Name: Отключение "авторана"
Item: Отключение "авторана"
Author: meta53

Категории

Общее инфо [14]

Программы

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Главная » 2009 » Сентябрь » 12 » Отключение "авторана"

13:44

Отключение "авторана"

DisableAutoRun

В последнее время очень актуальной стала проблема защиты от виру-сов переносимых через flash-накопители, практически у каждого рядового пользователя на flash'ке находиться автоматически запускаемый вирус а если его даже и нет то достаточно вставить flash'ку в чужой компьютер и в ком-плекте с переносимой информацией получаешь вирус.
В Microsoft Windows XP\Vista по умолчанию включен автозапуск на всех носителях кроме неизвестных(unknown type) и сетевых(network drives). Flash-накопители относятся к классу removable drives т.е. их автозапуск Включён.
Решение этой проблемы было найдено в TechNet'e (microsoft.com/technet):
В Windows есть ключ «NoDriveTypeAutoRun» в реестре отвечающий за функцию AutoPlay. Согласно описанию ключ «NoDriveTypeAutoRun» (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoDriveTypeAutoRun) может иметь следующие значения:
0x1 Disables Autoplay on drives of unknown type.
0x4 Disables Autoplay on removable drives.
0x8 Disables Autoplay on fixed drives.
0x10 Disables Autoplay on network drives.
0x20 Disables Autoplay on CD-ROM drives.
0x40 Disables Autoplay on RAM disks.
0x80 Disables Autoplay on drives of unknown type.
0xFF Disables Autoplay on all types of drives.
!Причём это значение может быть представлено в виде суммы этих Hex значений.

Значения по умолчанию:
Microsoft Windows Server 2003 0x95
Microsoft Windows XP 0x91
Microsoft Windows 2000 0x95

Для того чтобы отключить автозапуск на flash-накопителях в Windows Xp\Vista необходимо изменить значение ключа (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoDriveTypeAutoRun) на 0x95 (!HEX значение) т.е. мы к значение по умолча-нию (91) прибавили (4) что означает отключение автозапуска на removable drives.

!Для изменения данного ключа необходимо иметь пользователю права адми-нистратора и эти изменения действую только на учётную запись пользова-теля который её изменят. Для многопользовательских компьютеров целесо-образно использовать HKLM это будет рассмотрено чуть позднее.

Для того чтобы изменить ключ NoDriveTypeAutoRun открываем Registry Editor:
Start -> Run -> regedit.exe
Пуск -> Выполнить -> regedit.exe
Переходим к ключу: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
и изменяем значение NoDriveTypeAutoRun на:
95 – для отключение автозагрузки с неизвестных, сетевых и съёмных(flash,floppy) - Рекомендуется для домашних компьютеров и для людей использующих автозапуск на CD/DVD-ROM.
FF – для отключения автозагрузки со всех устройств – Рекомендуется для рабочих, учебных,… компьютеров где не используется автозапуск на CD/DVD-ROM.

На рабочих, учебных,… компьютерах обычно используется многополь-зовательская система доступа к компьютеру. Поэтому изменение этого ключа у всех пользователей данного компьютера становиться довольно проблема-тично. Поэтому для многопользовательских компьютеров целесообразно пойти немного другим методом:
Открываем(в regedit.exe) ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
В нем создаём ключ Explorer (не значение а именно ключ)
И в нем уже создаем значение типа DWORD равное 0xFF (т.е. ставим систе-му счисления Hex и вписываем значение FF).
!Если в компьютере есть значение HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoDriveTypeAutoRun - то значение HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoDriveTypeAutoRun - системой игнорируеться.
Для того чтобы на каждом компьютере вручную не изменять значения созда-ем в блокноте .reg файл со следующем содержанием:

Для многопользовательских ПК:(не для домашних)

Windows Registry Editor Version 5.00

;DisableAutoRunVmar1MUPC
[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Для домашних ПК:

Windows Registry Editor Version 5.00

;DisableAutoRunVmar1HPC
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095

Отключение CDROMa (не для дома)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

И сохранить этот файл с произвольным именем и расширением .reg
Я использую для удобства имена DisableAutoRunWorkPC.reg и DisableAutoRunHomePC.reg

!Для изменения этих значений нужны привилегии администратора.

Эта статья предназначена для того чтобы остановить распространение вирусов переносимых на flash-накопителях так как эта проблема в последнее время стала очень актуальна потому что около 80% компьютеров встречаемы с включённым USB заражены вирусами переносимыми на flash.

Категория: Устраняем сами | Просмотров: 3239 | Добавил: compserv | Рейтинг: 5.0/2

Всего комментариев: 7

Порядок вывода комментариев:

1 meta53 (14.09.2009 04:32)

Очень полезное отключение.

Антивирусник NOD 32 обнаруживает сразу вирус на флешке?

2 compserv (14.09.2009 11:33)

Дело в том, что когда автозапуск включен, антивирус не всегда успевает сработать, бывали случаи когда он успевал загрузить свой код, тем более если вирус "авторан" новый. При отключении автозапуска вирус бессилен, пока вы непосредственно не зайдете во флешку, ну а тут уж эвристический анализ антивируса должен увидеть подозрительное поведение файла. Конечно, если базы антивируса свежие, то в принципе он удалит вирус и при автозапуске(если автозапуск включен). Но подстраховаться не помешает. smile

3 meta53 (14.09.2009 11:50)

Спасибо. я так и вычислил.
А какой антивирус Вы порекомендуете, мы думаем Каспирского или NOD 32/
Пробовали АВАСТ, удаляет хорошие файлы.
Сейчас стоит COMODO, увидел много вирусов там где предыдущие не видели и вроде быть не должно.

4 compserv (14.09.2009 13:32)

На мой взгляд Касперский предпочтительнее. Еще лучше "Kaspersky Internet Security". Правда это в том случае, если у вас лицензия. Если же нет, то второй вариант поставить "Nod 32 Smart Security" и поставить сервер обновлений с Нижегородского кольца. Никаких ключей не надо и лицензии. Людям его ставлю.
Ну а если Касперский не лицензионный, то с ключами намучаетесь, будут "банить" каждую неделю, а то и smile

день. Есть конечно и с ним варианты......
Сегодня к вечеру выложу и программы и описание как и что. Смотрите форум.

5 Akrons (15.09.2009 11:58)

Алексей, Вы забыли про второй ключ реестра, не значительный, но все же, вот полный код:

Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

6 compserv (15.09.2009 14:52)

Первый вариант в статье указан, просмотрел ты, Серег smile

А вот второй, да, действительно существует, правда он отключает только CDROM, а на флешках не работает. Но согласен, надо было и его указать. Исправлю.

7 Akrons (15.09.2009 22:19)

Quote (compserv )

просмотрел ты, Серег smile

Да я не просмотрел, просто написал весь код сразу =)
Кстати, по поводу твоих вариантов не знал, а именно про 95, приму к сведению )

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Календарь

Новинки

Архив записей

[01.03.2013]
Восстановление доступа в социальные сети (0)

[14.01.2013]
И снова о троянах... (0)

[26.10.2012]
"Лечим" жесткий диск (0)

[04.08.2012]
Оптимизация Windows XP - Мифы, легенды и реальные советы (0)

[12.05.2012]
Описание различных форматов VIDEO-RIP (0)

Друзья сайта