17.06.2010, 23:49 | #1 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
Поиск уязвимостей в KIS2010
Делал этот поиск ещё 2 с лишним месяца назад. Было выявлено, что разрешён автозапуск со съёмных дисков, со всех остальных и с CD-ROM. Хотя я уверен на все сто, что у меня он отключен через XPTweaker с cd-rom - параметр в реестре специальный есть и через групповые политики со всех носителеи, кроме cd. Почему каспер тогда это выдаёт и вроде бы конкретно для флэшек или других носителей запретить нельзя (можно только для cd). Тогда какие ключи в реестре он собрался менять? Ну и есс-но выдал ещё уязвимые программы. Инета нету где-то недели две. Решил запустить сегодня поиск. Выдал нарушение ассоциации рег-файлов! Что это значит,с чего это вдруг и безопасно ли исправлять? То же самое выдал АВЗ. Затем, обнаружил все те же проблемы с автозапусками. Я по дури нажал исправить для съёмных. Теперь не знаю, правильно будет работать или нет. А у меня ведь ещё внешний винчестер со всей инфой.. Мало ли что.. Ещё обнаружил, что отключена windows update. Хотя она поставлена на 'уведомлять, но не загружать автоматически'. Странно это всё... Что посоветуете?
---------- Добавлено в 22:49 ---------- Предыдущее сообщение было написано в 22:44 ---------- В самом себе ещё необязательную для исправления уязвимость нашёл. |
18.06.2010, 00:05 | #3 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
А что делать с нарушением ассоциации рег-файлов? З.ы. Сейчас прочитал в груп. политике отключения автозапуска, что нельзя её применять для устройств, у которых он уже отключен. А в каспере отмены нету. И что делать теперь?
---------- Добавлено в 22:56 ---------- Предыдущее сообщение было написано в 22:53 ---------- И может объясните как это отключение автозапуска каспер может делать для каждого типа носителя? То же самое АВЗ? ---------- Добавлено в 22:58 ---------- Предыдущее сообщение было написано в 22:56 ---------- Заняться как раз есть чем. Но факт наличия неполадок на компе не даёт мне переключиться. ---------- Добавлено в 23:02 ---------- Предыдущее сообщение было написано в 22:58 ---------- Ещё позавчера когда инсталил k-lite codec mega pack 6.0.0, было выдано, что 'failed to register.. Dxva..(и что-то там дальше)'. Теперь и кодеки криво будут показывать по ходу дела.. ---------- Добавлено в 23:05 ---------- Предыдущее сообщение было написано в 23:02 ---------- Подскажите,что можно сделать,если не трудно.. |
18.06.2010, 00:38 | #4 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Сделайте лог (скрипт 3) в AVZ и выложите сюда. Просто так ассоциация ненарушается. Отсюда и эта надпись:Далее насчет автозапуска.
Это конечно лично мое мнение. Но мне кажется что его следует всетаки отключить. Покрайней мере со съемных носителей. Т.к. это может быть небезопастно для системы. Т.е. к примеру если флешка заражена вирусом, и в системе включен автозапуск со съемных носителей, то для заражения системы достаточно просто вставить флешку в комп и даже ничего с неё незапуская. |
18.06.2010, 01:35 | #5 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
Это-то я знаю само собой! Но в системе нет ключа, отвечающего за автозапуск съёмных носителей. И я его ещё давно отлючил со всех съёмных носителей, кроме сд-дисковода (его через твикер) через груповые политики! Нарушение ассоциации рег-файлов исправил в АВЗ,посмотрим,что будет. Логи выложить не могу - нет основного инета. В журнале событий ПОСТОЯННО вот это уведомление в разделе приложение: источник HHCTRL: не найдено описание для события с кодом ( 1904 ) в источнике ( HHCTRL ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удалённого компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания. ... В записи содержится следующая информация: about:blank. Думаю это связано с периодическим появлением странного файлика ezsidmv.dat , когда я подключен к инету. За последние пол-месяца не появлялся, т.к. инета нет.
|
18.06.2010, 01:45 | #7 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
И теперь видать когда в каспере нажал исправить для запуска со съёмных дисков, в журнале от этой службы появилось сообщение: RSM остановлен.. Что это значит?
---------- Добавлено в 00:45 ---------- Предыдущее сообщение было написано в 00:42 ---------- С телефона. |
18.06.2010, 01:55 | #9 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
Вот почему при установке тех кодеков та ошибка была - это я понял, в них баг такой. Исправлено в версии 6.0.4 - придётся опять переустанавливать. А вот на остальные вопросы, которые логов не требуют (например про автозапуск) вы мне так и не ответили.
|
18.06.2010, 02:11 | #11 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Его и недолжно быть. В реестре есть параметр NoDriveTypeAutoRun вот он и отвечает за отключение автозапуска. (Ему присваивается соответсвующий носитель.) Соответсвенно если его нет, то автозапуск везде разрешен. Лично я у себя ему присвоил значение 0xFF. Соответсвенно автозапуск у меня везде запрещен.
Допустимые значения ключа: 0x1 - отключение автозапуска на приводах неизвестных типов 0x4 - отключение автозапуска съемных устройств 0x8 - отключение автозапуска НЕсъемных устройств 0x10 - отключение автозапуска сетевых дисков 0x20 - отключение автозапуска CD-приводов 0x40 - отключение автозапуска RAM-дисков 0xFF - отключение автозапуска вообще всех дисков. Это вирус кстати. |
18.06.2010, 03:54 | #12 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
Нашёл все ключи с таким названием через Reg Organiser и ни у одного из них дата изменения не сегодняшняя. Следовательно, Каспер меняет что-то ещё в системе при нажатии кнопки 'исправить' для каждого типа носителей. Как я уже сказал,я нажал исправить только для съёмных дисков,остальные пункты в каспере не убрались,зато АВЗ теперь при проверке не выводит: 'Внимание! Включён автозапуск с сетевых дисков',
'Внимание! Включён автозапуск с жёстких дисков', 'Внимание! Включён автозапуск со съёмных носителей'. Хотя,как я уже говорил, у меня это всё было давным-давно отключено через гр. политики,а он всё равно выдавал на пару с каспером. А теперь каким образом они все разом 'выключились',хотя в каспере по прежнему висят ещё три? А про CD - это отдельный разговор. Я его ещё год назад,как я уже говорил,отключил отдельно через ХРтвикер (там ещё вот это было - '*' требуется перезагрузка),независимо от других носителей. Получается, за это отвечает отдельный ключ, а не nodrivetypeautorun. Или поскольку таких nodrivetypeautorun я нашёл много (в основном в них 0хff вроде было, ток ещё с кучей нулей),то и получается что каждый отвечает за что-то своё?? Или как вообще? Непонятно ни черта. Давно ещё с этим хотел разобраться. ---------- Добавлено в 02:39 ---------- Предыдущее сообщение было написано в 02:32 ---------- Но теперь ещё после всех этих махинаций в system32 появилась папка NtmsData,дата изменения сегодняшняя, и в ней 4 файла, один из них 'bak'. Гуглил и ничего толком не нагуглил. Понял только то,что ничё хорошего и что это связано с событием в журнале: 'служба съёмных носителей': RMS остановлен. ---------- Добавлено в 02:54 ---------- Предыдущее сообщение было написано в 02:39 ---------- А ezsidmv.dat непонятно почему появляется. Ведь 100% вредоносных файлов на компе нет - сканил как следует,по правилам! Он начинает появляться, когда подрубаюсь к инету. А всё началось с того, что бесполезный нод всякой дряни напропускал! Ну я с тех пор уже вычистился как надо а файлик этот всё равно появляется. Это как мне кажется связано с событием в журнале,о котором я писал на неск. постов выше. Хакер какой-нить скорее всего.. Но это всё только догадки.. Как реально узнать, я не знаю. Давно ещё пытался выяснить. Ну фиг с ним короче. Скажите плз,что знаете по двум предыдущим сообщениям. |
18.06.2010, 04:01 | #13 (ссылка) |
Знаток
|
Вот ключ реестра который отвечает за автозапуск!!!
Код:
'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun' 'NoDriveTyp eAutoRun' - строка, которой нужно присвоить значение!!! Допустимые значения ключа: 0x1(1) - отключить автозапуск на приводах неизвестных типов 0x4(4) - отключить автозапуск сьемных устройств 0x8(8) - отключить автозапуск НЕсьемных устройств 0x10(16) - отключить автозапуск сетевых дисков 0x20(32) - отключить автозапуск CD-приводов 0x40(64) - отключить автозапуск RAM-дисков 0x80(128) - отключить автозапуск на приводах неизвестных типов 0xFF(255) - отключить автозапуск вообще всех дисков. и не забывайте что эти значения можно комбинировать, суммируя их числовые значения ... допустим так: dword:00000091 - подействует в Windows XP (но может и в 2000 и 2003) (отключение автозапуска сетевых и неизвестных дисков) (01+10+80=91). dword:00000095 - подействует в Windows 2000 и 2003 (но может и в XP) (отключение автозапуска съемных, сетевых и неизвестных дисков) (01+04+10+80=95); Ну а так например мы отключим весь автозапуск, кроме CD приводов: 128+64+16+8+4+1=221 ---------- Добавлено в 23:01 ---------- Предыдущее сообщение было написано в 22:58 ---------- PS. А вообще подозреваю, что у вас на компьютере вирусы что то покорежили! Без лога AVZ тяжело будет понять что там в системе не так!!! Последний раз редактировалось winshelp; 18.06.2010 в 04:13. |
18.06.2010, 04:05 | #14 (ссылка) |
Новичок
Регистрация: 20.09.2009
Сообщений: 382
Репутация: 0
|
А насчёт логов: даже если бы была возможность выложить,толку-то от этого? В них всё это не будет отражено. Я задаю вопросы исходя из собственных наблюдений... Иногда можно даже описать лучше, чем это описано в логе :-D
---------- Добавлено в 03:05 ---------- Предыдущее сообщение было написано в 03:03 ---------- Спасибо за разъяснение, проверю на всякий случай ещё раз. |
18.06.2010, 04:12 | #15 (ссылка) | |
Знаток
|
Цитата:
|
|
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
поиск ЗЛА 2 | Lisan | Безопасность | 1 | 17.01.2011 15:01 |
Поиск ЗЛА | Lisan | Безопасность | 2 | 13.01.2011 18:48 |
Поиск и индексирование | СиНиЙ пТыЦ | Windows 7 | 5 | 09.07.2010 16:11 |
Поиск музыки | Романыч | Общение по интересам | 2 | 19.04.2010 16:55 |
Поиск реферата | acid_fly | Поисковые системы | 1 | 09.12.2009 00:03 |
S.T.A.L.K.E.R:поиск свободы | wlad | Игры | 1 | 24.11.2009 10:40 |
поиск сайтов | Ilsoyar | Безопасность | 0 | 23.11.2009 19:03 |
поиск игр | максим серов | Игры | 4 | 15.11.2009 20:24 |
<<Поиск игр>> | deejayyug | Игры | 28 | 06.10.2009 20:16 |
В Firefox нашли больше уязвимостей, чем в IE, Safari и Opera вместе взятых | Denesis | Компьютерные новости | 25 | 22.07.2009 21:22 |