, если система уже скомпрометированна (а-ля заражена) лучше переустановить виндоуз и первым делом повторить описанные выше действия)..

outro
этот ход хоть и не вылечит флешку, но и на содержащееся там авторан вирье компу будет начхать... внимание отключение автозагрузки чревато отключением всяких там авторанов и на полезных дисках, а так же не следует ждать соотвтетствующего диалога после вставки флешки в комп (а оно тебе надо?) в любом случае более полное поисание того как собрать на базе обыкновенного виндоуза - форт нокс  эдишн, выложу как добью сессию (если конечно тема будет комго-нить интересовать)...
Название:
Отправлено: Acsel от мая 26, 2008, 07:57:09
Цитата: "z01d"1. Заходим м менеджмент-консоль
(Пуск->Выполнить->(вбиваем в окошко mmc (от microsoft menagment cosole))
2. Жмем <Ctrl>+M, затем трижды <Tab> (ну или мышкой жмем на "Добавить..."  )
3. В окошке "Изолированная оснастка" выбираем пункт "Редактор объекта групповой политики", в появившемся окошке жмем "ГОТово".
4. Закрываем окошко со списком оснасток, и окошко "Добавить удалить оснастку" (ОК, ОК, Закрыть, ипр пр пр)
5. Теперь в консоли у вас присутствует оснастка "Политика "локальный компьютер"".. жмем на нее, далее на "Конфигурацию компьютера", дале "Административные шаблоны" и наконец "Система"...
))) есть вариант проще!!!
Win+R - "GPEDIT.msc" - enter
Цитата: "z01d"6. находим там шаблон "отключить автозапуск" жмем на него, в появившемся диалоге устанавливаем рабиокнопку на пункт: "Включена" а в выпадающем списке устанавливаем пункт "Всех дисководах" все. жмем "ок" а уж затем закрываем менеджмент консоль (обратите внимание имеет место обратное отрицание - Включить отключение автозапуска на всех дисководах) (на вопрос сохранить ли параметры консоли можно отвечать "нет").. уходим в ребут (а в случае, если система уже скомпрометированна (а-ля заражена) лучше переустановить виндоуз и первым делом повторить описанные выше действия)..
Если система "аля" заражена, то имеет место создать нового пользователя! и скопировать все доки со старой уч записи!
Новые учетки обычно не имеют свойства хранить в себе последствия вирусов! (Хотя недавно был случай... создавая учетку он и её заражал)!
Цитата: "z01d"этот ход хоть и не вылечит флешку, но и на содержащееся там авторан вирье компу будет начхать...
:) А что будет если воспользоваться двойным кликом на флешке с файлом в корне Autorun.inf?
Название:
Отправлено: elPoohy от мая 26, 2008, 10:26:05
Цитата: "Acsel":) А что будет если воспользоваться двойным кликом на флешке с файлом в корне Autorun.inf?
Дефолтным действием станет open.

Кроме того стоит отрубать людям которые в винде используют explorer в качестве файл манагера.
Название:
Отправлено: sek.tor от мая 26, 2008, 10:53:45
Цитата: "elPoohy"Кроме того стоит отрубать людям которые в винде используют explorer в качестве файл манагера.
+1. а так же надо отрубить ие, чтоб не заражались из инета. и ваще, стоило бы отрубить нах винду, гг
Название:
Отправлено: elPoohy от мая 26, 2008, 11:08:11
Ну венда нехай жЫвёт, чтоб время от времени ужосатьсо.
А про осла факт.
Ещё стоит бить в рожу за юзание дырявого стандартного асечного клиента.
Название:
Отправлено: z01d от мая 27, 2008, 08:23:40
to Acsel
Цитировать))) есть вариант проще!!!
Win+R - "GPEDIT.msc" - enter

писал так подробно в надежде, что кто нить начнет зырить другие оснастки (а ведь там реально кладезь всяких твиков, красотулек, и отчетов)..

ЦитироватьЕсли система "аля" заражена, то имеет место создать нового пользователя! и скопировать все доки со старой уч записи!
Новые учетки обычно не имеют свойства хранить в себе последствия вирусов! (Хотя недавно был случай... создавая учетку он и её заражал)!

это если имеет место сидение с гостевыми правами.. основной же контингент сидит за рутом...