Пропатчить WinXP, чтоб не Авторанился

Сейчас на форуме: vasilevradislav (+2 невидимых)

. 1 . 2 . >>

Посл.ответ	Сообщение
GodFather Ранг: 62.5 (постоянный), 2thx Активность: 0.05↘0 Статус: Участник	Создано: 28 мая 2009 16:01 · Личное сообщение · #1 Меня уже достали эти вири на флэшках, поэтому задаю вопрос. Какая длл в XP отвечает за автозагрузку с дисков при наличии autorun.inf Меня не интересует смена ключа в реестре, меня интересует именно патчинг. И чтоб при даблклике на диске не запускался этот сценарий.

NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 28 мая 2009 16:13 · Личное сообщение · #2 в групповых политиках настраивается это, в свое время настроил и без проблем.
ADACH Ранг: 13.9 (новичок), 9thx Активность: 0.01↘0 Статус: Участник	Создано: 28 мая 2009 16:16 · Поправил: ADACH · Личное сообщение · #3 Я для себя сделал два .reg файла, которые ещё не подводили AUTORUN_disable.reg Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer] "NoDriveTypeAutoRun"=dword:67108863 AUTORUN_disable.reg Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer] "NoDriveTypeAutoRun"=dword:00000000 P.S. имхо следует копать \system32\newdev.dll
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 28 мая 2009 16:26 · Личное сообщение · #4 как вариант: на флэшке создаёшь каталог autorun.inf, а в этой папке создаёшь "неудаляемый" файл con - всё ----- EnJoy!
HandMill Ранг: 222.2 (наставник), 115thx Активность: 0.14↘0.01 Статус: Участник	Создано: 28 мая 2009 16:35 · Личное сообщение · #5 Jupiter пишет: как вариант: на флэшке создаёшь каталог autorun.inf, а в этой папке создаёшь "неудаляемый" файл con - всё раз пошла такая пьянка - то есть решение Panda USB and AutoRun Vaccine которое пропатчит один раз файловую систему флешки и на неё будет невозможно записать autorun.inf ----- все багрепорты - в личные сообщения
Rascal Ранг: 260.9 (наставник) Активность: 0.12↘0 Статус: Участник John Smith	Создано: 28 мая 2009 16:42 · Личное сообщение · #6 зачем костыли юзать? мсы сделали норм патч support.microsoft.com/kb/967715/ ----- Недостаточно только получить знания:надо найти им приложение
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 28 мая 2009 16:45 · Личное сообщение · #7 Code: @echo off reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandl ers\CancelAutoplay\Files" /v "." /d "" /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f reg add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 28 мая 2009 16:58 · Личное сообщение · #8 Shell32.dll запускает, имя не могу сказать - символов нет.
50Hz_220B_1200W Ранг: 16.9 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 28 мая 2009 17:11 · Поправил: 50Hz_220B_1200W · Личное сообщение · #9 отвечает за автозапуск (не только флеш, но и сд) служба HWDetection, Отключаешь службу, отключаешь авторан, вот и все Code: StopService('ShellHWDetection'); //***************************** Var SR, SCM : DWORD; SS : _Service_Status; Begin SCM := OpenSCManager (Nil, Nil, SC_Manager_All_Access); Try SR := OpenService(SCM, PChar (ServiceName), Service_All_Access); Try If Not ControlService (SR, Service_Control_Stop, SS) Then Exit; //RaiseLastWin32Error; Finally CloseServiceHandle (SR); End; Finally CloseServiceHandle (SCM); End**; но.. соотвественно не будет появляться меню автозапуска, когда то на этом форуме задавал вопрос, как отловить событие авторана, но никто не дал ответа
50Hz_220B_1200W Ранг: 16.9 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 28 мая 2009 17:23 · Поправил: 50Hz_220B_1200W · Личное сообщение · #10 Code: procedure StartServise(ServiceName: String); Var SS, SCM : DWord; PC : PChar; begin PC := Nil; SCM := OpenSCManager (Nil, Nil, SC_Manager_All_Access); Try SS := OpenService (SCM, PChar (ServiceName), Service_All_Access); Try Winsvc.StartService (SS, 0, PC); Finally CloseServiceHandle (SS); End; Finally CloseServiceHandle (SCM); End; end; сервис заработает снова после перезагрузки
ValdiS Ранг: 420.3 (мудрец) Активность: 0.24↘0 Статус: Участник	Создано: 28 мая 2009 17:37 · Личное сообщение · #11 NIKOLA пишет: в групповых политиках настраивается это Неплохая статья ----- Сколько ни наталкивали на мысль – все равно сумел увернуться
Rascal Ранг: 260.9 (наставник) Активность: 0.12↘0 Статус: Участник John Smith	Создано: 28 мая 2009 18:06 · Личное сообщение · #12 лол вы еще драйвер предложите, который хукает создание процесса, ищет в папке с ним autorun.inf. проверяет, не оттуда ли запущен процесс. как всех увлекает поиск нетривиального решения банально решенной проблеме ----- Недостаточно только получить знания:надо найти им приложение
GodFather Ранг: 62.5 (постоянный), 2thx Активность: 0.05↘0 Статус: Участник	Создано: 28 мая 2009 18:12 · Личное сообщение · #13 А реально ли сделать так, чтоб если GetDriveType возвращал DRIVE_REMOVABLE equ 2 то авторан не запускается. а если DRIVE_CDROM equ 5 то запускается ?
Rascal Ранг: 260.9 (наставник) Активность: 0.12↘0 Статус: Участник John Smith	Создано: 28 мая 2009 18:21 · Поправил: Rascal · Личное сообщение · #14 В приведенной ниже таблице указаны возможные значения параметра NoDriveTypeAutoRun. Свернуть эту таблицуРазвернуть эту таблицу Значение Описание 0x1 Отключение автоматического запуска для дисков неизвестного типа 0x4 Отключение автоматического запуска для съемных носителей 0x8 Отключение автоматического запуска для несъемных дисков 0x10 Отключение автоматического запуска для сетевых дисков 0x20 Отключение автоматического запуска для компакт-дисков 0x40 Отключение автоматического запуска для электронных дисков 0x80 Отключение автоматического запуска для дисков неизвестного типа 0xFF Отключение автоматического запуска для дисков всех типов http://support.microsoft.com/kb/967715/ - читать кто будет? 50Hz_220B_1200W чтобы управлять сервисами совсем не обязательно писать программу. в командной стркое напиши sc ----- Недостаточно только получить знания:надо найти им приложение
Ice-T Ранг: 126.7 (ветеран) Активность: 0.14↘0 Статус: Участник #CCh	Создано: 28 мая 2009 18:29 · Личное сообщение · #15 А просто службу отключить, че уже не рулит? =\ ----- invoke OpenFire
50Hz_220B_1200W Ранг: 16.9 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 28 мая 2009 18:29 · Личное сообщение · #16 (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\ NoDriveTypeAutoRun) на 0x95 (!HEX значение) 95 – для отключение автозагрузки с неизвестных, сетевых и съёмных(flash,floppy)
GodFather Ранг: 62.5 (постоянный), 2thx Активность: 0.05↘0 Статус: Участник	Создано: 28 мая 2009 18:29 · Личное сообщение · #17 Так если я подцеплю вирь, он изменит этот ключ реестра и будет всё по-старому.
50Hz_220B_1200W Ранг: 16.9 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 28 мая 2009 18:31 · Личное сообщение · #18 GodFather пишет: А реально ли сделать так, чтоб если GetDriveType возвращал DRIVE_REMOVABLE equ 2 то авторан не запускается. а если DRIVE_CDROM equ 5 то запускается ? автору надобно, чтоб с сд авторан был, а с флеш не было, поэтому отключение службы тут не катит
Rascal Ранг: 260.9 (наставник) Активность: 0.12↘0 Статус: Участник John Smith	Создано: 28 мая 2009 18:34 · Поправил: Rascal · Личное сообщение · #19 GodFather пишет: Так если я подцеплю вирь, он изменит этот ключ реестра и будет всё по-старому. ггг. если ты подцепишь норм вирь, то автозапуск будет наименьшей проблемой это раз. во вторых - смысл вирусу разрешать авторан? конкурентов пускать на машину? и почему вопрос в основном форуме? я то думал чо все расфлуделись... ----- Недостаточно только получить знания:надо найти им приложение
50Hz_220B_1200W Ранг: 16.9 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 28 мая 2009 18:36 · Личное сообщение · #20 так если вырубиш авторан, то виря уже не запустишь с флехи на комп, и соотвественно он не изменит ключ
GodFather Ранг: 62.5 (постоянный), 2thx Активность: 0.05↘0 Статус: Участник	Создано: 28 мая 2009 18:49 · Личное сообщение · #21 50Hz_220B_1200W Пути проникновения вирусов разные бывают.
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 28 мая 2009 19:53 · Личное сообщение · #22 GodFather > Пути проникновения вирусов разные бывают. Прав. Авторан по сравнению с зиродеями это пустяки, большинство зверей запускается именно с помощью сплоитов, так что имхо смысла отключать практически нет.
WiaRd Ранг: 17.6 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 28 мая 2009 20:40 · Личное сообщение · #23 Простенький батник для защиты флешек от записи на них autorun.inf Code: Echo off cls SET /P DRIVE="Enter drive letter to protect:" del %DRIVE%:\autorun.inf /F /Q cls mkdir %DRIVE%:\autorun.inf attrib %DRIVE%:\autorun.inf +S +R +H mkdir %DRIVE%:\autorun.inf\protect.. echo "Complete. Drive %DRIVE%:\ protected! ;)" pause
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 29 мая 2009 01:27 · Личное сообщение · #24 помнится девочка два раза кликнув по флешке вирус мне поселила и пришлось чистить реестр ручками от упоминания васиковского скрипта. уж не знаю, что за ветку я случайно удалил, но после этого у меня вообще в порводнике исчез пункт "автозапуск" и любые диски открывались двумя кликами без чтения авторанов и их запуска. может кто знает, что за веточку я снёс тогда случайно? ----- Do Not Get Mad Get Money! ;)
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 29 мая 2009 06:59 · Личное сообщение · #25 Talula, см мой батник
GodFather Ранг: 62.5 (постоянный), 2thx Активность: 0.05↘0 Статус: Участник	Создано: 29 мая 2009 08:17 · Личное сообщение · #26 Talula немного оффтопа, а я как-то раз взяв у девушки флэшку вставил в комп и запустил каспером проверку, так он нашел 8 разных вирусов.
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 29 мая 2009 09:00 · Личное сообщение · #27 Вы бы хоть резинки на флешки одевали. Или девочек к машинам не подпускали
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 30 мая 2009 02:30 · Личное сообщение · #28 Av0id, гляну =) GodFather, да, это понятно... у нас тут есть один ларёчек - копировальные работы делают... у них сразу штук 6 живёт - после их услуг у всех вирусы... пипец... Gideon Vi, дык, эти стервы так и наровят показать фоток, включить любимую песню... и только потом ты понимаешь, что они делают это на твоём ноуте, а не на служебном компе... ----- Do Not Get Mad Get Money! ;)
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 30 мая 2009 08:12 · Личное сообщение · #29 Перенесу топик ещё раз в оффтоп, где ему и место.
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 30 мая 2009 10:49 · Личное сообщение · #30 Заюзал я пандовскую вакцину, создался файлег AUTORUN.INF и никак не удалит, не открыть, не заменить его. Буду юзать данный метод. Раньше создавал каталог с именем такого файла и кидал туда текстовый документ, только для чтения. Само сабой всем ставил заплатку от микрософта исправяющую баг с кликом по флешке, когда авторун срабатывал даже если он выключен в реестре. ----- AutoIt