Problem z autoodtwarzaniem (podejrzany: Avast!)


(NRN) #1

Wiem, wiem, multum wątków o tym jest. Nie pisałbym, gdybym po ich przejrzeniu nie znalazł się w punkcie wyjścia. W czym więc rzecz?

Instaluję czysty Win7 z MSDNAA, wersja Pro w języku polskim. Autoodtwarzanie działa. Instaluję Avast'a. Autoodtwarzanie przestaje działać. Wchodzę w rejestr, odblokowuję permanentnie autoplay zgodnie z poradami microsoftu. Autoodtwarzanie dalej nie działa. Szukam odpowiednich opcji w Avaście i jego wpisach rejestru - takowych brak. Ma ktoś pojęcie, jak to obejść? Nie uśmiecha mi się przechodzenie na AVG ani na płatne antywirusy, w szczególności zważając na fakt, że choćby w GDATA, "szybki silnik" to właśnie silnik Avasta, a więc i wykrywalność się niewiele różni...

Problem jest powtarzalny, dzieje się tak na dwóch różnych kompach i maszynie wirtualnej. Występuje on również na Viście HP OEM.

Będę wdzięczny za propozycje, jednakowoż inne niż "odinstaluj Avasta" lub "skorzystaj z programu (...)", gdzie program ten zmienia wartość wpisu w rejestrze, który już sam sobie ręcznie zmieniłem na permanentne odblokowanie :slight_smile:


(scripter1) #2

Pewno autoodtwarzanie jest wyłączane jedną z metod podanych na tej stronie wikipedii: http://en.wikipedia.org/wiki/AutoRun

Znajdziesz tam informacje jak włączać, wyłączać i zmieniać zachowanie autouruchamiania.

Przeczytaj podane tam informacje uważnie bo jest kilka metod blokowania/odblokowywania i kilka miejsc w rejestrze jest za to odpowiedzialnych, może coś przeoczyłeś

Jednak ze względu na wysoki stopień zagrożenia infekcją wykorzystującą autouruchamianie zalecałbym ci jednak zablokowanie tej możliwości infekcji (zobacz ten wątek: viewtopic.php?f=13&t=434246).

Radziłbym ci zamienić Avasta na porządnego płatnego antyvira.


(NRN) #3

Po pierwsze, autoplay w formie okienka, w którym wybieram co zrobić (a nie w formie automatycznego odpalania instrukcji z autorun.inf, jak to ma miejsce w WinXP i wcześniejszych) jest jak na mnie wątpliwą metodą zagrożenia, szczególnie, gdy korzystam ze sprawdzonych nośników. Ponadto, od tego mam antywirusa, ażeby cośkolwiek robił, a nie wszystko mi blokował na głupola. Jak kiedyś popadnę w manię prześladowczą, to owszem, poblokuję wszystkie autostarty, przełączę (tak jak radzi wikipedia) nośniki flash w tryb read-only coby zabezpieczyć się przed propagacją zagrożeń (i użytkowaniem tychże nośników :D), a dodatkowo wyłączę wifi i odłączę kabel sieciowy, dodatkowo ustawiając firewalla w tryb "Block all". Albo najlepiej w ogóle nie będę włączał komputera - bo jeszcze sam się wirusem komputerowym zarażę. Nie, nie, zdecydowanie, jeszcze do reszty nie zwariowałem :wink: Bez obrazy, oczywiście :slight_smile:

Kontynuując: kiedyś wygrałem w DP GData Internet Security, okazało się jednak, że "płatny" jest lepszy od Avasta tylko w jednej kwestii: doskonale szło mu blokowanie wszystkiego, czego blokować nie miał, oraz wysyłanie raportów do GData, co to on nie zablokował nie tak jak należy. Kaspersky? Jego kod wyciekł do sieci, więc kiepska z niego pociecha. NOD32? Zamula system, obsługa niemrawa, nie przepadam. Ponadto, zaliczył parę większych wpadek w stylu usuwania wszystkich dokumentów danego typu na chybił-trafił. Symantec dodawany w wersji 14-30 dniowej do laptopów to istna paranoja, a Panda powinna się nazywać Leniwiec. Płatne lepsze, tak? W tym przypadku to naprawdę wątpliwa kwestia. Pozostanę przy Avaście - mniejsze zło. Tym bardziej, że o nowego antywirusa nie pytam - bardziej chyba o rozwiązanie problemu z autostartem, nie? :stuck_out_tongue:

Sztuczka z Shiftem nie zadziałała, a teoretycznie overriduje wszelkie ustawienia. Więc ta metoda uruchomienia odpada. Pozostałe informacje z artykułu wikipedii, jak i wszelkich porad na forach anglojęzycznych i polskojęzycznych, które znalazłem, w tym te zawarte w bazie KB Microsoftu, świadczą o tym, że w moich systemach autorun jest włączony permanentnie. Ale co z tego, skoro ani z shiftem, ani bez shifta, nie odpala? Wydaje dźwięk podłączenia urządzenia, po czym całkowicie pomija fakt, że zostało podłączone. Ot, samemu trzeba się fatygować do Komputer -> [Wybrany_nośnik].

To co, żadnych pomysłów?


(scripter1) #4

Po pierwsze jeśli masz wyłączone permanentnie to Shift ci tu nic nie da.

Sprawdź jaką masz wartość wpisu NoDriveTypeAutoRun w tych kluczach (w win 7 domyślna wartość oznaczająca nieblokowanie to 0x91 czyli szesnastkowe 91):

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Według informacji z wikipedii HKLM jest ważniejszy więc jeśli coś jest tam zablokowane to będzie zablokowane nawet jeśli w HKCU jest jako nieblokowane.

W kwestii blokowania lub nie to twój wybór ale powiem ci że też myślałem tak jak ty aż kiedyś ktoś kto korzystał z kawiarenki internetowej przywlekł mi na penie tak nowego wirusa bazującego na autorun.inf że żaden antyvir nie wykrywał tego jeszcze przez długi czas (wirus był zakodowany już w samym autorun.inf a nie jedynie odpalany przez niego - jak chcesz to podeślę ci drania do testów) i tydzień z nim walczyłem.

Teraz mam Comodo który wszystko czego nie zna uruchamia w piaskownicy - lepiej zapobiegać niż leczyć.

Co do Kaspersky'ego to pierwsze słyszę o tym że jego kod wyciekł (poszukam se o tym więcej info) i to też nie znaczy że nie wykrywa on skutecznie, z pozostałymi twoimi opiniami się zgadzam z wyjątkiem tej o Avast który mnie już nieraz mocno zawiódł.


(NRN) #5

Wiem, że wyłączony i włączony łatwo pomylić :stuck_out_tongue: Ale podtrzymuję, jest włączony, nie wyłączony :wink: Te klucze sprawdziłem w momencie, gdy padł.

O Kasperskim poczytasz na niebezpieczniku. Na dotychczasową wykrywalność to nie wpłynie, ale da się go "ominąć" korzystając z zastosowanych w nim algorytmów. No i to z czego większość pada ze śmiechu: duża część Kasperskiego napisana jest w Delphi. Osobiście mnie to nie śmieszy, ale mogliby to przepisać w sumie :stuck_out_tongue_winking_eye:

Comodo... stosowałem ich firewalla, ale nie zdzierżyłem ciągłych problemów z siecią, natomiast antywirus wydał mi się mało skuteczny, przynajmniej po spojrzeniu na testy w sieci.

Wracając raz jeszcze do zawartości rejestru: grzebałem się z tym co nieco, sprawdzałem też propozycje sztuczek z wnętrzności plików "AutoPlayFix.reg" dostępnych na różnych forach (ze względów bezpieczeństwa, wolę je wprowadzać w życie ręcznie, niż odpalać):

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveAutoRun"=-

"NoDriveTypeAutoRun"=dword:00000091


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveAutoRun"=-

"NoDriveTypeAutoRun"=dword:00000091


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]

"Start"=dword:00000002


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000001

Żadnej poprawy, niezależnie od zastosowanej kombinacji rozwiązań. Gdzie to jeszcze może siedzieć?


(scripter1) #6

Z tego co wiem to niektóre wpisy aktywują/deaktywują przyporządkowane im funkcje już przez samą obecność ich w rejestrze nawet gdy wartość jest pusta.

Na wszelki wypadek spróbuj ręcznie usunąć te wpisy w rejestrze (całkowicie je usuń, nie jedynie wyzerować wartość):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveAutoRun"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveAutoRun"=-

Co do Comodo to mi też ich antywirus wydał mi się do niczego ale używam ich firewalla i defece+ (z pakietu Security Suite mam zainstalowane tylko Firewall i Defecne+, Antywirusa nawet nie instalowałem) - ich automatyczna piaskownica spisuje się całkiem dobrze.

W kwestii Kaspersky'ego to nie rusza mnie to że jest pisane w Delphi bo to jest nie tylko kreator ale także kompilator i można w nim robić aplikacje napisane w całości ręcznie (samodzielnie), użyć jego modułów tylko do podstawowych funkcji typu utworzenia okna a całą resztę od której zależy skuteczność wykrywania dopisać samemu albo zrobić prawie wszystko z gotowych modułów i tylko odrobinę własnego kodu dodać - wszystko zależy od podejścia programisty.

Zresztą od dawna stosuję metodę podwójnego zabezpieczania - jeśli się ma dwa dobrze ze sobą współpracujące programy odpowiednio skonfigurowane to ryzyka praktycznie nie ma.

Kaspersky używam tylko do skanowania na żądanie ale skanuję wszystkie nowe pliki i to na najwyższych ustawieniach a Comodo jako firawall i jako automatyczna piaskownica (w sumie to mam 5 stopniową ochronę: router z firewallem -> firewall comodo -> ręczne skanowanie w kaspersky -> autosandbox comodo).


(NRN) #7

Tak jak mówiłem, miałem COMODO właśnie tak jak Ty, w wersji z Defence+ bez AV, i nie zdał egzaminu - blokował za dużo. Aktualnie żyję z Agnitum Outpost Free + Avast i nie jest źle. Tylko ten autostart.

Próbowałem wpisy usuwać. Pisałem już - korzystałem ze sporej liczby kombinacji. Niestety, z miernym skutkiem.

Ogółem, to wielkie dzięki, że się w moim wątku wypowiadasz :wink: Doceniam to tym bardziej, że nikt inny nie ma żadnego pomysłu. Nawet tu ^^'


(Piotrkijak) #8

Spróbuj wywalić Avasta i zainstaluj sobie Avirę. Avira ma lepszą wykrywalność niż Avast.


(Witek2309) #9

Zgadzam się zainstaluj Avira jest lepszy od avasta bo nie jest tak bardzo nadgorliwy w wyszukiwaniu wirusów czyli nie usuwa czystych plików bez wirusów ja go usunąłem i jestem zadowolony bo to mnie w nim irytowało :wink: Avira jest OK AVG też ale dla starych kompów nie za bardzo :roll: 1,8 itp.