Автор: Paul Обсуждение статьи "Автозапуск на устройствах, и как с ним бороться"

Ну нам тожи нужно ОБЕЗОПАСИТЬ самих себя .

Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо
через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?

1 + 2 - классический подход - отключить через политики Windows.
3, 4, 5 - закрытие дыр в 1+2.

1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0 и перезагрузиться.



2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.



3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.



[P.S.:
@ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.
SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
Создать строковый параметр типа REG_SZ с названием

(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой'). Значение задать не надо.



5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться?
Наилучшее решение на мой взгляд следующее (уже применил у себя):
*1. Пуск - Выполнить - regedit
*2. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2,
*3. Правой кнопкой мыши щёлкать и выбрать 'разрешения'
*4. Нажать 'Дополнительно' и снять галочку 'Наследовать от родительского объекта применимые к дочерным объектам разрешения, добавляя их к явно заданным в этом окне'.
*5. Появится окно. Выбираем 'Удалить'. 'Применить - ОК'.

Таким образом все разрешения (кроме чтения) на дочерные объекты в MountPoints2 сняты для всех. Только 'Вдаделец' может их задать заново. Автозапуск зловредов с дисков, флэшок, и пр. полностью исключается... smile.gif
P.S.2: ВАЖНО: надо это делать после того, как убедились, что комп - чист, и ПОСЛЕ ТОГО, как мы удалили ключ MountPoints2 полностью (он создаётся заново чистым после перезагрузки).
Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.