Flash Drive Disinfector
 

Сегодня принесли флешку, которую я недавно обработал Флешдезинфектором...
сканернул её антивирем... в результате чего был обнаружен авторан.инф в папочке авторан.инф (ну та которая создаётся Флешдезинфектором)... что интересно, файл авторан.иya был только в этой папке... хотя на флешке были и другие каталоги...
что бы это значило? :dont-know

SANIOK_AV, при подключении этой флешки заражения все равно автоматически не произошло бы, т.к. autorun.inf не в корне диска, папка autorun.inf скрытая, поэтому маловероятно, что обычный пользователь зайдет в эту папку проводником. Вероятно зловред не смог создать в корне диска и по какой-то причине записал в папку, сама утилита файл autorun.inf не создает, только папку. Содержимое autorun.inf из одноименной папки выложить можете?

Pili, Тоже самое после Flash Drive Disinfector на флэшке появился autorun.inf , а также значок корзины - при попытке удаления (после зачистки антивирусом)система ругалась - Это системный файл и удаление невозможно)- флэшку просто отформатировал.
Если снова попадётся такое постараюсь выложить здесь.

Появился каталог или файл? Флешка до этого точно была чистая?
Всё правильно, на папке должны стоять атрибуты системный, скрытый, только для чтения, архивный, внутри папки файл "lpt3.This folder was created by Flash_Disinfector", удалить легко - снять атрибуты, стать владельцем папки (посл. не всегда требуется) и удалить, только зачем? :) Пропадает весь смысл использования утилиты :)

Папка и в ней значок корзины .
Все сто процентов - чистая. Я удалял не файл "lpt3.This folder was created by Flash_Disinfector" , а значок корзины который появился в папке на флэшке и в ней остался после чистки (каспер сам среагировал и зачистил флэшку, оставил только папку и значок) Сам значок корзины из флэшки открывал мою корзину.
Завтра если будет время схожу в фото - салон и если они не зачистили свой комп, то результат выложу куда скажете.

Flash Disinfector работает так: убивает процесс explorer, удаляет по имени файлов зловредные файлы (есть список в скрипте), создает папку autorun.inf на всех локальных и съемных дисках с файлом lpt3.This folder was created by Flash_Disinfector внутри, запускает exlporer, никаких значков корзины не создает. Вероятно у вас была зарежена флешка или сама система, можете сделать логи.
Можете также распаковать flash_disinfector.exe и посмотреть что внутри.

Pili,
Я наверное не так обьяснил. На флэшке обработанной Flash Disinfector после вставки в комп. где есть autorun.inf и появилось все выше перечисленное.

iskander-k, :) ясно, от появления остальных зловредных файлов (кроме файла autorun.inf в корне съемного диска), флеш дезинфектор не спасает, нужно лечить сам зараженный компьютер сначала.

А вот еще вопрос.
Папка autorun.inf из скрытой, бывает, превращается в нескрытую.
Сам я атрибуты при этом не менял. Никто не знает причину?

truvo, бывает, когда флешку переносишь на др. компьютер

Pili, к сожалению каспер его удалил...
мне интересно, почему файл записался только в эту папку...?

Pili,
Я скопировал в архив файл с вирусом который появляется на флэшке(о чем писал выше).Флэшка после дезинфектора. И опять таки появилась "корзина" на флэшке. и папка дезинфектора стала не скрытой.
Выложить для анализа ? И куда ?
Обнаружено и удалено касперским.

iskander-k, если система заражена, то на флешку вирус может писать, только ему будет проблематично создать файл autoun.inf, соответственно при вкл. этой флешки на другом компьютере заражения не произойдет, в этом суть иммунизации утилитой. Выкладывать файл не надо, но логи с зараженного компьютера можно выложить.
С этим вопросом нужно обратиться к создателю вируса :)

Pili, вот из логов каспера выдернул по поводу того файла:

03.12.2008 10:58:38 Файл f:\autorun.inf\autorun.inf, обнаружено: вирус 'Worm.Win32.AutoRun.ekr'.

понял;)

SANIOK_AV,
Вирус не смог создать в корне диска f:\ и по какой-то причине записал в папку, при подключении такой флешки к компьютеру заражения не произойдет, но если пользователь зайдет в эту папку проводником и автозапуск не отключен, то зарежение возможно (если и тело вируса будет находиться в той же папке или пути в файле autorun.inf на тело запускаемый файл отработают как надо)

Pili,
Вы имеете в виду:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

SANIOK_AV,

Pili, огромнейшая просьба, прокоментируйте пожалуйста суть ключей:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

и

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

SANIOK_AV,
Подробно Борьба с автозапуском новыми методами и здесь

Pili, Спасибо...
и тогда токой вопрос:
какой смысл в ключе:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

если мы ключем:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

и так отключаем автозапуск на всех дисках?

SANIOK_AV, если есть есть такая возможность по усилению отключения автозапуска, то почему бы не воспользоваться на случай если зловреды перепишут параметр NoDriveTypeAutoRun, если вас интересует, почитайте ещё здесь и здесь

Pili, спасибо огромное!!!
а каково Ваше мнение по поводу :

SANIOK_AV, тоже можно, после применения reg файла по отключению автозапуска из ветки
HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2 нужно удалить зловредные остатки (их можно увидеть или вручную или по логам утилит ComboFix, RSIT), например в логах будет так
соответственно удаляем
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8e17e9c-299d-11dd-9512-00161796901a}
или так, сохраняем текст как fix.reg и применяем
Я ограничение на ветку mountpoints2 не применяю, достаточно других и ограничений в системе, имхо если автозапуск отключен, флешка изп-ся обработанная флеш дезинфектором, то риска со стороны mountpoints2 (в ней чисто) нет. На раб. компьютер каждый день вставляются в среднем 5-8 флешек (из них более 50% приносят со зловредами), за всё время работы компьютера не было ни одной переустановки системы и её заражения (но ещё много других параметры безопасности настроено)

Pili, ещё раз огромное Спасибо!!!

Pili и другие заинтересованные лица.

Ваял я тут свой скрипт для Complete Autorun Off - с автоустановкой KB967715 если не установлен
с закрытием всех 4 ключей автозапуска, с удалением mountpoints и тд....

обнаружил такую вещь

Запросто удаляет созданную Flash Drive Disinfector "неудаляемую" папку.
Первая команда удаляет все файлы из директории x:\autorun.inf\* вместе с хитрым lpt3
Прошу обратить на это внимание, так как вирусописатели не дремлют...
А ложное ощущение безопастности хуже чем просто незащищенная флешка...

volk1234, Если флешка не NTFS или вставляли её в другой компьютер (где права на папку autorun.inf возвращаются), то папка удалится, если на том же компьютере, то Flash Disinfector отнимает права на папку у всех, кроме system и указанный выше способ с удалением не сработает (неоднократно были жалобы на невозможность удаления папки, лечится возвращением прав на папку)

А кто-нибудь пробовал - USB Firewall (оффсайт) - можете что-то сказать по ней? Насколько хорошая вещь? Стоит ли её рекомендовать?
Скачать можно здесь (прямая ссылка. ~560 КБ.) - USB Firewall.

Во- первых, согласитесь, смысл защищать флэшку только для своего компьютера ?
И как правило зараза именно на чужом компьютере цепляется, где неизвестно как и что.

Во- вторых NTFS флэшку меня в теме по авторану отговорили делать.

Конечно, защита FD лучше чем, ничего...

Конечно лучше, чем ничего :)
К мне каждый день приносят по 5-10 флешек, обрабатываю их FD, жена носит флешку в школу, обработана FD, раньше чего только на флешке не было, сейчас зловреды создаются тоже (в т.ч. и от кидо всякие vmx, антивирус не все находит), но на флешке ещё ни разу не появился файл autorun.inf :)
Тоже самое делает утилита USB and AutoRun Vaccine, только после FD она не может создать файл autorun.inf

С этим вы все таки определитесь, хотя бы для себя

Drongo
Зачем велосипед изобретать:

Как отключить использование USB-устройств хранения данных

Pili
Согласитесь, здесь мы не мои пристрастия изучаем, я написал тот что узнал, вдруг вы не знаете(или читатели этой ветки)
ИМХО - не стоит всецело полагатся на это средство, но как временная профилактика в период антивирусного лечения
в крупной организации - вполне пойдет...
====
замечу я тоже пользуюсь защитой по типу FD, еще не один вирус не прробрался. Просто я заранее предупредил о
возможной уязвимости этого метода. Так сказать бюлетень по безопасности :)

Да вот как раз и хотел узнать мнение по именно этому "велосипеду", а не альтернативе. :) Так же можно отвечать и по антивирусам: "этот отстой - сноси его - ставь другой". Возможно я неправильно понял, но по приведённой ссылке отключаются устройства использующие USB, а не автозапуск. Верно?

Проверил, на флешке Fat32 (для NTFS надо предварительно ещё вернуть права на папку)
Файл lpt3.this folder was created by flash_disinfector из папки удалился
Access is denied

Атрибуты папки тоже надо снимать для удаления
attrib -r -s -h G:\autorun.inf
И после этого
Лучше везде отключить автозапуск групповой политикой

volk1234, ИМХО, после применения описанного в статье метода незнающий пользователь не сможет установить флэшку как устройство, а это уже черезчур. Речь же не идет о полном запрете использования USB-устройств, а о возможности отслеживать самозаписывающиеся файлы. FlashDisinsector + TotalCom-r прекрасно с этим справляютсяВерно. Для предотвращения беременности - всех кастрировать

Drongo , okshef

если говорить именно об этой программе, то она и есть велосипед...
Она эффективна только если установлена. То есть ее надо спецально установить. И еще не отключить ее из автозагрузки случайно.

Лучше отключить автозапуск. Я лично прямо в дистрибутив интегрировал твики реестра убирающие автозапуск.

Pili
я сегодня еще раз прроверю FD на прочность и отпишусь.
==========================================
результат:
Создаю на всех дисках с помощью FD папки autorun.inf.
Затем выполняю скрипт:

После выполнения папки пусты. Теперь их можно просто удалить. По крайней мере в проводнике...

volk1234, Вы знаете, если говорить о специальном удалении, то я и антивирус касперскго могу выгрузить и удалить не прибегая к средствам самого антивируса или установки/удаления программ и сказать в том же духе
"А ложное ощущение безопасности хуже, чем просто без антивируса" и далее "Конечно, защита антивирусом лучше чем, ничего", мягко говоря, здесь не о чем говорить.

Если вы любите эксперименты, попробуйте ещё удалить файл autorun.inf, созданный утилитой USB and AutoRun Vaccine от Panda

Какие вы агрессивные.
Отключить защиту касперского вирус "вручную" не сможет.
А вот убить службу может.
Папки FD преподносятся как неудаляемые. Вот я и написал - что все таки удаляемые...(про форматирование не надо говорить)

Это я и хотел услышать.

См. пост 4 этой темы

Drongo
Вот вам пример "не велосипеда" :)
Хотя может и наоборот, это я изобретал велосипед...
Плюс моего варианта - он будет работать пока не переустановят систему