Вопросы и Ответы    Программы
Поиск  
     

Как отключить автозапуск (autorun) со всех носителей

Опубликовано: 7 февраля 2012,  Издатель: ©

Вирусы, заражающие компьютеры под управлением ОС Windows через автозапуск флешек, внешних дисков и оптических носителей придуманы достаточно давно. Фактически, как только данная технология, ориентированная на использование файла autorun.inf, была внедрена в системы Windows для удобства открытия CD-дисков, так кому-то тут же пришла в голову «светлая» мысль, как ее использовать в вирусостроении.

Как отключить автозапуск (autorun) со всех носителей

На данный момент чуть ли не половина всех современных вирусов пользуется данным путем распространения. Предотвратить заражение системы большинством из них достаточно просто. По крайней мере, проще, чем потом лечить зараженный ПК. В этой статье я расскажу о том, как защитить компьютер от заражения вирусом через функцию Autorun.

Для гарантированного предотвращения заражения ПК вирусом через автозагрузку нужно просто отключить ее. Все остальное вовсе не гарантирует результата. Кстати, в Windows 7 автозапуск с дисков по умолчанию отключен. Для Windows XP существует патч, выпущенный Microsoft, отключающий автозапуск.

Как именно отключать эту самую автозагрузку для борьбы с autorun-вирусами – это уже дело вкуса. Можно самому прописать необходимые изменения в реестре, а можно воспользоваться услугами утилит, которые предлагают сделать это автоматически. В этой статье я не буду рассматривать программы для этих манипуляций. Дело в том, что большинство из них делают то же самое, что я опишу ниже, но только считанные версии такого софта выполняют все манипуляции. Большинство ограничиваются только первыми двумя из перечисленных ниже правок реестра, а это вовсе не гарантирует безопасности. Перед манипуляциями с системным реестром обязательно сделайте его резервную копию.

За включение/отключение функции автозапуска отвечают следующие ключи реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Для отключения автозапуска с дисков достаточно создать параметр DWORD под именем NoDriveTypeAutoRun и присвоить ему значение ff (в шестнадцатеричной системе счисления) или 255 (в десятичной системе счисления) в каждой из этих веток. На самом деле, вполне достаточно такого параметра в ветке HKEY_CURRENT_MACHINE.

Как дополнение к этому также рекомендуется дополнительно в ветке реестра [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom]
ввести значение параметра AutoRun – 0. После этих изменений нужно перезагрузиться, чтобы изменения в системном реестре Windows вступили в силу.

Кроме этого, для того чтобы быть полностью уверенным в том, что ни одна вредоносная программа не пролезет через дыру в безопасности системы, имя которой автозапуск, стоит добавить еще две правки в реестр.

В ветке [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] указываются параметры файлов, которые не должны обрабатываться функцией автозапуска. Создадим здесь строковый параметр с типом REG_SZ с названием *.*. Это должно предотвращать автозапуск любого файла.

Создадим строковый параметр с типом REG_SZ и с названием *.*

Теперь сделаем так, чтобы любой файл autorun.inf автоматически подменялся системой на свой собственный. Это будет неправильный файл, который система воспримет как пустой и не запустит ничего, даже если по каким-то причинам не сработают все предыдущие запреты на автозапуск. Для этого в ветке [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] нужно создать строковый параметр с типом REG_SZ со значением @SYS:DoesNotExist (см. скриншот).

Создадим строковый параметр с типом REG_SZ и со значением @SYS:DoesNotExist

Вероятнее всего, раздела Autorun.inf не будет в реестре. В этом случае следует его создать, как показано на скриншоте. По умолчанию в нем будет строковый параметр без названия. Вот ему и нужно присвоить значение, приведенное выше.

Создадим раздел в реестре

Напоследок еще один «секрет» автозапуска из реестра Windows. Некоторые вирусы могут использовать ключ MountPoints2. С помощью этих ключей задаются параметры автозапуска съёмных носителей. Благодаря этому ключу, можно обойти запреты на автоматический запуск со съёмных носителей. Я бы рекомендовал удалить все ключи с названием MountPoints2, которые находятся в реестре. Воспользуйтесь поиском по реестру для того чтобы вычистить их все.

После перезагрузки ПК ключи создаются заново, но уже без значений. Если вы используете программу, отслеживающую изменения в реестре, то можно дать ей задачу на мониторинг и блокирование этих ключей. Кстати, если вы все равно используете такую программу, то можно поставить на контроль и остальные ключи, которые перечислены выше. Это будет полезно, так как ряд вредоносных программ, проникнув каким-либо способом на ваш ПК могут изменять их значение на нужное им.

 Статью написал Павел Данилов - специально для портала www.cdmail.ru

***

Рейтинг и отзывы о статье:

Текущая оценка статьи: 4 из 5 баллов  

Читать комментарии (1) / Оценить. Написать комментарий

***

Сервис  |  Карта сайта  |  RSS  |  Контакты  |  Реклама      Copyright © cdmail.ru
Яндекс.Метрика