> {RASkov} ©   (10.10.08 23:18) [20]


Реальный случай:
Звонок:
- А вот тут у меня програма. Она раньше запускалась, а сейчас не запускается, что мне делать?
Подхожу смотреть. Директория программы располагалась в директории с открытым доступом с разрешением на запись. В директории располагался ехе-шник с именем это директории (собственно имя программы, которую пытались запустить), но в качестве ярлыка этого ехе был установлен ярлык директории.
Таких "директорий" у всех юзеров в сети было от 5 до 20. Ни один антивирус не отлавливал. Потом нашли какое-то старьё, при помощи которого всё вычистили.
Можно было мило ходить по "директориям" на дискете и запустить исполняемый файл. Вот и всё раскрытие секрета.


> DillerXX ©   (10.10.08 20:46)  

Помнится там предлагается набор действий либо открывается проводник ...

> того идиота, что не додумался отключить по умолчанию авторан
> на флешках.


Может расскажешь как это сделать именно для флэшек, не трогая остальные?

> [60] Ru ©   (11.10.08 13:21)
> но в качестве ярлыка этого ехе был установлен ярлык директории.

Есть такое дело.... знакомый вирус.... только не ярлык наверное хотел сказать, а значёк(иконка)...
Хотя эта "папка" немного отличается от значка папки в ос.... т.е. где то на Вин95(NT4) папку похож :)

> Таких "директорий" у всех юзеров в сети было от 5 до 20

Данный вирус создает (скорее копирует) себя в той папке, в которую мы перешли в проводнике, а имя экзешке присваивает - имя родительской директории....
Чем больше пользователь полазеет по папкам, тем больше и будет у него фантомных каталогов....


> Помнится там предлагается набор действий либо открывается проводник ...

Это если нет авторана.... А там - это где? :)

> Anatoly Podgoretsky ©   (11.10.08 12:48) [59]
> > korneley  (11.10.2008 2:02:49)  [49]Может не надо публиковать
> 135 порт на публичном порту? чем потом бороться?

Дык, закрыт он у меня :) Это файрвол мне рапортовал, что мол, глянь дядька, к тебе пытаются ломиться. Я ради интереса попробовал эти хосты "пощупать" - и точно, зомби типичные. Причём, похоже, хозяева и не знают, что они давно уже "завирушённо-обтроянены": ни антивирей, ни файрволов и прочих брендмауэров :)) Дети...

> {RASkov}  [62]


Да-да, на моей флешке тоже такое было :) Каспера запустил - он всё вычистил.


> Может расскажешь как это сделать именно для флэшек, не трогая
> остальные?

Вот этого не знаю. Отрубил всё. Но, винда ведь определяет подключенные диски, как записываемые (например тот же Total Commander особую иконку под флешки ставит). И не догадаться сделать разграничение авторана... ужас.

> Может расскажешь как это сделать именно для флэшек, не трогая
> остальные?

Можно создать reg-файл такого содержания

В данном случае dword:000000ED - означает отключение всех авторанов кроме CD
За подробностями http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/91525.mspx?mfr=true

Лично я пользуюсь бакником такого вида


который всегда ношу с собой на флэшке, и если знаю, что человека не обижу, то смело запускаю, отключая тем самым весь автозапуск.

Что касается автозапуска с дискеты, то файл folder.htt при просмотре Проводником папки её содержащей,  запускался автоматически со всеми содержащимися в нём скриптами. Тем более, что создать его проще пареной репы, т.к. это обычный html.

У одной женщины сразу после покупки компьютера завёлся вирус, который запуске Worda страшно пучил глаза и бил по стеклу монитора. Вирус был в форме скрепки.

> DillerXX ©   (11.10.08 14:31) [64]

Я у себя проще сделал:


Я тупо прописал  16 единиц (65535) Никаких проблем. Правда, если нет в корне файла с названием Autorun :) Но тут, правая мышь в помощь ;)

А что такое - линчевать? ...или как это?

> [68] korneley ©   (11.10.08 15:37)

Комментарий не соответствует содержанию.
Вот если бы вместо NoDriveTypeAutoRun было бы NoDriveAutoRun, тогда комментарий был бы правильным.

NoDriveAutoRun
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93506.mspx

NoDriveTypeAutoRun
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/91525.mspx

Когда обслуживаешь множество компьютеров, то лучше отключать по типу.

> А что такое - линчевать? ...или как это?

Линчевать = Совершить самосуд

Просто я не отключил авторан на флэшке....
но я не идиот, так как додумываться до этого не пришлось, ибо знал об этом :)
Пока полет нормальный... но попадись мне "авторанщик"(создатель этого говна) - порву гада :-[
:о)

> [71] Наиль ©   (11.10.08 16:05)

Ясно.... тогда ну его нафик) Я не виновен.... :)

Четвертовать = разорвать на части, см. фильм "Няньки"
Колесовать = привязать к колесу и закрутить до смерти.

> Четвертовать = разорвать на части

Либо разорвать на четыре части, либо - частевать. А то как-то....)

> DillerXX ©   (10.10.08 20:46)  
> того идиота, что не додумался отключить по умолчанию авторан
> на флешках.


Таких большинство.

> Наиль ©   (11.10.08 15:08) [65]

+1

Батник - это хорошо, но я еще права на запись в данную ветку реестра даю только "Администратору". А юзер работает под "User"-ом, даже на тех компах, которые стоят у друзей/знакомых дома. "User" хоть и с правами "Администратора" (не дай бог какая-нибудь кривая игра не пойдет - вони не оберешся), но вот в данную и некоторые другие ветки реестра писать не может. И идут вири лесом.

Кстати, "*.hht" тоже через реестр отключается элементарно.

> Наиль ©   (11.10.08 16:03) [70]
> > [68] korneley ©   (11.10.08 15:37)Комментарий не соответствует
> содержанию.Вот если бы вместо NoDriveTypeAutoRun было бы
> NoDriveAutoRun, тогда комментарий был бы правильным.

> Когда обслуживаешь множество компьютеров, то лучше отключать
> по типу.

Звиняйте :) Просто выдрал у себя, да не адаптировал :( А там именно удалённое и на много хостов. Да и ветка у меня HKCU а не HKLM ;) короче, всё плохо.

> {RASkov} ©   (11.10.08 16:06) [72]
>... но попадись мне "авторанщик"(создатель этого говна) - порву гада :-[:о)

Вот! Это и будет - "линчевание" :)

> Таких большинство.

Я про прожект-манагеров МС.

А что, можно для юзера установить запрет на автораны? Аля те ветки реестра по умолчанию для целой группы пользователей? Я в администрировании ни-ни.