Ochrona przed infekcjami z dysków przenośnych aplikacjami USBFix i USB-set

USBFix i USB-set to rozbudowane aplikacje, które pozwalają na ochronę przed infekcjami przenoszącymi się przez dyski przenośne USB. Szerszy opis metod zapobiegania infekcji z dysków przenośnych we wpisie Zapobieganie infekcji z pendrivów.

USBFix

Licencja: freeware
Platforma: Windows XP/Vista/7

Opis:
aplikacja służy do usuwania i zabezpieczania się przed infekcjami przenoszonymi za pośrednictwem dysków przenośnych. Umożliwia także zresetowanie kilku szkodliwie zmodyfikowanych ustawień systemowych jak brak wyświetlenia ukrytych plików czy zdeaktywowane narzędzia systemowe (rejestr / menedżer zadań).

Instrukcja obsługi:
Aplikacja instaluje się w lokalizacji C:UsbFix.

• Research: skanowanie systemu w celu wykrycia zagrożeń w systemie oraz na wszystkich podpiętych dyskach wymiennych. Po uruchomieniu wyświetli się komunikat z prośbą o podpięcie wszystkich dysków i odblokowanie na nich funkcji zapisu. Po zakończeniu tworzony jest raport w postaci loga w lokalizacji C:UsbFix.txt
• Deletion – opcja usuwająca rozpoznawane aplikacji infekcje. Po jej wybraniu zostanie wykonana kopia rejestru za pomocą załączonej aplikacji Erunt (kopia zapisuje się w lokalizacji (C:UsbFixBackup). Następnie zostaną zamknięte uruchomione procesy oraz powłoka Explorer = zniknie pulpit. Po zakończeniu zostaną otwarte dwa okna: log C:UsbFix.txt w Notatniku i strona z możliwością wysłania usuniętych elementów do autora – paczka C:UsbFix_Upload_Me_Nazwa-komputera.zip. (elementy są poddawane kwarantannie w lokalizacji C:UsbFixQuarantine).
  Uwaga: aplikacja usuwa bez ostrzeżenia katalogi o nazwie muza i muzyka. Zmieniamy nazwę katalogów na inną.

  Przykładowy log z usuwania:

  ############################## | UsbFix 7.037 | [Deletion]
  
  User: Admin (Administrator) # TRAXTER-EBE67FC [ ]
  Updated 10/01/2011 by El Desaparecido / C_XX
  Started at 12:13:09 | 14/01/2011
  Website: https://www.teamxscript.org
  Contact: eldesaparecido@teamxscript.org
  
  CPU:  Intel(R) Pentium(R) 4 CPU 1.80GHz
  Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 3
  Internet Explorer 8.0.6001.18702
  
  Windows Firewall: Enabled
  Antivirus: Panda Cloud Antivirus 01.03.00.0000 [(!) Disabled | Updated]
  RAM -> 255 Mb
  C: (%systemdrive%) -> Fixed drive # 15 Gb (1 Mb free - 8%) [WINDOWS] # FAT32
  D: -> Fixed drive # 4 Gb (107 Mb free - 3%) [DANE] # NTFS
  E: -> CD-ROM
  F: -> CD-ROM
  
  ################## | Files # Infected Folders |
  
  Deleted ! D:RecyclerS-1-5-18
  Deleted ! D:RecyclerS-1-5-21-1957994488-299502267-725345543-1006
  Deleted ! D:RecyclerS-1-5-21-1957994488-299502267-725345543-1007
  
  ################## | Registry |
  
  Deleted ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer|NoDrives
  Deleted ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer|NoFolderOptions
  
  ################## | Mountpoints2 |
  
  ################## | Listing |
  
  [13/01/2011 - 17:17:06 | ASH | 267468800] 	C:hiberfil.sys
  [16/07/2010 - 14:14:20 | D ] 	C:WINDOWS
  [03/10/2009 - 00:58:50 | SHD ] 	C:System Volume Information
  [01/05/2010 - 07:11:32 | D ] 	C:Sandbox
  [06/01/2010 - 20:20:44 | D ] 	C:Downloads
  [03/10/2009 - 22:30:02 | D ] 	C:Documents and Settings
  [03/10/2009 - 00:45:14 | D ] 	C:Program Files
  [12/05/2010 - 15:42:28 | D ] 	C:FOUND.002
  [03/10/2009 - 22:38:04 | N | 0] 	C:AUTOEXEC.BAT
  [03/10/2009 - 22:38:04 | N | 0] 	C:IO.SYS
  [03/10/2009 - 22:38:04 | N | 0] 	C:MSDOS.SYS
  [03/10/2009 - 13:27:20 | SHD ] 	C:Recycled
  [13/01/2011 - 17:17:00 | ASH | 738197504] 	C:pagefile.sys
  [12/05/2010 - 17:03:14 | D ] 	C:FOUND.003
  [21/05/2010 - 17:11:24 | D ] 	C:FOUND.004
  [12/07/2010 - 20:42:56 | D ] 	C:FOUND.000
  [10/12/2009 - 16:37:44 | D ] 	C:FOUND.001
  [04/06/2010 - 18:12:12 | D ] 	C:Config.Msi
  [09/01/2011 - 09:40:26 | N | 602112] 	C:OTL.exe
  [14/01/2011 - 11:57:36 | D ] 	C:UsbFix
  [14/01/2011 - 12:13:04 | N | 1150] 	C:UsbFix.txt
  [14/01/2011 - 12:09:32 | RASHD ] 	C:Autorun.inf
  [22/07/2001 - 01:13:54 | N | 4952] 	C:Bootfont.bin
  [03/10/2009 - 12:42:34 | N | 251152] 	C:ntldr
  [03/08/2004 - 23:38:34 | N | 47564] 	C:NTDETECT.COM
  [01/01/2011 - 16:04:08 | N | 211] 	C:boot.ini
  [14/01/2011 - 12:09:34 | RASHD ] 	D:Autorun.inf
  [04/01/2011 - 12:15:04 | D ] 	D:Clubbers Hit Mix - Top Year Trance 2010
  [04/01/2011 - 19:14:56 | D ] 	D:filmy
  [10/01/2011 - 07:57:16 | D ] 	D:FreeRapid-0.83u1
  [26/12/2010 - 20:04:43 |  | 1834340] 	D:fsSetup130.exe
  [24/12/2010 - 18:40:34 |  | 468416] 	D:hfs.exe
  [29/09/2010 - 15:20:30 |  | 668253] 	D:ninja.zip
  [14/01/2011 - 12:14:29 | SHD ] 	D:RECYCLER
  [01/01/2011 - 16:06:07 | SHD ] 	D:System Volume Information
  [12/01/2011 - 12:06:36 |  | 3866] 	D:t.txt
  [07/11/2010 - 11:12:35 |  | 940225] 	D:yfdvdcopy.exe
  [07/11/2010 - 11:13:28 |  | 1369746] 	D:yfdvdripper.exe
  [02/01/2011 - 15:19:26 |  | 26223] 	D:Zrzut ekranu-1.jpg
  [14/01/2011 - 07:19:15 |  | 25815] 	D:Zrzut ekranu-2.jpg
  
  ################## | Vaccin |
  
  C:Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
  D:Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
  
  ################## | Upload |
  
  Please send the file: C:UsbFix_Upload_Me_TRAXTER-EBE67FC.zip
  https://www.teamxscript.org/Upload.php
  Thank you for your contribution.
  
  ################## | E.O.F |

   

• Listing – funkcja generuje pełną listę plików i folderów znajdujących się w root każdego dysku. Po zakończeniu log C:UsbFix.txt otworzy się w notatniku.
• Vaccinate – funkcja zabezpieczania dysków w postaci utworzenia ochronnych folderów. Pojawią się komunikaty potwierdzające wykonanie zadania dla każdego dysku: Vaccination done! (C:Autorun.inf). Foldery te mają nadany atrybut systemowy + ukryty.
  Uwaga: osobiście miałem problem z utworzeniem takich folderów, ponieważ aplikacja się wyłączała nic nie tworząc. Rozwiązaniem może być standardowe utworzenie folderów o nazwie autorun.inf poprzez explorer, a następnie uruchomienie opcji Vaccinate, która doda nieusuwalny element do folderów.
• Uninstall – odinstalowanie aplikacji = opróżnianie katalogu narzędzia na partycji systemowej. Alternatywnie możemy uruchomić plik C:UsbFixUn-UsbFix.exe. Na koniec ręcznie usuwamy sam katalog C:UsbFix.
• Options – Disable Autorun/AutoPlay automatically (automatyczna deaktywacja funkcji Autoodtwarzania nośników) oraz Include a listing at the end of the cleaning (dołączenie do raportu wytworzonego z dezynfekcji również raportu opcji Listing).

Download: najnowsza wersja (nie wymaga typowej instalacji)

Zrzut ekranu:

USB-set

Licencja: freeware do użytku prywatnego
Platforma: Windows XP/Vista/7 32-bit i 64-bit

kompleksowa aplikacja, która umożliwia skonfigurowanie systemu, aby ograniczyć rozpowszechnianie infekcji z dysków przenośnych. Program nie ma funkcji dezynfekcyjnych, stosuje się go prewencyjnie.
Aplikacja wymaga zainstalowania. Jeżeli mamy kłopot z deinstalacja starszej wersji można użyć deinstalatora.

Aplikacja pozwala dostosować funkcje Autorun i Autoplay, usunąć ślady pozostawione przez stare nośniki wymienne, nałożyć ochronę na dyski w postaci folderów Autorun.inf, zablokować instalację nowych urządzeń USB…

Zakładka Global State
Wyświetla zestawienie aktualnie funkcjonujących ustawień systemu, które może modyfikować:
– status rezydenta zabezpieczającego nowo podpinane dyski
– status zabezpieczenia każdego wykrytego dysku (narzędzie może nie wykryć folderów utworzonych za pomocą innych aplikacji)
– konfigurację Autorun / Autoplay
Zielone ustawienia są optymalne, czerwone stanowią ryzyko dla bezpieczeństwa komputera.

Zakładka Autorun Settings
Umożliwia konfigurację funkcji Autorun / Autoplay.
Klucz NoDriveTypeAutoRun kontroluje autoplay dla typów dysków np. można włączyć funkcję na dyskach CD i wyłączyć dla wszystkich innych rodzajów dysków. W sposób można zminimalizować ryzyko i jednocześnie zachować automatyczne uruchamianie dla napędu CD / DVD.
Klucz NoDriveAutoRun kontroluje z kolei autoplay dla liter dysków np. można włączyć funkcję na dysku D i wyłączyć dla wszystkich innych liter dysków

Zaznacz pola wyboru różnych rodzajów napędów w celu umożliwienia im funkcji autoplay, odznacz je aby wyłączyć. Każdą zmianę zatwierdzamy przyciskiem Save Changes. Nastąpi restart Explorera w celu aktywacji zmian (ponowne uruchomienie systemu Windows nie jest konieczne).

Inhibit Autorun – opcja wyłączająca odczyt / rozpoznawanie plików autorun.inf odpowiedzialnych za infekcje.
HonorAutorunSetting – tej opcji nie modyfikujemy.

Zakładka Cleaning traces
Mountpoints with potentially infected command – opcja usunięcie mapowania z klucza MountPoints2. Wyczyszczenie kluczy MountPoints2 jest ważnym krokiem, jeśli wcześniej podłączany był zakażony dysk. Windows będzie próbował użyć tych zapisów i uruchomić polecenia w pliku autorun.inf przy ponownym podłączeniu urządzenia. Spowoduje to ponowną infekcję. Można całkowicie usunąć ten klucz, po resecie komputera klucz się samoczynnie zrekonstruuje.

Traces of previous connected removable drives – czyszczenie śladów starych urządzeń. Usuwane są ustawienia instalacji danego urządzenia z rejestru, tak, że przy kolejnym podłączeniu wymagana jest ponowna instalacja.

Enable/Disable recognition for new USB drives – wykrywanie nowych urządzeń. Opcja pozwala zablokować instalację nowych urządzeń USB – system je może zobaczyć, lecz nie może instalować. Funkcja przydatna, gdy chcemy korzystać tylko z określonych urządzeń. Najpierw usuwamy stare urządzenia >>> podłączamy urządzenia z których będziemy korzystać >>> wyłączamy instalacje nowych.

Zakładka Vaccination
Automatic vaccination – automatyczne zabezpieczenia. Moduł można uruchomić natychmiast lub podczas startu systemu. Kontroluje stan zabezpieczenia (obecność folderu autorun.inf) każdego wykrytego dysku, zabezpieczając nie chronione oraz wszystkie nowo podłączane. Działa w formie rezydenta, zajmuje bardzo mało zasobów. Zaznaczając Silent vaccination każde nowe urządzenie zostanie zabezpieczone po cichu, żadnych komunikatów.

Manual vaccination – ręczne zabezpieczanie. Zabezpieczanie odbywa się ręcznie. Jest także opcja usuwania ochronnych folderów.

Drives excluded from vaccination – napędy wyłączone z ochrony (nie będą tworzone na nich ochronne foldery autorun.inf).

Download: najnowsza wersja, mirror (wymaga zainstalowania)