Защита флэшки от Autorun-вирусов.



         Доброго времени суток, уважаемый хабра–читатель. Я работаю в университете, в лаборатории вычислительной техники. Администрируем около сотни компьютеров. Перед нами встала проблема защиты от Autorun–вирусов на флэшках. Естественно у нас отключен автозапуск в Windows, однако нужно было защитить сами флэшки, чтобы работник дома, вставив рабочую флэшку, не заразил свой компьютер. Под катом решение проблемы.


    Прежде чем начать...


    Уважаемые пользователи, нижеописанные действия были произведены в ОС Microsoft Windows Xp, в других операционных системах процесс может отличаться от изложенного. Также хотелось бы сказать, что автор текста не несет ответственности за оборудование, испорченное в следствии выполнения нижеописанных действий.

    Подготовка.


    Для реализации задуманного нам понадобится отформатировать флэшку в NTFS, для этого есть несколько, известных мне способов. Для меня самым простым является использование Acronis Disk Director.

    После запуска Disk Director'а, вы увидите список дисков подключенных к вашей системе. В этом списке находим свою флэшку, жмем правой кнопкой мыши и выбираем «Удалить раздел», в новом окошке оставляем все как есть(Особой разницы там нет). Далее опять правый клик по нашему диску и выбираем «Создать раздел». В окне «Создать раздел» выбираем:
    • Файловая система: NTFS.
    • Создать как: Основной раздел.


    Окно 'Создать раздел'

    Теперь жмем на иконке «Флажка» и в появившемся окне нажимаем «Приступить». После сделанных изменений перезагрузите компьютер.

    Флэшку также можно отформатировать и более простым способом, указанным ув. maxshopen:

    Пуск → Выполнить → cmd →

    convert f: /FS:NTFS < — это если данные на флэшке нужны и их некуда сбэкапить

    или

    format f: /FS:NTFS < — если данные нафик


    Настройка.


    Итак, карточка готова к настройке, заходим на флэшку и в корневом каталоге создаем каталог, в котором будут хранится данные, я назвал его «DATA». Правый клик по новому каталогу и переходим на вкладку безопасность, затем нажимаем на кнопку «Дополнительно». Здесь снимаем галочку с пункта «Разрешить наследование разрешений от родительского объекта к этому...», в появившемся диалоге жмем «Копировать», затем жмем «Ок» в обоих окошках. Теперь зайдем в раздел «Безопасность» корневого каталога нашего носителя и настраиваем разрешения следующим образом:

    В столбце «Разрешить», оставляем отмеченными следующие пункты:
    • Чтение и выполнение
    • Список содержимого папки
    • Чтение


    В столбце «Запретить» ставим галочку напротив пункта «Запись», в появившемся диалоге жмем «Да».

    Настройка разрешений корневого каталога флэшки.

    Все, в итоге мы получаем флэшку, на которую не сможет записаться Autorun. За это мы жертвуем малую долю производительности, возможность записи в корневой каталог носителя и, естественно, невозможность использования меню «Отправить» для копирования данных на носитель.

    Возможные проблемы и их решение.


    1. После форматирования накопителя в NTFS, его не видно в системе.

      Правый клик на «Мой компьютер», выбираем «Управление», в появившемся окне заходим в «Управление дисками», там жмем на нашей флэшке правой кнопкой и выбираем «Изменить букву диска или путь к диску». Выбираем букву, жмем «Ок».


    К сожалению или счастью, больше мною проблем не было найдено, если вдруг найдете — пишите, попробуем решить.

    Отключаем автозапуск.


    Кроме XP Home Edition:
    пуск — выполнить — gpedit.msc — конфигурация компутера — административные шаблоны — Система — отключить автозапуск (выберите, где отключать). Далее примените новую политику командой gpupdate в консоли.

    В Home оснастка управления групповыми политиками отсутствует, однако тот же эффект может быть достигнут ручной правкой реестра:
    1) Пуск -> выполнить -> regedit
    2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
    3) Создать новый раздел
    4) Переименовать созданный раздел в Explorer
    5) В этом разделе создать ключ NoDriveTypeAutoRun

    Допустимые значения ключа:
    0x1 — отключить автозапуск на приводах неизвестных типов
    0x4 — отключить автозапуск сьемных устройств
    0x8 — отключить автозапуск НЕсьемных устройств
    0x10 — отключить автозапуск сетевых дисков
    0x20 — отключить автозапуск CD-приводов
    0x40 — отключить автозапуск RAM-дисков
    0x80 — отключить автозапуск на приводах неизвестных типов
    0xFF — отключить автозапуск вообще всех дисков.

    Значения могут комбинироваться суммированием их числовых значений.

    Значения по умолчанию:
    0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
    0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)
    Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

    Полезно полистать на сайте Майкрософт Resource Kit
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 278
    • 0
      Также хотелось бы сказать, что автор текста не несет ответственности за оборудование, испорченное в следствии выполнения нижеописанных действий.

      сразу представился какой то убийственный метод, однако идея оказалась намного проще.
      а какое оборудование и почему может умереть в ходе этих действий? форматирование флешки?
      • +20
        Вы знаете, по своему опыту могу сказать, что если не предупредить, всегда найдется такой человек, который либо случайно, либо специально что-нибудь сделает не так и начнет говорить, мол вот вы не правильно нас учили у меня сломалось то-то, то-то… В общем, на всякие пожарные :)
        • +8
          О да!

          Дай человеку шариковую ручку и научи его писать на бумаге, он обязательно попадет ей в свой глаз.
          Я уже приучил себя и в разговоре подчеркивать возможность плачевного исхода.
          • 0
            В точку ;)
            • +2
              Дададада, «не пытайтесь остановить пилу своими конечностями или гениталиями»!
        • +3
          А зачем перезагружать комп после форматирования флешки? о_О
          • +4
            Acronis просит, вообще, если не перезагрузить, то флэхе может не назначиться буква для диска, а это у многих паника и лишние телодвижения. Если вы опытный пользователь, то думаю сами можете понять, что в данной статье делать обязательно, а что нет. На самом деле, можно и без перезагрузки, нужно просто переподключить флэху… Иногда и этого ненужно. Почему-то всегда по-разному.
            • –10
              Почему, почему… Безумная болезнь разработчиков виндузов. Заставляют перегружаться после каждого чиха. Вы ещё не привыкли? :) В 90% случаев на этот идиотизм можно забить.
            • +3
              Хм, интересный способ. Очень часто использую флешку подключая к ращным компьютерам и практически всегда вечером антивирус находит какую-то заразу
              • +1
                Наверное, этот топик для Вас :)
                • +2
                  А когда-то давно на флешках были переключатели для режима read-only… :)
                  • 0
                    Есть у меня такая флешка, объем у нее 32Мб! Она меня практически каждый день выручает, ведь на ней постоянно есть свежий cureit и avz4. Жаль, что больше таких флешек не делают.
                    • +1
                      В приниципе, можно ещё использовать кард-ридер и SD карточку — на них есть ползунок «Lock».
                      • 0
                        самый прикол что на залоченую SDHC Kingston карточку через кардридет прекрасно пишется информация :(

                        … может ещё от кардридера зависит :)
                • +23
                  а ещё для удобства можно создать так же защищённый от записи autorun.inf, который будет открывать ту самую папку DATA.
                  • +2
                    Очень хорошая идея :) + вам, за сообразительность.
                    • +13
                      Лучше папку autorun.inf
                      • +1
                        Или файл autorun.inf и все разрешения для него выставить.
                        • +1
                          То есть, запреты. На запись.
                          • –1
                            а я, злобный вирус, запреты сниму и удалю
                            • 0
                              Ну я уже и не мечтаю о том, чтобы люди под рутом не сидели.
                              • +1
                                А у нас, кроме нашей лаборатории, все пользователи, с обрезанными правами…
                              • 0
                                Ты, злобный вирус, снимешь запреты с корня и autorun.inf таки создашь. Так что кажется, вполне замечательно просто создать пустой autorun.inf с запрещенной записью.
                                • 0
                                  Ну ладно, я его переименую в epic_fail и все дела.
                    • 0
                      А как поступить, если флешка выполняет роль BootCD?
                      • 0
                        В особенности BootUSB какого-нибудь дистрибутива ОС производства не-микрософт :)
                        • 0
                          я для подобного делал на флешке 2 раздела, 2-й все равно виндой не виден, а линукс (другого грузить не было необходимости) спокойно стартует и со 2-го раздела флешки :)
                        • +36
                          Последние две недели изучал этот вопрос. К сожалению, способ описанный вами мне не подходит.

                          Дано: 2к компов, около 100 человек которые постоянно флешками разносят вирусы. Авторан отключен (есть способ запуска и с отключенным автораном :( ).

                          Самый главный минус вашего способа — ntfs. Такая флешка должна быть извлечена ТОЛЬКО через безопасное извлечение. В случае же FAT32 можно определить политикой — будет ли кеширование или не будет (говоря проще — можно ли выдергивать флешку без безопасного отключения). Мне подходит только этот способ.

                          Следовательно, нужно сделать так, что бы вирусы на флешке не запускались автоматически, следовательно, не было возможности создать autorun.inf. (Задача именно в защите флешек, ибо не на всех компах есть возможность менять настройки.)

                          Многие советуют создать папку AUTORUN.INF, дать ей атрибуты скрытой, системной, только чтение… Бред полный. Такая папка удаляется некоторыми вирусами без вопросов. (Встречал, конечно, и тех, кто папку удалить не мог.)

                          Решение для себя я нашел довольно удобное. Создаем bat и запускаем с флешки:

                          attrib -s -h -r autorun.*
                          del autorun.*
                          mkdir %~d0\AUTORUN.INF
                          mkdir "\\?\%~d0\AUTORUN.INF\.."
                          attrib +s +h %~d0\AUTORUN.INF


                          Тем самым мы удаляем все автораны с флешки и создаем папочку :) Попробуйте удалить эту папочку :)

                          Минус этого способа только один, опять же, для меня — тело вируса копируется на флешку, но уже ни прикаких настройках системы не сможет запуститься сам.

                          В любом случае, нужно вибирать способ по потребностям — кому-то подойдет первый способ, кому-то мой.

                          • +1
                            А почему флешка с ntfs должна быть извлечена ТОЛЬКО через безопасное извлечение?
                              • +2
                                Ну так выставите соответствующую галочку во вкладке Политика. После конвертирования галочку верните на место, и тогда NTFS будет работать так же как и FAT — ничего не кешировать.
                              • 0
                                потому что при записи на съемный ntfs раздел, данные некоторое время будут лежать в кеше. Так что если вытащить флешку не отмонтировав(это везопасное извлечение в винде), то очень много шансов получить битые фаилы
                                • 0
                                  Я уже 2 года пользуюсь внешним жестким диском, 80 Гб, один NTFS-раздел. Извлекаю как придется (стараюсь, конечно, по-хорошему :) ). Единственная замеченная проблема — Linux на некорректно отцепленный NTFS-диск ругается и работать с ним не хочет. Ф так всё ОК.
                                  • +1
                                    Вы везунчик!
                                    • +1
                                      Это не удача. Это механизм файловых транзакций. :)
                                    • +1
                                      При монтировании руками ntfs-3g объясняет своё нежелание работать, и даёт совет — если нельзя, но очень хочется, то "-o force" решает проблему.
                                    • +2
                                      А про «битые файлы» — имхо, вообще некорректное предположение. Теоретически, каких-то файлов можно недосчитаться (если файл из кеша не был перенесен на диск), но всё, что останется — будет целостным, таковы особенности NTFS (в отличие от FAT, кстати).
                                  • 0
                                    после прочтения вашего поста прозрел до мысли.., а может создав такую папку можно в неё чего запихнуть… типа файлика который невозможно будет удалить? непомню как это сделать, но как то с линксом связано помему или с багом FAT'a… Может ту найдутся доки кто подскажет реализацию? =)
                                    • +1
                                      именно это и делает bat, который я привел комментарием выше.
                                      • +2
                                        Есть еще такая утилитка: Flash Desinsector.
                                        При запуске создает на всех дисках защищенную папку autorun.inf с файлом, который нельзя просто так удалить.
                                    • +3
                                      Кроме autorun.inf неплохо бы еще блокировать desktop.ini — через него тоже можно запускать незаметно всякую дрянь.
                                      • –1
                                        Блокировать надо не файлы и каталоги, я учетную запись админа. Процентов 90 проблемм с заразой именно из-за неоправданно высоких привилегий в системе.
                                        • +5
                                          Вы никак не поймете.
                                          Ну запретил я дома админа. Антивирус поставил. И вообще открываю флешку только под виртуальной машиной с линухом, для безопасности надев ОЗК и держа флешку дистанционно управляемым манипулятором.
                                          А теперь я с этой флешкой пошел скажем к заказчику и попросил его скинуть мне важные документы. А у него компьютер заражен и хлоп! мне на флешку влез вирус.
                                          А потом я пошел к приятелю и взял у него допустим пару мп3-шек. Воткнул флешку и хлоп! вирус уже на компьютере друга.
                                          И только потом я пришел домой и провел дезактивацию.
                                          Я не могу и не буду влезать в компьютеры заказчика и приятеля и блокировать им учетку админа. Но я могу защитить свою флешку.
                                          • –11
                                            То есть вы предлагаете создавать проблемы себе, чтобы не создавать их остальным? Отдайте тогда все свои деньги сиротам, больным и прочим — вы решите их проблемы, создав проблемы себе.
                                            • +1
                                              а вы предлагаете распространять вирусы и дальше? возьмите дробовик, эффективней будет.
                                              • –4
                                                Я предложил радикальный и более эффективный метод. А вот вы, совершая на него нападки, предлагаете из распространять дальше, причем не только авторанеры тупые.
                                                • +2
                                                  Вы невнимательный троль. Ваш метод защищает компьютер от зараженных флешек, предложенный метод защищает флешку от зараженных компьютеров. Они не отменяют, а дополняют друг друга, но вы утверждаете обратное.
                                                  • –5
                                                    О да! Я тупой тролль!
                                                    А расскажите-ка мне, в чем опасность авторанера на флэшке? А если через свитч идет пакет с вирусом — свич тоже заражен? По вашей логике — да, потому что флэшка является средой передачи, также как и сеть.

                                                    И расскажите еще о дополненительных к органичению прав мерах, я тут послушаю.
                                                    • 0
                                                      В свитче нет концентратора вирусов и прочего хламья!
                                                      • –1
                                                        И что? Вирус в нем в данный момент есть, значит он — заражен? Если бы авторанер с флэшки удалялся после заражения компа, то когда он на ней — она бы была все-таки заражена или нет?
                                                  • +5
                                                    Ребят, не надо ругаться и оскорблять друг друга. Любой спор не должен переходить границ…
                                                    • +1
                                                      Извени, я хотел плюс поставить, но промохнулся… пошёл карму плюсовать(как бы не промохнуться)
                                                      • 0
                                                        да ладно, я по этому поводу не переживаю, главное чтоб хватило писать посты и нормально комментировать.

                                                        Спасибо ;)
                                        • +1
                                          Как-то боязно пробовать запускать такой скрипт, не зная полностью механизма) И иметь у себя папку, которую нельзя удалить ;)
                                          Можете ткнуть в описание происходящих здесь процессов?
                                          • 0
                                            Да хотелось бы подробнее, я попытался разобраться но чёт туго)
                                            • 0
                                              1. Ткнуть в описание происходящих здесь процессов (bat файл)
                                              2. Обновить статью с указанием способа для FAT32
                                              3. Про REGEDIT тоже неплохо добавить
                                              • +1
                                                удаление каталогов происходит рекурсивно, т.е. чтобы удалить каталог autorun.inf нужно сначала подчистить его содержимое. Этот скрипт создаёт внутри каталог с неподдерживаемым системой именем (есть такая бага в интерпретаторе). В итоге очистить каталог autorun.inf не получается, а значит и заменить вирусным файлом не получится.
                                                • +3
                                                  Зато директорию можно переименовать вместе со всем содержимым. Иными словами, не можем удалить autorun.inf — переименуем в ~random~ и всё.
                                                  • 0
                                                    Отличная идея! — Пошёл писать вирус! :D
                                                  • 0
                                                    Удаление такого каталога вообще получается невозможным? Такой же батник не сможет его удалить?
                                                    • 0
                                                      Можно написать аналогичные батник, но есть решение проще — все эти «неправильные» каталоги и файлы элементарно доступны по короткому имени.
                                                      Этот способ защиты помогает, пока autorun-вирусы пишут чайники. Программист более-менее ориентирующийся в WinAPI легко обходит всю эту «защиту».
                                                • 0
                                                  Нельзя ли объяснить — а в чем прикол? То есть почему так работает?
                                                  • +2
                                                    с вашим ником и не знать :)?
                                                  • +1
                                                    Сначала идея понравилась, но потом нашёл, что удалить можно аналогичным способом:
                                                    rd /q "\\?\%~d0\AUTORUN.INF\.."
                                                    rd /q "\\?\%~d0\AUTORUN.INF"

                                                    То же самое с com1 вместо ".."
                                                    Получается, если вирус удаляет рекурсивно и с использованием "\\?\", то у него всё получится :(
                                                    • 0
                                                      Да, можно, но откуда он будет знать что надо именно так, а не иначе?
                                                      • 0
                                                        if (пробуем_удалить_файл){ функция_записи своего авторана
                                                        }
                                                        else{
                                                        пробуем_удалить_файл_подругому
                                                        }

                                                        наверное как-то так
                                                        • 0
                                                          не спорю, так можно до бесконечности. Как сказали выше — гонка вооружений, где вирусописатели всё равно будут на шаг впереди.

                                                          Наша задача — довести потери до минимума, найти некий компромисс во всем этом.
                                                        • +1
                                                          Не удивлюсь, если это как раз и есть обычный способ. Рекурсивное удаление — и так обычная вещь, а тут ещё вот:
                                                          In the ANSI version of this function, the name is limited to MAX_PATH characters. To extend this limit to 32,767 wide characters, call the Unicode version of the function and prepend "\\?\" to the path.
                                                          Что стимулирует использование \\?\… Хотя учитывая, что сам explorer не может удалить папку — может и не шибко распространено это.
                                                          • 0
                                                            он прочитает хабр!
                                                        • 0
                                                          Только вот переименовать то папочку можно…
                                                          • +1
                                                            можно, об этом уже писали.
                                                          • –2
                                                            а чем такой вариант плох?

                                                            folder.GIF - image uploaded to Picamatic
                                                            • +2
                                                              на fat32 сможете такое же сделать?
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                              • 0
                                                                а это… для дураков… что это батник делает? его один раз надо запускать или как?
                                                                • 0
                                                                  Хм) А как удалить, созданную таким образом папку?
                                                                • –8
                                                                  А о встроенном в систему средстве под названием «запрет автозапуска» мужики-то и не знают…
                                                                  • +1
                                                                    идея, как я понял, не в том, чтобы вирусы не запускались, а в том, чтобы не попали на флешку.
                                                                    • 0
                                                                      Попадут они только с зараженной машины. Которой не будет при запрете автозапуска.
                                                                      • 0
                                                                        А если на этом компьютере заражение произошло до отключения автозапуска?
                                                                        • –1
                                                                          А какой смысл тогда защищать флэшку, если комп так и останется заражен? :-)
                                                                          • 0
                                                                            Прочитайте еще раз топик. Речь идет не о вашем домашнем компе, а о ста компах :) Вылечить все одновременно не останавливая работу невозможно, а исключив перенос, мы остановим распространение.
                                                                            • –3
                                                                              И все с таким упорством начали защищать борьбу со следствием, а не с причиной! Если человек балбес и сидит под админом без особой на то надобности — никакие меры по защите флэшки его не спасут. Устраивать проблемы из-за чужой некомпетентности — я считаю глупо.
                                                                              • +2
                                                                                Действительно, зачем все это? Давайте ПРОСТО проведем курсы компьютерной грамотности для ВСЕХ!
                                                                                • 0
                                                                                  Дело хорошее :-) Да толку будет немного.
                                                                                  • 0
                                                                                    Вот видите, вы и сами, наконец-то, допёрли до этой простой мысли. А стоило ли столько троллить, прежде, чем просто подумать? :)
                                                                                    • –3
                                                                                      Я советовал повсеместно насаждать компьютерную грамотность? Не было такого.
                                                                                      • 0
                                                                                        Мне одному кажется, что у вас проблемы со вниманием? :)
                                                                                        Простая мысль, до которой вы с трудом допёрли, состоит в следующем, — «Да толку будет немного».
                                                                                    • 0
                                                                                      Именно. А вот сделать флешку, на которой нельзя (легко) разместить вирус с автозапуском — дёшево и просто. В общем, это не идеальный подход, и совершенно не панацея, но зато он реально действует и он очень дёшев. А следовательно, весьма выгоден и полезен.
                                                                                      • 0
                                                                                        Проблемы, которые при предложенном способе получаем уже описаны. И повторюсь — нет смысла особого в защите, фактически, среды передачи. Защищать надо уязвимые системы.
                                                                                        • 0
                                                                                          Скажите, ваша компания продаёт антивирус для сканирования e-mail, проходящего через сервер?
                                                                                          • 0
                                                                                            Да, почтовый траффик сам по себе не представляет опасности, пока вложение не запустят. Но если бы ни один исполняемый файл, пришедший по почте, не мог бы быть запущен — нужна была бы проверка траффика? Думаю что не очень.
                                                                                            • 0
                                                                                              (Почему бы не ответить прямо — да, мол, продаём...)

                                                                                              Да, проверялка трафика была бы не нужна.

                                                                                              Второй вопрос: чем принципиально отличается среда передачи «MIME» от среды передачи «FAT32»? То же иерархическое строение, атрибуты и т. д.
                                                                                              • 0
                                                                                                Потому что я понимаю к чему вы это :-)

                                                                                                Да, и через флэш и через почту и даже через HTTP и FTP-траффик может передаваться зараза. Но смысла проверять носители нет, если эта зараза не предствляет угрозы. А пока угроза есть — есть и антивирусы. Только антивирусы, насколько мне известно, не вносят таких изменений в среду передачи, чтобы в ней в принципе нельзя было передать заразу. Защищаются системы, которые нуждаются в защите.
                                                                                    • +5
                                                                                      Права на работу с компьютером выдавать белым мужчинам, возрастом от 21 года и при наличии справок от православного священника и из КВД
                                                                          • 0
                                                                            ну вы же не можете контролировать все машини в которые вставляете флешки. или я вас не понял? :)
                                                                            • –1
                                                                              А зачем? Если я одмин в конторе — я запрещу автозапуск везде. А если это моя флэшка и моя машина — так и черт с ними, с остальными. IE и Outlook я же не буду им сносить, так и создавать себе неудобства (в виде NTFS в частности) я себе не буду.
                                                                              • +1
                                                                                а если вы пришли к другу, а у него вирус?
                                                                                • +2
                                                                                  Дело не в том, чтобы защитить только свою контору, а дальше — «Моя хата с краю, ничего не знаю», а в том чтобы пользователи не принесли вирус домой или в другую контору, в конце концов нужно беспокоится не только о себе, будьте дальновиднее и, наверное, добрее.
                                                                                  • +3
                                                                                    Ну вот побеспокойтесь о друзьях — отрубите им автозапуск, снесите к черту IE и Outlook, переведите под учетную запись с ограниченными правами :-)

                                                                                    Зачем мне создавать себе неудобства из-за чужой лени и некомпетентности? Я не только венду использую, и NTFS для меня — сплошное неудобство. А уж какая развлекуха может начаться с правами доступа в этой NTFS — это ж сказка просто!
                                                                                    • +1
                                                                                      Представьте: университет — студенты, работники… Примерно 1,5 — 2 тысячи человек, мне к каждому прийти и делать это? Мне проще вырубить автораны в институте, рботникам флэшки настроить и все…
                                                                                      • +3
                                                                                        ActiveDirectory и всякие там групповые политики уже отменили? Венду же как-то на 2 тысячи машин поставили — так почему сразу после установки ее не защитить было?
                                                                                        • 0
                                                                                          это все стоит, я не говорю что проблема с заразой стоит в самой конторе. Проблема в том, чтобы работники не приходили и не пытались обвинить нас в том что у них дома на компьютере вирус… сейчас в коментах нашел интересное решение. Когда реализую — отпишу…
                                                                                          • +1
                                                                                            Студенты держат компы в общагах. И AD им не сдался.
                                                                                            • 0
                                                                                              Ну такова их карма. Или вы предлагаете под подпись брать у них флэшки и таким образом «защищать»? А главное — зачем? :-D
                                                                                              • +1
                                                                                                Ну, к нам часто приходят и просят сделать что-нибудь с флэшкой, чтобы вирусы не мучали… Прикол про предохранятся все понимают не так… :D
                                                                          • –9
                                                                            А в реестре авторан отключить религия не позволяет?
                                                                            • +1
                                                                              Можно просто созда этот авторан и запретить его изменение))))) И батником чичтить флешку когда надо)) И без жертв)
                                                                              • 0
                                                                                не получится, есть вирусы которые даже ридонли файлы удаляет.
                                                                              • 0
                                                                                я же писал о том, что это есть. Но я же не могу, телепатически это сделать у работника дома.
                                                                                • +11
                                                                                  Для реализации задуманного нам понадобится отформатировать флэшку в NTFS, для этого есть несколько, известных мне способов. Для меня самым простым является использование Acronis Disk Director.

                                                                                  Ну я конечно не знаю, почему установка дополнительного софта для вас проще (к тому же платного), но по-моему нет проще способа, чем этот:

                                                                                  Пуск → Выполнить → cmd →

                                                                                  convert f: /FS:NTFS < — это если данные на флэшке нужны и их некуда сбэкапить

                                                                                  или

                                                                                  format f: /FS:NTFS < — если данные нафик
                                                                                  • 0
                                                                                    проще, потому что он у меня уже стоял
                                                                                    • +1
                                                                                      Думаете он стоит у всех читателей вашей заметки? Я например даже и не подумаю ставить его (и тем паче покупать), для того, чтобы отформатировать флэшку.

                                                                                      Тогда хотя бы приведите альтернативный способ в статье
                                                                                    • +1
                                                                                      На удивление, конверт сработал, а формат — нет.
                                                                                      Скриншот
                                                                                      • 0
                                                                                        Я добавил ваш способ в статью.
                                                                                      • 0
                                                                                        э, проще, создаем папку autorun.inf ставим атрибуты скрытый, системный, только чтение и всё, под виндой файл уже с таким именем не создать! \m/
                                                                                        • +1
                                                                                          как писалось выше, вирус без проблем её удалит.
                                                                                          • 0
                                                                                            новые уже да… в принципе тогда надо подумать над создание autorun.inf файла самому, запуском его постоянно и скриптиком который бы открывал этот же файл на чтение и держал всё время его открытым :)
                                                                                            • +1
                                                                                              Гы, а отмонтировать флэшку штантным способом можно будет после этого? :-)
                                                                                              • 0
                                                                                                я выше дал cmd который делает это несколько более удобным способом :)
                                                                                                • 0
                                                                                                  проверял твой батник, правда на ntfs.
                                                                                                  удаляется без проблем

                                                                                                  гораздо лучше использовать:
                                                                                                  mkdir "\\?\%~d0\AUTORUN.INF\COM1"
                                                                                                  • 0
                                                                                                    чем лучше?
                                                                                                    • 0
                                                                                                      ну после твоего батника:
                                                                                                      attrib -s -h -r autorun.*
                                                                                                      del autorun.*
                                                                                                      mkdir %~d0\AUTORUN.INF
                                                                                                      mkdir "\\?\%~d0\AUTORUN.INF\.."
                                                                                                      attrib +s +h %~d0\AUTORUN.INF

                                                                                                      всего лишь создалась папка AUTORUN.INF, которая без проблем удалялась, возможно потому что была вот такая ошибка:

                                                                                                      mkdir "\\?\D:\AUTORUN.INF\.."
                                                                                                      The filename, directory name, or volume label syntax is incorrect.

                                                                                                      по этому я и сказал, что проверял на NTFS, возможно на FAT32 ведет себя по другому
                                                                                                      • +3
                                                                                                        и кстати вирусу никто не мешает просто переименовать папку autorun.inf, и создать нужный себе файл.
                                                                                                        правда такого не видел еще :)

                                                                                                        вообще на fat32 сложно сделать защиту, ntfs всяко понадежнее будет

                                                                                                        • 0
                                                                                                          переименовать да, можно. С com1 или lpt3 так же легко переименовывается.
                                                                                                          • 0
                                                                                                            в том то и дело, что на нтфс все легко и просто. Но под наши задачи нтфс не подходит :(
                                                                                                          • 0
                                                                                                            возможно, вы под вистой запускаете.

                                                                                                            • 0
                                                                                                              Microsoft Windows
                                                                                                              Version 5.1 (Build 2600.xpsp_sp3_gdr.080814-1236: Service Pack 3)

                                                                                                              Может перепроверите батник-то? а то на соседней машине с SP2 та же история… не помогает
                                                                                                              • 0
                                                                                                                Под fat не удаляется, а вы всё время под ntfs поди проверяете.
                                                                                                                А если com1 назвать, то и под ntfs не удаляется?
                                                                                                                • +1
                                                                                                                  ну вот значит моя догадка верна, я ведь с самого начала написал, что проверял на ntfs.

                                                                                                                  на ntfs, если внутри создать com1, то не удаляется, так что наверно это более универсальное решение.

                                                                                                                  rd /s /q %~d0\recycled
                                                                                                                  rd /s /q %~d0\recycler
                                                                                                                  echo antivirus>%~d0\recycled
                                                                                                                  echo antivirus>%~d0\recycler

                                                                                                                  echo Y | cacls "%~d0\System Volume Information" /T /grant administrators:F
                                                                                                                  echo Y | cacls "%~d0\System Volume Information" /T /grant администраторы:F
                                                                                                                  rd /s /q "%~d0\System Volume Information"
                                                                                                                  echo antivirus>"%~d0\System Volume Information"

                                                                                                                  del /f /q %~d0\autorun.*
                                                                                                                  mkdir "\\?\%~d0\autorun.inf\com1"
                                                                                                                  attrib +s +h %~d0\autorun.inf

                                                                                                                  del /f /q %~d0\desktop.ini
                                                                                                                  mkdir "\\?\%~d0\desktop.ini\com1"
                                                                                                                  attrib +s +h %~d0\desktop.ini
                                                                                                                  • +1
                                                                                                                    да, мне не нравится папка восстановления системы на переносном винте :)
                                                                                                                    • +1
                                                                                                                      она никому не должна нравиться!
                                                                                                                    • 0
                                                                                                                      переименовывается?

                                                                                                                      Но опять же, решение под нтфс.
                                                                                                                      • 0
                                                                                                                        да, autorun.inf можно переименовать во что угодно.
                                                                                                                  • +1
                                                                                                                    попробовал только что на sp2 и sp3 — работает отлично.

                                                                                                  • 0
                                                                                                    А если пользователь под админом сидит, разве вирус все разрешения при необходимости вернуть не сможет?
                                                                                                    • +4
                                                                                                      Сможет. И даже сможет конвертировать флешку обратно в FAT32. Если вы лечите следствие, а не причину, то вы просто порождаете «гонку вооружений» — и всё.

                                                                                                      У меня в качестве флешки используется PSP (если у меня в кармане пара гиг свободных уже есть — зачем мне ещё одно устройство?), её тоже в NTFS форматировать предложите?
                                                                                                    • +9
                                                                                                      > Для реализации задуманного нам понадобится отформатировать флэшку в NTFS
                                                                                                      Дальше читать не стал :(
                                                                                                      Такую флешку не смогут увидеть ни ps3, ни магнитола в машине, да ни один некомпьтерный девайс с usb-входом её не увидит.
                                                                                                      • +2
                                                                                                        Ну, тогда стоит почитать комментарии, здесь описали несколько способов альтернативного решения.
                                                                                                      • 0
                                                                                                        Еще можно отформатировать с помощью бесплатной программы HP USB Disk Storage Format Tool
                                                                                                        • +5
                                                                                                          пожалуй лучше всего просто убрать ассоциации с файла autorun.inf… дабы он не запусался…
                                                                                                          реализуется путём правки реестра

                                                                                                          REGEDIT4
                                                                                                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
                                                                                                          @="@SYS :DoesNotExist"

                                                                                                          хотя это конечно смотря как подходить к решению проблемы… это скорее защита компьютера от флешки… чем защита флешки от компьютера и его вирусов
                                                                                                          • 0
                                                                                                            Это — единственный способ защитить компьютер от авторан вирусов.
                                                                                                            • +3
                                                                                                              Похоже что от autorun.inf проблем больше чем пользы, надо давить на MS чтобы убрали эту гадость вообще.
                                                                                                              Хотя может в висте уже так и сделали???
                                                                                                              • 0
                                                                                                                Вряд ли они это сделают. Проблема старая, сервиспаки выходили, а так и не исправлено :-(
                                                                                                                • +3
                                                                                                                  Виста в самом деле спрашивает, запустить эту гадость или сделать обзор папок. За это Майкрософту+1.
                                                                                                                  • +4
                                                                                                                    доо, только вот пользователи тупо тыкают «запустить».

                                                                                                                    +1 мокросовту будет только после того, как потребуются усилия, чтобы ВКЛЮЧИТЬ ВОЗМОЖНОСТЬ автозапуска. Т.е. «ты знаешь, что это и умеешь включить» — пользуйся, иначе — нет у тебя никакого автозапуска.

                                                                                                                    А с 95 года и по сей день мокросовту за идею авторана — -1.
                                                                                                                • 0
                                                                                                                  Извините, но не понял как всё таки сделать с этим аргументом
                                                                                                                  @="@SYS :DoesNotExist?
                                                                                                                  • 0
                                                                                                                    создать файлик .reg со следующим содержанием

                                                                                                                    Windows Registry Editor Version 5.00

                                                                                                                    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
                                                                                                                    «NoDriveTypeAutoRun»=dword:000000ff
                                                                                                                    «NoDriveAutoRun»=dword:000000ff
                                                                                                                    «NoFolderOptions»=dword:00000000

                                                                                                                    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
                                                                                                                    @="@SYS:DoesNotExist"

                                                                                                                    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

                                                                                                                    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
                                                                                                                    "*.*"=""

                                                                                                                    Собственно снимется ассоциация на файлы reg… и отключится автозапуск
                                                                                                                    посмотрите на virusinfo.info/showthread.php?t=17442 там много интересного