98 ответов в этой теме

[Davis]

Всем привет.
Достали меня вирусы на флешках и беспечные юзеры.
Написал я прогу Flash Guard.
Условия распространения - фриваре.
Брать тут - http://www.davisr.co...ashGuard1.0.zip
Зеркало - http://davisr.boom.ru
Позже выложу на сайте как положено, с описанием.

Далее ридми из поставки:

DAVISR® Flash Guard

Многие современные вирусы используют функцию Autorun для распространения посредством флэш накопителей.
И часто антивирусные программы не могут их остановить.
Вы или ваш администратор можете отключить функцию Autoplay, но вирус все равно будет способен заразить вашу систему с помощью файла Autorun.inf на флэш диске - функция Autorun.
Можно полностью отключить Autorun, запретив службу "Shell Hardware Detection", но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.

Flash Guard может блокировать Autorun и остановить вирусы!

Он запускается при входе пользователя в систему и следит за дисками.
Когда вставляется новый носитель(компакт диск например) или добавляется новый диск(вставляется флэш брелок) Flash Guard может совершать такие действия:

- Удалить добавленные файлом Autorun.inf пункты контекстного меню диска
- Информировать пользователя о наличии на диске файла Autorun.inf
- Удалить файл Autorun.inf
- Удалить все файлы Autorun.*

Поведение программы полностью настраивается пользователем.

Удаление добавочных пунктов меню - это главная особенность программы. Таким образом вы даже можете не удалять вирус с флэш диска и при этом открывать его в Проводнике, не заражая свой компьютер.

Отзывы, пожелания ожидаются

Сообщение отредактировано Davis: 01 Feb 2008 - 17:30

[bronks]

так это не против вирусов и флешек а выключение автозапуска. это есть в настройках системы и всех наверное твикерах

[Davis]

ну autoplay там постольку-поскольку, а вот удаление добавленных пунктов меню нет нигде

создайте на флэшке файл Autorun.inf с текстом

[autorun]
label=INFECTED_BY_CALC
shell\com=NewCommand
shell\com\command=calc.exe
shell=com

вытащите-воткните флэшку.
тперь даблклик на нее, Че будет?

Сообщение отредактировано Davis: 28 Jan 2008 - 15:28

[Alf_Zetas]

в Тоталкоммандере точно ничего не будет

[PavelBuilder]

Есть у меня утилита, которая удаляет любые пункты меню в винде по правой кнопке всплывающие, если не ошибаюсь еще и отредактировать как то можно

Если не сложно, можно мне кинуть flash зараженный вирусом, в архиве с паролем "virus". Если можно дам мыло куда кинуть. Я проверю ее на различных антивирусах и расскажу результат, а то все мы хаим антивирусные прогроаммы, а сами используем их крякнутые, с вирусной базой прошлого столетия. Обещаю, что если drWeb не отловит вирус сейчас, то отловит в следующей сборке (имею выход на разработчиков).

[velch]

У меня DrWeb 4.44 мгновенно отлавливает Autorun.inf на флэшках.

[bpali]

Проверил нашел Autorun.inf.

[Virs]

У меня DrWeb 4.44 мгновенно отлавливает Autorun.inf на флэшках

Аналогично.После эпидемии экселевского авторана,снёс SAV и поставил DrWeb,который ловит эту гадость очень хорошо. Потом слил на флешку CureIt и прошёлся по клиентам и вычистил у них.
Периодически прохожусь сканерами Касперского и Clam-ничего не находят,так что DrWeb4.44 меня пока устраивает.

[Davis]

насколько понимаю, только дрвеб обращает внимание на авторан.инф
Честь ему и хвала!
Но у нас SAV...
И не только у нас...

[Virs]

Ты прав,SAV его вроде видит,но не блокирует

[altarvic]

А если сделать возможность при вставке флешки автоматом запускать установленный в системе антивирус?

[Davis]

Реагирует на наличие autorun.inf на съемном диске, как я понял, только DrWeb.
Хотя авторан на съёмном - сегодня 99% вирусняк.

altarvic
Все можно, но эти вирусы очень быстро мутируют и твой антивирус может не знать этот вирус.
Flash Guard же, удалив добавленнфе меню и, по желанию, замочив autorun.* с флехи убережет вменяемого пользователя от ВСЕХ таких вирусов.

[faktadmin]

насколько понимаю, только дрвеб обращает внимание на авторан.инф
Честь ему и хвала!
Но у нас SAV...
И не только у нас...

Не правда. NOD32 также их блокирует.

[PlayStation]

McAfee 8.5i enterprise бъет всякую заразу. уже год пользую.

[Davis]

Скатываемся во флуд...

[altarvic]

Хотя авторан на съёмном - сегодня 99% вирусняк.

У меня например флешка с закриптованными данными. Автораном запускается TrueCrypt, для расшифровки требует пароль. На системах где функция авторана заблокированна это можно сделать через менюшку флешки.
Как быть в этом случае?

кстати при скачке выдает такую хрень:
ОШИБКА
Запрошенный URL не может быть доставлен.

Во время доставки URL: http://www.davisr.co...ashGuard1.0.zip

Произошла следующая ошибка:
Не удалось установить соединение.

Был получен ответ:
(61) Connection refused

Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.

Сообщение отредактировано altarvic: 24 Jan 2008 - 12:26

[Davis]

У меня например флешка с закриптованными данными. Автораном запускается TrueCrypt, для расшифровки требует пароль. На системах где функция авторана заблокированна это можно сделать через менюшку флешки.
Как быть в этом случае?

Не понял сути вопроса

Сейчас сайт лег. Через минуту закачаю на зеркало и добавлю ссылку в первый пост(если смогу править )

[altarvic]

я имел в виду что можно ли включить возможность вести список "легальных" файлов autorun.
С тем чтобы прога не ругалась при вставке нормальной флешки, и ругалась при любом изменении.
(Например, как вариант, хранить хеши текстов autorun.inf)

[Davis]

Добавил зеркало.

Конечно можно, можно почти все.
Если прога окажется нужной, добавлю и список исключений и все, что будет полезным

[migar]

To Davis Ссылка не работает...

[Davis]

Уже работает основной - davisr.com
А на boom.ru - они запретили личинг, гады
Надо в поле реферер качалки вписать http://davisr.boom.ru
тогда закачается

Сообщение отредактировано Davis: 24 Jan 2008 - 13:35

[BYuri]

sav блокирует вирус, но не удаляет его с флешки
даляет если только принудительно проверить флешку.

[Davis]

это если он знает вирус, а если еще не знает?

[Valery]

Спасибо за софтинку-очень полезна.

[migar]

Присоединяюсь. Частто пользую чужие носители. Спасибо за програмульку.

[Davis]

Фуух, значит не я один уверен в её полезности
В следующей версии добавлю возможность указать/запомнить на будущее "хороший" авторан. Для понимания своих легальных...

Можно выкладывать для всеобщего обозрения?

Сообщение отредактировано Davis: 28 Jan 2008 - 10:54

[Valery]

Можно выкладывать для всеобщего обозрения?

Можно и даже нужно!

[Davis]

Загрузил по старым адресам обновлённую версию - 1.0.0.3
Изменения:
- добавлен список легальных файлов autorun.inf. список, ессно, редактируемый
- если пользователь - админ, то параметры AutoPlay меняются не только для пользователя, но и глобально для машины.

[Virs]

Пока что СУПЕР!!! У меня на рабочих машинах нет антивирей,так что это решение просто отличное!

[edel]

Спасибо, Дима!

[Davis]

edel
Саня?

[edel]

>Саня?
Да

По теме.

Я попробовал прогу.

У меня так:

Файл Autorun.inf прога обнаруживает на флешке.
А удаляет только в том случае, если на нем нет атрибутов "только чтение" и "скрытый", хотя "рапортует", что удалила

Система WinXP Home русская версия

[altarvic]

Я тоже попробывал. После занесения моей флешки в список исключений, изменил на ней файл autorun.inf
Однако после этого прога не сказала мне что произошли изменения, а молча пропустила ее.

[Davis]

edel
Странно, системный авторан у меня удаляла. Но еще проверю, спасибо
Проверил, таки ты прав. Буду править


altarvic
Только что проверил.
записал на флешку авторан
вытащил-воткнул - кричит
добавил его в список исключений
вытащил-воткнул - молчит
открыл блокнотом авторан, добавил пару энтеров, сохранил
вытащил-воткнул - кричит

все пучком

[edel]

Дима, а обязательно список исключений держать в системном реестре? Можно-ли сделать его в отдельном редактируемом файле?

[Davis]

Не обязательно.
Просто я полагал, что в данном случае удобно, если у каждого пользователя будут собственные настройки

[Davis]

Загрузил на Davisr.com новую версию (1.0.0.4):
- должна удалять все возможные пункты меню (предыдущая кое-что пропускала)
- исключения хранит в ини файле
- теперь удаляет и read-only файлы

[Bambur]

Davis, спасибо!!!!
Работает правильно. Сегодня весь день боролся в одной из контор с "тварями". Антитварь впервые не отреагировала правильно, твоя прога сделала всё, что нужно. Компы пока заражены, но теперь до запуска вируса не доходит. Буду ждать обновления антивирусных баз.... Огромное спасибо, помогло!

[ra]

спасибо! программа работает как часы, проверил флешки у всего отдела, из 18 носителей 3 скрытых autorun.inf)

[Davis]

Я рад!

[Davis]

Оформил на сайте как положено
текущая версия - 1.0.0.5

[Virs]

А что нового?Скачал,а на сайт зайти не могу.Видно у меня глюк какой-то...

Сообщение отредактировано Virs: 15 Feb 2008 - 13:59

[Davis]

Ничего особо новго, так, косметика
Поправил обнаружение дисков при запуске и инсталятор.
Сайт (davisr.com) работает полностью, а зеркало (davisr.boom.ru) - глючит, не дает аплоаднуть дистрибутив.... и ftp у них не работает не зна сколько уже...

[Virs]

Да,davisr.com работает.Спасибо!

[-Stas-]

Наверно офтоп.
Столкнулся с этими гадостными вирусами сам. Антивируса на монтажной машине нет. Вирусы с флешки уже удалил на другой машине МсAfee 8.5 Enterprice их отловил и стер. Теперь на моей машине при вставке флешек они сами открываются автозапуском несмотря на то, что вируса на них нет. Я их даже переформатировал. Видимо вирус где-то засел на компе. В настройках для флешек стоит, что должен появляться диалог, что с ней делать после вставки. Винжа ХР. Не подскажите как исправить ситуацию (отключить авторан флешек).
И еще, теоретический вопрос, не влияет ли ФлешГъярд на РТ в монтажке.

[Davis]

FlashGuard пока висит вообще ничего не делает и не кушает ресурсы. Только когда появляется новый диск, система отправляет извещение об этом всем зарегистрированным "слушателям", тут то прога и просыпается.

По поводу почистить.
Справедливо для XP.
Откройте ветку реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Тут все виденные системой диски. Тут же сохраняются и данные из авторан инф.
Можно тупо грохнуть все содержимое ветки (сам ключ оставить)
А можно пройтись по всем подключам и повытирать в каждом ключи типа "_Autorun"

Например у меня для диска {c29348fa-2a06-11dc-ba5a-0018f3639b23} запомнило авторан и команду name:
в ключах
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c29348fa-2a06-11dc-ba5a-0018f3639b23}\_Autorun
и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c29348fa-2a06-11dc-ba5a-0018f3639b23}\Name
Поэтому можно грохнуть всю ветку
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c29348fa-2a06-11dc-ba5a-0018f3639b23}
чтобы система забыла об этом диске...

Сообщение отредактировано Davis: 27 Feb 2008 - 11:32

[-Stas-]

Davis! Попробовал по вашему совету постирать ветки в реестре - толку 0. Как при вставке флешки в картридер она открывалась автораном, так и открывается (в смысле сразу открывается окно эксплорера). Для чистоты эксперимента флешка предварительно отформатирована на фотоаппарате. Самое главное, что USB флешка при вставке благополучно выдает запрос, что с ней делать дальше. Сравнивал ключи реестра соотв. разным флешкам и отличий не нашел. В настройках всех флешек авторан выключен.
Вот принтскрин реестра

Вот как выглядит меню по правой кнопке мыши при вставленной флешке. Когда флешки в картридере нет, то пункт "автозапуск" из меню правой кнопки исчезает.

Вот как выглядит меню настройки авторана

Вот ссылка на экспортнутый кусок реестра, который относится к дискам
http://rapidshare.co..._1080_.reg.html
Я понимаю, что вобщем-то проблема несущественна, но дело принципа как заставить после вставки флешки в картридер не открывать автоматом проводник, а задавть вопрос, что делать с новым диском.
Заранее спасибо.

[Davis]

Тут у вас Autoplay выделывается, похоже...
Может вы его отключите да и все?
Либо попробуйте включить "воспроизводить медиаплеером", запустит медиаплеер?

[-Stas-]

Спасибо за подсказки.
Я пробовал выбирать для всех типов файлов "не выполнять никаких действий" - эффект 0. Вечером дома попробую выбрать медиаплеер.
А отключить автоплей - это имеется ввиду остановить соотв. службу? Если так, то не очень интересно, т.к. для СД и ДВД автоплей удобен тем, что плееры сам включает, а так я понимаю не будет.
Вобщем-то на это можно начхать, но уже просто стало интересно. Возникло все это после словленного вируса.

Сообщение отредактировано -Stas-: 28 Feb 2008 - 11:14

[Davis]

отключить автоплей - запустить FlashGuard и снять все галки в разделе Autoplay