Ochrona przed infekcjami z dysków przenośnych aplikacjami USBFix i USB-set


USBFix i USB-set to rozbudowane aplikacje, które pozwalają na ochronę przed infekcjami przenoszącymi się przez dyski przenośne USB. Szerszy opis metod zapobiegania infekcji z dysków przenośnych we wpisie Zapobieganie infekcji z pendrivów.

USBFix

Licencja: freeware
Platforma: Windows XP/Vista/7

Opis:
aplikacja służy do usuwania i zabezpieczania się przed infekcjami przenoszonymi za pośrednictwem dysków przenośnych. Umożliwia także zresetowanie kilku szkodliwie zmodyfikowanych ustawień systemowych jak brak wyświetlenia ukrytych plików czy zdeaktywowane narzędzia systemowe (rejestr / menedżer zadań).

Instrukcja obsługi:
Aplikacja instaluje się w lokalizacji C:UsbFix.

  • Research: skanowanie systemu w celu wykrycia zagrożeń w systemie oraz na wszystkich podpiętych dyskach wymiennych. Po uruchomieniu wyświetli się komunikat z prośbą o podpięcie wszystkich dysków i odblokowanie na nich funkcji zapisu. Po zakończeniu tworzony jest raport w postaci loga w lokalizacji C:UsbFix.txt
  • Deletion – opcja usuwająca rozpoznawane aplikacji infekcje. Po jej wybraniu zostanie wykonana kopia rejestru za pomocą załączonej aplikacji Erunt (kopia zapisuje się w lokalizacji (C:UsbFixBackup). Następnie zostaną zamknięte uruchomione procesy oraz powłoka Explorer = zniknie pulpit. Po zakończeniu zostaną otwarte dwa okna: log C:UsbFix.txt w Notatniku i strona z możliwością wysłania usuniętych elementów do autora – paczka C:UsbFix_Upload_Me_Nazwa-komputera.zip. (elementy są poddawane kwarantannie w lokalizacji C:UsbFixQuarantine).
    Uwaga: aplikacja usuwa bez ostrzeżenia katalogi o nazwie muza i muzyka. Zmieniamy nazwę katalogów na inną.

    Przykładowy log z usuwania:

    ############################## | UsbFix 7.037 | [Deletion]
    
    User: Admin (Administrator) # TRAXTER-EBE67FC [ ]
    Updated 10/01/2011 by El Desaparecido / C_XX
    Started at 12:13:09 | 14/01/2011
    Website: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org
    
    CPU:  Intel(R) Pentium(R) 4 CPU 1.80GHz
    Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 3
    Internet Explorer 8.0.6001.18702
    
    Windows Firewall: Enabled
    Antivirus: Panda Cloud Antivirus 01.03.00.0000 [(!) Disabled | Updated]
    RAM -> 255 Mb
    C: (%systemdrive%) -> Fixed drive # 15 Gb (1 Mb free - 8%) [WINDOWS] # FAT32
    D: -> Fixed drive # 4 Gb (107 Mb free - 3%) [DANE] # NTFS
    E: -> CD-ROM
    F: -> CD-ROM
    
    ################## | Files # Infected Folders |
    
    Deleted ! D:RecyclerS-1-5-18
    Deleted ! D:RecyclerS-1-5-21-1957994488-299502267-725345543-1006
    Deleted ! D:RecyclerS-1-5-21-1957994488-299502267-725345543-1007
    
    ################## | Registry |
    
    Deleted ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer|NoDrives
    Deleted ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer|NoFolderOptions
    
    ################## | Mountpoints2 |
    
    ################## | Listing |
    
    [13/01/2011 - 17:17:06 | ASH | 267468800] 	C:hiberfil.sys
    [16/07/2010 - 14:14:20 | D ] 	C:WINDOWS
    [03/10/2009 - 00:58:50 | SHD ] 	C:System Volume Information
    [01/05/2010 - 07:11:32 | D ] 	C:Sandbox
    [06/01/2010 - 20:20:44 | D ] 	C:Downloads
    [03/10/2009 - 22:30:02 | D ] 	C:Documents and Settings
    [03/10/2009 - 00:45:14 | D ] 	C:Program Files
    [12/05/2010 - 15:42:28 | D ] 	C:FOUND.002
    [03/10/2009 - 22:38:04 | N | 0] 	C:AUTOEXEC.BAT
    [03/10/2009 - 22:38:04 | N | 0] 	C:IO.SYS
    [03/10/2009 - 22:38:04 | N | 0] 	C:MSDOS.SYS
    [03/10/2009 - 13:27:20 | SHD ] 	C:Recycled
    [13/01/2011 - 17:17:00 | ASH | 738197504] 	C:pagefile.sys
    [12/05/2010 - 17:03:14 | D ] 	C:FOUND.003
    [21/05/2010 - 17:11:24 | D ] 	C:FOUND.004
    [12/07/2010 - 20:42:56 | D ] 	C:FOUND.000
    [10/12/2009 - 16:37:44 | D ] 	C:FOUND.001
    [04/06/2010 - 18:12:12 | D ] 	C:Config.Msi
    [09/01/2011 - 09:40:26 | N | 602112] 	C:OTL.exe
    [14/01/2011 - 11:57:36 | D ] 	C:UsbFix
    [14/01/2011 - 12:13:04 | N | 1150] 	C:UsbFix.txt
    [14/01/2011 - 12:09:32 | RASHD ] 	C:Autorun.inf
    [22/07/2001 - 01:13:54 | N | 4952] 	C:Bootfont.bin
    [03/10/2009 - 12:42:34 | N | 251152] 	C:ntldr
    [03/08/2004 - 23:38:34 | N | 47564] 	C:NTDETECT.COM
    [01/01/2011 - 16:04:08 | N | 211] 	C:boot.ini
    [14/01/2011 - 12:09:34 | RASHD ] 	D:Autorun.inf
    [04/01/2011 - 12:15:04 | D ] 	D:Clubbers Hit Mix - Top Year Trance 2010
    [04/01/2011 - 19:14:56 | D ] 	D:filmy
    [10/01/2011 - 07:57:16 | D ] 	D:FreeRapid-0.83u1
    [26/12/2010 - 20:04:43 |  | 1834340] 	D:fsSetup130.exe
    [24/12/2010 - 18:40:34 |  | 468416] 	D:hfs.exe
    [29/09/2010 - 15:20:30 |  | 668253] 	D:ninja.zip
    [14/01/2011 - 12:14:29 | SHD ] 	D:RECYCLER
    [01/01/2011 - 16:06:07 | SHD ] 	D:System Volume Information
    [12/01/2011 - 12:06:36 |  | 3866] 	D:t.txt
    [07/11/2010 - 11:12:35 |  | 940225] 	D:yfdvdcopy.exe
    [07/11/2010 - 11:13:28 |  | 1369746] 	D:yfdvdripper.exe
    [02/01/2011 - 15:19:26 |  | 26223] 	D:Zrzut ekranu-1.jpg
    [14/01/2011 - 07:19:15 |  | 25815] 	D:Zrzut ekranu-2.jpg
    
    ################## | Vaccin |
    
    C:Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
    D:Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
    
    ################## | Upload |
    
    Please send the file: C:UsbFix_Upload_Me_TRAXTER-EBE67FC.zip
    http://www.teamxscript.org/Upload.php
    Thank you for your contribution.
    
    ################## | E.O.F |

     

  • Listing – funkcja generuje pełną listę plików i folderów znajdujących się w root każdego dysku. Po zakończeniu log C:UsbFix.txt otworzy się w notatniku.
  • Vaccinate – funkcja zabezpieczania dysków w postaci utworzenia ochronnych folderów. Pojawią się komunikaty potwierdzające wykonanie zadania dla każdego dysku: Vaccination done! (C:Autorun.inf). Foldery te mają nadany atrybut systemowy + ukryty.
    Uwaga: osobiście miałem problem z utworzeniem takich folderów, ponieważ aplikacja się wyłączała nic nie tworząc. Rozwiązaniem może być standardowe utworzenie folderów o nazwie autorun.inf poprzez explorer, a następnie uruchomienie opcji Vaccinate, która doda nieusuwalny element do folderów.
  • Uninstall – odinstalowanie aplikacji = opróżnianie katalogu narzędzia na partycji systemowej. Alternatywnie możemy uruchomić plik C:UsbFixUn-UsbFix.exe. Na koniec ręcznie usuwamy sam katalog C:UsbFix.
  • Options – Disable Autorun/AutoPlay automatically (automatyczna deaktywacja funkcji Autoodtwarzania nośników) oraz Include a listing at the end of the cleaning (dołączenie do raportu wytworzonego z dezynfekcji również raportu opcji Listing).

Download: najnowsza wersja (nie wymaga typowej instalacji)

Zrzut ekranu:
usbFix.jpg

USB-set

Licencja: freeware do użytku prywatnego
Platforma: Windows XP/Vista/7 32-bit i 64-bit

kompleksowa aplikacja, która umożliwia skonfigurowanie systemu, aby ograniczyć rozpowszechnianie infekcji z dysków przenośnych. Program nie ma funkcji dezynfekcyjnych, stosuje się go prewencyjnie.
Aplikacja wymaga zainstalowania. Jeżeli mamy kłopot z deinstalacja starszej wersji można użyć deinstalatora.

Aplikacja pozwala dostosować funkcje Autorun i Autoplay, usunąć ślady pozostawione przez stare nośniki wymienne, nałożyć ochronę na dyski w postaci folderów Autorun.inf, zablokować instalację nowych urządzeń USB…

Zakładka Global State
Wyświetla zestawienie aktualnie funkcjonujących ustawień systemu, które może modyfikować:
– status rezydenta zabezpieczającego nowo podpinane dyski
– status zabezpieczenia każdego wykrytego dysku (narzędzie może nie wykryć folderów utworzonych za pomocą innych aplikacji)
– konfigurację Autorun / Autoplay
Zielone ustawienia są optymalne, czerwone stanowią ryzyko dla bezpieczeństwa komputera.

USB-set1.jpg

Zakładka Autorun Settings
Umożliwia konfigurację funkcji Autorun / Autoplay.
Klucz NoDriveTypeAutoRun kontroluje autoplay dla typów dysków np. można włączyć funkcję na dyskach CD i wyłączyć dla wszystkich innych rodzajów dysków. W sposób można zminimalizować ryzyko i jednocześnie zachować automatyczne uruchamianie dla napędu CD / DVD.
Klucz NoDriveAutoRun kontroluje z kolei autoplay dla liter dysków np. można włączyć funkcję na dysku D i wyłączyć dla wszystkich innych liter dysków

Zaznacz pola wyboru różnych rodzajów napędów w celu umożliwienia im funkcji autoplay, odznacz je aby wyłączyć. Każdą zmianę zatwierdzamy przyciskiem Save Changes. Nastąpi restart Explorera w celu aktywacji zmian (ponowne uruchomienie systemu Windows nie jest konieczne).

Inhibit Autorun – opcja wyłączająca odczyt / rozpoznawanie plików autorun.inf odpowiedzialnych za infekcje.
HonorAutorunSetting – tej opcji nie modyfikujemy.

USB-set2.jpg

Zakładka Cleaning traces
Mountpoints with potentially infected command – opcja usunięcie mapowania z klucza MountPoints2. Wyczyszczenie kluczy MountPoints2 jest ważnym krokiem, jeśli wcześniej podłączany był zakażony dysk. Windows będzie próbował użyć tych zapisów i uruchomić polecenia w pliku autorun.inf przy ponownym podłączeniu urządzenia. Spowoduje to ponowną infekcję. Można całkowicie usunąć ten klucz, po resecie komputera klucz się samoczynnie zrekonstruuje.

Traces of previous connected removable drives – czyszczenie śladów starych urządzeń. Usuwane są ustawienia instalacji danego urządzenia z rejestru, tak, że przy kolejnym podłączeniu wymagana jest ponowna instalacja.

Enable/Disable recognition for new USB drives – wykrywanie nowych urządzeń. Opcja pozwala zablokować instalację nowych urządzeń USB – system je może zobaczyć, lecz nie może instalować. Funkcja przydatna, gdy chcemy korzystać tylko z określonych urządzeń. Najpierw usuwamy stare urządzenia >>> podłączamy urządzenia z których będziemy korzystać >>> wyłączamy instalacje nowych.

USB-set3.jpg

Zakładka Vaccination
Automatic vaccination – automatyczne zabezpieczenia. Moduł można uruchomić natychmiast lub podczas startu systemu. Kontroluje stan zabezpieczenia (obecność folderu autorun.inf) każdego wykrytego dysku, zabezpieczając nie chronione oraz wszystkie nowo podłączane. Działa w formie rezydenta, zajmuje bardzo mało zasobów. Zaznaczając Silent vaccination każde nowe urządzenie zostanie zabezpieczone po cichu, żadnych komunikatów.

Manual vaccination – ręczne zabezpieczanie. Zabezpieczanie odbywa się ręcznie. Jest także opcja usuwania ochronnych folderów.

Drives excluded from vaccination – napędy wyłączone z ochrony (nie będą tworzone na nich ochronne foldery autorun.inf).

USB-set4.jpg

Download: najnowsza wersja, mirror (wymaga zainstalowania)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *