akoK Опубликовано 25 апреля, 2008 Жалоба Поделиться Опубликовано 25 апреля, 2008 (изменено) Автозапуск на устройствах, и как с ним бороться Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм? 1 + 2 - классический подход - отключить через политики Windows. 3, 4, 5 - закрытие дыр в 1+2. 1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom Установить значение параметра AutoRun равным 0 и перезагрузиться. 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная) Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности. 3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение @SYS:DoesNotExist Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются. [P.S.: @ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре. SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.] 4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files Создать строковый параметр типа REG_SZ с названием *.* (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой'). Значение задать не надо. P.S. ВАЖНО: надо это делать после того, как убедились, что комп - чист, и ПОСЛЕ ТОГО, как мы удалили ключ MountPoints2 полностью (он создаётся заново чистым после перезагрузки). Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме. Для отключения автозапуска: AutorunDisabled.zip Если по какой то причине Вам необходимо вернуть все на место: EnableAutorun.rar Сообщение опубликовано с разрешения автора p2u. i Уведомление:Актуальная инструкция находится в этой теме AutorunDisabled.zip EnableAutorun.rar Изменено 24 февраля, 2010 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 февраля, 2010 Автор Жалоба Поделиться Опубликовано 11 февраля, 2010 Инструкция обновлена Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 21 февраля, 2010 Жалоба Поделиться Опубликовано 21 февраля, 2010 Я думаю это нужно в раздел "Важное" Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 23 февраля, 2010 Автор Жалоба Поделиться Опубликовано 23 февраля, 2010 Уже нет. Актуальность утеряна. Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 23 февраля, 2010 Жалоба Поделиться Опубликовано 23 февраля, 2010 akoK: всмысле, что автозапуск уже не используют или....? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 23 февраля, 2010 Автор Жалоба Поделиться Опубликовано 23 февраля, 2010 Или есть более простой способ, чем закат солнца вручную. Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 24 февраля, 2010 Жалоба Поделиться Опубликовано 24 февраля, 2010 akoK: а вот ты про что я грешным делом подумал ну может тогда темы стоит объединить или хоть эту закрыть или же в первом посте дать линк, а? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения