Форум: "Прочее";
Текущий архив: 2009.08.16;
Скачать: [xml.tar.bz2];
ВнизЗащита от AUTORUN.INF вирусов. Найти похожие ветки
← →
brother © (2009-06-17 05:46) [0]Никто такое не использует?
mkdir "\\?\G:\AUTORUN.INF\LPT3"
фишка в том, что данную папку удалить нельзя (только переместить), при создании файла, вирус тоже получит отказ)
← →
Джо © (2009-06-17 07:32) [1]Ну, переместит твою папку вирус или переименует, если шибко умный. И что?
← →
brother © (2009-06-17 07:47) [2]я думаю самый простой механизм у них - замещение с удалением, вот и интересуюсь, кто пробовал?
← →
miek (2009-06-17 08:43) [3]есть более замысловатый скрипт, его недавно выкладывли на хабрахабре.
называется autostop.
там еще и атрибуты каталога меняются на запрещенные, а внутри него создается запрещенный файл.
советую попробовать - за три месяца ни на одной флешке его вирусы не погрызли.
← →
brother © (2009-06-17 08:46) [4]> атрибуты каталога меняются на запрещенные
чкт я такого атрибута не знаю...
← →
Рамиль © (2009-06-17 09:37) [5]Я форматирую в ntfs, создаю пустой файл и отбираю у всех права (правда не знаю, помогает ли - зараженных автораном компов в живую не видел, приносят только зараженые флешки).
← →
oldman © (2009-06-17 09:45) [6]Я просто отключил автозагрузку с флешки, а на приносимые сразу напускаю Веба.
Пока жив.
← →
Loginov Dmitry © (2009-06-17 09:47) [7]
> Никто такое не использует?
> mkdir "\\?\G:\AUTORUN.INF\LPT3"
Давно использую такое:
mkdir "G:\AUTORUN.INF"
mkdir "G:\AUTORUN.INF\111 \"
главное число пробелов в конце запомнить, иначе потом сложно чем удалить.
Очень эффективный способ противодействия вирусам-автораннерам.
На а если на компе отключить автозапуск (службу Определение оборудования оболочки), то можно надолго забыть про вирусы))
← →
brother © (2009-06-17 09:50) [8]> mkdir "G:\AUTORUN.INF\111 \"
не понял фишки, что с пробелами не так?
← →
brother © (2009-06-17 09:51) [9]> Я форматирую в ntfs, создаю пустой файл и отбираю у всех
> права
это тож вариант
← →
Loginov Dmitry © (2009-06-17 10:38) [10]
> не понял фишки, что с пробелами не так?
фишка в том, что винда позволит создать каталог "111 \", однако удалить такой каталог довольно сложно (из-за пробелов в конце).
← →
brother © (2009-06-17 11:10) [11]создал на C: удалилось без проблемм ;)
← →
KSergey © (2009-06-17 11:35) [12]> Loginov Dmitry © (17.06.09 10:38) [10]
> фишка в том, что винда позволит создать каталог "111 \",
> однако удалить такой каталог довольно сложно (из-за пробелов в конце).
А если воспользоваться простым проводником а не командной строкой? :)
← →
KSergey © (2009-06-17 11:37) [13]про авторан-каталог - давно тут на форуме вычитал "фишку", не запомнил автора, увы:(
Очень классный способ!
интересно, вирусы, котрые переименовывают уже появились? Пока не попадалось
← →
capkoh © (2009-06-17 11:40) [14]> [3] miek (17.06.09 08:43)
> есть более замысловатый скрипт, его недавно выкладывли на
> хабрахабре.
http://habrahabr.ru/blogs/infosecurity/53642/
http://habrahabr.ru/blogs/infosecurity/54187/
← →
brother © (2009-06-17 11:40) [15]> интересно, вирусы, котрые переименовывают уже появились?
> Пока не попадалось
ну теперь скоро ждите ;)
← →
brother © (2009-06-17 11:46) [16]> http://habrahabr.ru/blogs/infosecurity/53642/
> http://habrahabr.ru/blogs/infosecurity/54187/
много плюсов, но один большой минус: только не для NTFS дисков!
File attributes: 0x40 Device (internal use only, never found on disk) интересно!
← →
Кто б сомневался © (2009-06-17 13:15) [17]
> Я просто отключил автозагрузку с флешки, а на приносимые
> сразу напускаю Веба.
> Пока жив.
У меня это давным давно . Если вирус, файл вируса сразу видно, ручками его удаляю.
← →
AIRDIGER © (2009-06-18 04:40) [18]Выкинте все ваши бредни... авторан жил живет и будет жить ... найдутся и по мнее вас и что-нить новое состряпоют.. (:
← →
brother © (2009-06-18 05:24) [19]> Выкинте все ваши бредни...
обязательно!
← →
oldman © (2009-06-18 09:02) [20]
> Кто б сомневался © (17.06.09 13:15) [17]
> У меня это давным давно . Если вирус, файл вируса сразу
> видно, ручками его удаляю.
авторан.инф видно, не спорю.
А бывают еще гадкие добавки.
← →
brother © (2009-06-18 09:16) [21]> А бывают еще гадкие добавки.
типа папки RECYCLER и прочих
← →
oldman © (2009-06-18 09:22) [22]Убил тут на сервере вирус - файл с расширением .pif
Вот уж век живи, век сомневайся!
← →
brother © (2009-06-18 09:24) [23]> файл с расширением .pif
и не такое видели ;) xxx.jpg picture.gif ))))))))
← →
brother © (2009-06-18 09:27) [24]я молчу про двойные расширения и 200 пробелов между ними)
← →
TIF © (2009-06-19 01:27) [25]А может всё-таки легче на компьютерах, где флешку свою втыкать, использовать антивирусы? Как-то по-китайски строить препоны, когда логичнее ликвидировать причину возникновения неприятностей
Хотя если с флешкой кто-то ходит в организации, где от слов "сисадмин" и "антивирус" у большинства делаются круглые глаза, то да, препоны "рулят"...
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2009.08.16;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.007 c