Автор: Paul Обсуждение статьи "Автозапуск на устройствах, и как с ним бороться" Ну нам тожи нужно ОБЕЗОПАСИТЬ самих себя . Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм? 1 + 2 - классический подход - отключить через политики Windows. 3, 4, 5 - закрытие дыр в 1+2. 1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom Установить значение параметра AutoRun равным 0 и перезагрузиться. 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная) Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности. 3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение Code: @SYS:DoesNotExist Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются. [P.S.: @ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре. SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.] 4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files Создать строковый параметр типа REG_SZ с названием Code: *.* (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой'). Значение задать не надо. 5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Наилучшее решение на мой взгляд следующее (уже применил у себя): *1. Пуск - Выполнить - regedit *2. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2, *3. Правой кнопкой мыши щёлкать и выбрать 'разрешения' *4. Нажать 'Дополнительно' и снять галочку 'Наследовать от родительского объекта применимые к дочерным объектам разрешения, добавляя их к явно заданным в этом окне'. *5. Появится окно. Выбираем 'Удалить'. 'Применить - ОК'. Таким образом все разрешения (кроме чтения) на дочерные объекты в MountPoints2 сняты для всех. Только 'Вдаделец' может их задать заново. Автозапуск зловредов с дисков, флэшок, и пр. полностью исключается... smile.gif P.S.2: ВАЖНО: надо это делать после того, как убедились, что комп - чист, и ПОСЛЕ ТОГО, как мы удалили ключ MountPoints2 полностью (он создаётся заново чистым после перезагрузки). Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.
Нет авторунеры канешно ето штото если в нужных руках.Причем любой авторуновской вирус можно написать в блокноте.Например в моей колекции вирусов есть вирус авторун который складаетса всего з 2 строчек.
Процесс можно несколько упростить, т.к. существует куча тулз, полностью контролирующих автозапуск.. Но не будучи ярым сторонником кавыряния реестра, было приятно прочитать.. Файлы авторан.инф чаще всего не вызывают подозрений у рядовых пользователей, но даже мельком взглянув на содержание: Code: shell\open\Command=my_virus.cmd видно исполняемый файл: удаляем ключи реестра, соответствующие данному исполняемому файлу обычным поиском/убиваем процесс в стартере/окончательно затираем оба файла.. Это больше преимущество пользователя в обнаружении зловредов)
1.AnVir Task Manager 2.PT Startup Monitor и никакой вирь не пройдет в автозапуск и не добавит себя в сервис.
Есть такая утелитка "USB Disk Security" она предотвращает автозапуски с флэшек, дисков и вобще прог которые пытаются запуститься автоматически (неправильно сказал, но вы поймёте) в общем у меня стоит, отличная вещ, она ещё и отрубает в реестре все эти значения о чём тут пишется
