Šta je novo?

AKCIJA: Isključite autorun!!!

Status
Zatvorena za pisanje odgovora.

milanbb

Moderator
Super Moderator
Učlanjen(a)
02.11.2000
Poruke
5,749
Poena
770
Zaista bi mi bilo drago da što više članova makar pročita ovu temu, i upozna se sa jednim od mogućih načina za zaštitu od neverovatno dosadnih autorun virusa na flash drajvovima.

Širenje virusa je omogućeno izuzetno korisnim "feature-om" Windows XP-a da bez ikakvog pitanja pokreće autorun.inf skript po umetanju flash/cd/dvd diska i time izvrši bilo koji exe ili čak ozbiljniji skript.

Do sada su virusi na koje sam nailazio bili relativno jednostavni, skriveni .exe, skriveni autorun.inf koji ga poziva, kada se pokrene jasno se vidi proces, lako se uklanja ubijanjem procesa i pronalaženjem fajlove iste dužine u System32 folderu. Medjutim danas sam imao tu cast da se upoznam sa virusom koji se pokrece preko sistemskog .dll-a i ne vidi se u procesima. Krije se u RECYCLER folderu i brise kreirani autorun.inf koji je read only (jedan od načina zaštite je bio kreiranje praznog read only autorun.inf fajla). Ovaj virus sam danas našao na jednom računaru u firmi i ličnom flash disku koji koristim samo kada idem do foto radnje.

S obzirom na rasprostranjenost flash diskova, jasno je kolika je opasnost od ovakvih virusa. Preventiva je jednostavna: ISKLJUCITE AUTORUN.

Procedura je sledeca:

Pokrenite REGEDIT (ako ne znate kako, ovo uputstvo nije za vas)

pronadjite kljuc Explorer koji se nalazi na sledećoj putanji:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
Explorer

Izaberite Explorer, sa desne strane treba da se pojavi podatak (data) NoDriveTypeAutoRun, dvoklik na njega (ili desni klik pa modify). Vrednost koju unosite treba da bude HEXADECIMAL.

Windows vrednost postavlja na 91 (sve dozvoljeno), da bi isključili autorun na removable uređajima treba uneti 95, dok za removable + optika treba uneti b5. Još jednom napominjem da su ovo HEXADECIMALNE vrednosti i da ih treba uneti onako kako je napisano.

(dopuna)

Igoritza je primetio da NoDriveTypeAutoRun postoji na još nekoliko mesta, pa nije loše uraditi pretragu za istim (CTRL+F ili meni EDIT -> Find, pa odaberite samo Values, sa F3 tražite sledeći).


Originalna uputstva možete pogledati:
ovde
i ovde
a i ovde

(dopuna)
sirNemanjapro je napravio potrebne .reg fajlove, imate verziju za iskljucivanje removable i jos jednu za removable i CD diskove.
 

Prilozi

  • Removable_AutorRun_Off.zip
    726 bajta · Pregleda: 1,113
  • RemovableCD_AutorRun_Off.zip
    732 bajta · Pregleda: 747
Poslednja izmena:
uradi export reg fajla i okaci ga kao attachment...
sledeca ideja je da napravimo autorun.inf
koji automatski pokrece ovaj reg koji trajno islkjucuje autorun |)
 
...
Ovaj virus sam danas našao na jednom računaru u firmi i ličnom flash disku koji koristim samo kada idem do foto radnje.
...

Meni non-stop iz jedne kopirnice pakuju neke *.exe viruse.
(Jedan se zove nesto kao acrobat.exe, al ne verujem da ima veze sa adobom)
 
Razumem muku i podrzavam akciju.
 
Thanks man!
koristan info
 
Ja ovo oduvek praktikujem.
 
Najgluplji su ti virusi. Ja kad vidim da flash zeza odmah pod noz (format) :)
 
Kod:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
 
Hvala za dopunu.
 
Uh milane hvala puno za ovo!
 
Autorun je extra korisna stvar! Ne bih ga isključio ni u kom slučaju (a naleteo sam par puta na flashove zaražene raznim virusima! To je problem antivirus programa, ne moj)...

AutoRun konza! Voistinu konza! :D
 
Poslednja izmena:
Ako mogu da dodam, isključivanje autoruna se lako obavlja iz Start>Run>GPEdit.msc>Local Computer policies>Administrative Template>System>Turn Off Autoplay na "Enabled". Ovim se isključuje autorun na celoj mašini, za razliku od postupka iz prve poruke koji utiče samo na trenutnog korisnika sistema. Ako je nekome i dalje lakše da otvara regedit, onda neka umesto HKEY_CURRENT_USER ide u HKEY_LOCAL_MACHINE, ostatak je isti.

EDIT: ili neka primeni reg fajl koji je Igoritza ostavio...
 
Poslednja izmena:
Jedno pitanje vrednost treba da bude 95 ili 0x00ff? Posto je kod Igorice 0x00ff koliko vidim...
 
kod radi sigurno - testiran je, na mojoj mashini, i na laptopu.
 
Hm kada exportujem kljuc dobijem:

Kod:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
 
Sjajno!

Odradicu ovo na svim kompovima koji mi dodju ruke, slagali se, ili ne slagali vlasnici.
Za njihovo dobro!
 
Hm kada exportujem kljuc dobijem:

Kod:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5

ne razumem ja ovaj dword, google-ao sam 5 minuta - u heksadecimalnom zapisu, ff je binarno: 11111111, a b5 je 10110101.

nije mi jasno zashto informacija koja treba da nosi jedan jedini bit (autorun off ili on) , ima u stvari 4 bajta ( 00 00 00 xx heksadecimalno)

enivejz, i Kelly's Corner se slaze samnom -

http://www.kellys-korner-xp.com/xp_tweaks.htm << unos pod rednim brojem 404.
 
Ali ne treba da nosi jedan jedini bit, jer je ovo podesavanje vezano za TIP uredjaja...

Na drugom linku imas objasnjenje:

Additional Technical Info

The first byte defines which drive types to EXCLUDE from Autorun behavior. The hex value of the byte is the sum of all of the drive type values to exclude + 128.

DRIVE_UNKNOWN 1
DRIVE_NO_ROOT_DIR 2
DRIVE_REMOVABLE 4 (floppy disks and removable cartridges)
DRIVE_FIXED 8 (hard disks)
DRIVE_REMOTE 16 (network drives)
DRIVE_CDROM 32 (CD-ROMs)
DRIVE_RAMDISK 64

The default configuration excludes UNKNOWN (1), REMOVABLE (4) and REMOTE (16) which would be 16 + 4 + 1 + 128 = 149, which is hex 95. If you take out REMOVABLE you get 16 + 1 + 128 = 145, which is hex 91.

The calculation for this value is 1 + 4 + 16 + 128 = 149. 149 Decimal is 95 Hex

The new calculation is 1 + 16 + 128 = 145. 145 Decimal is 91 Hex

You may have to restart for the system to recognize a floppy or Zip as an Autoplay drive. If your floppy drive does not show a custom icon or AutoPlay in the menu when right-clicked, double-click on the icon for your computer on the desktop and press F5 to refresh the information in the Explorer window. Zips and floppies will not autolaunch when media is inserted. You must double-click their icon or right-click and choose AutoPlay from the menu.
 
Poslednja izmena:
Podržavam akciju. I ja sam to odradio.
 
Bravo!Samo da podsetim da se sve ovo moze jednostavno uraditi pomocu MS-ovog alata TweakUI.Jednostavno i pregledno za one koji ne vole da cackaju po reg.bazi.:wave:
 
Bravo!Samo da podsetim da se sve ovo moze jednostavno uraditi pomocu MS-ovog alata TweakUI.Jednostavno i pregledno za one koji ne vole da cackaju po reg.bazi.:wave:

Tako je. Jao, pre par meseci sam jedva očistio komp na poslu od virusa. Posle sam lepo isključio auto run i gotovo.
 
Status
Zatvorena za pisanje odgovora.
Nazad
Vrh Dno