akoK 46 Posted April 25, 2008 Report Share Posted April 25, 2008 (edited) Автозапуск на устройствах, и как с ним бороться Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм? 1 + 2 - классический подход - отключить через политики Windows. 3, 4, 5 - закрытие дыр в 1+2. 1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom Установить значение параметра AutoRun равным 0 и перезагрузиться. 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная) Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности. 3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение @SYS:DoesNotExist Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются. [P.S.: @ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре. SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.] 4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files Создать строковый параметр типа REG_SZ с названием *.* (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой'). Значение задать не надо. P.S. ВАЖНО: надо это делать после того, как убедились, что комп - чист, и ПОСЛЕ ТОГО, как мы удалили ключ MountPoints2 полностью (он создаётся заново чистым после перезагрузки). Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме. Для отключения автозапуска: AutorunDisabled.zip Если по какой то причине Вам необходимо вернуть все на место: EnableAutorun.rar Сообщение опубликовано с разрешения автора p2u. i Уведомление:Актуальная инструкция находится в этой теме AutorunDisabled.zip EnableAutorun.rar Edited February 24, 2010 by akoK Link to post Share on other sites
akoK 46 Posted February 11, 2010 Author Report Share Posted February 11, 2010 Инструкция обновлена Link to post Share on other sites
torch777 0 Posted February 21, 2010 Report Share Posted February 21, 2010 Я думаю это нужно в раздел "Важное" Link to post Share on other sites
akoK 46 Posted February 23, 2010 Author Report Share Posted February 23, 2010 Уже нет. Актуальность утеряна. Link to post Share on other sites
Форматцевт 146 Posted February 23, 2010 Report Share Posted February 23, 2010 akoK: всмысле, что автозапуск уже не используют или....? Link to post Share on other sites
akoK 46 Posted February 23, 2010 Author Report Share Posted February 23, 2010 Или есть более простой способ, чем закат солнца вручную. Link to post Share on other sites
Форматцевт 146 Posted February 24, 2010 Report Share Posted February 24, 2010 akoK: а вот ты про что я грешным делом подумал ну может тогда темы стоит объединить или хоть эту закрыть или же в первом посте дать линк, а? Link to post Share on other sites
Recommended Posts