Как отключить автозапуск (autorun) со всех носителей

  7 февраля 2012,  Павел Данилов

Вирусы, заражающие компьютеры под управлением ОС Windows через автозапуск флешек, внешних дисков и оптических носителей придуманы достаточно давно. Фактически, как только данная технология, ориентированная на использование файла autorun.inf, была внедрена в системы Windows для удобства открытия CD-дисков, так кому-то тут же пришла в голову «светлая» мысль, как ее использовать в вирусостроении.

На данный момент чуть ли не половина всех современных вирусов пользуется данным путем распространения. Предотвратить заражение системы большинством из них достаточно просто. По крайней мере, проще, чем потом лечить зараженный ПК. В этой статье я расскажу о том, как защитить компьютер от заражения вирусом через функцию Autorun.

Для гарантированного предотвращения заражения ПК вирусом через автозагрузку нужно просто отключить ее. Все остальное вовсе не гарантирует результата. Кстати, в Windows 7 автозапуск с дисков по умолчанию отключен. Для Windows XP существует патч, выпущенный Microsoft, отключающий автозапуск.

Как именно отключать эту самую автозагрузку для борьбы с autorun-вирусами – это уже дело вкуса. Можно самому прописать необходимые изменения в реестре, а можно воспользоваться услугами утилит, которые предлагают сделать это автоматически. В этой статье я не буду рассматривать программы для этих манипуляций. Дело в том, что большинство из них делают то же самое, что я опишу ниже, но только считанные версии такого софта выполняют все манипуляции. Большинство ограничиваются только первыми двумя из перечисленных ниже правок реестра, а это вовсе не гарантирует безопасности. Перед манипуляциями с системным реестром обязательно сделайте его резервную копию.

За включение/отключение функции автозапуска отвечают следующие ключи реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Для отключения автозапуска с дисков достаточно создать параметр DWORD под именем NoDriveTypeAutoRun и присвоить ему значение ff (в шестнадцатеричной системе счисления) или 255 (в десятичной системе счисления) в каждой из этих веток. На самом деле, вполне достаточно такого параметра в ветке HKEY_CURRENT_MACHINE.

Как дополнение к этому также рекомендуется дополнительно в ветке реестра [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom]
ввести значение параметра AutoRun – 0. После этих изменений нужно перезагрузиться, чтобы изменения в системном реестре Windows вступили в силу.

Кроме этого, для того чтобы быть полностью уверенным в том, что ни одна вредоносная программа не пролезет через дыру в безопасности системы, имя которой автозапуск, стоит добавить еще две правки в реестр.

В ветке [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] указываются параметры файлов, которые не должны обрабатываться функцией автозапуска. Создадим здесь строковый параметр с типом REG_SZ с названием *.*. Это должно предотвращать автозапуск любого файла.

Теперь сделаем так, чтобы любой файл autorun.inf автоматически подменялся системой на свой собственный. Это будет неправильный файл, который система воспримет как пустой и не запустит ничего, даже если по каким-то причинам не сработают все предыдущие запреты на автозапуск. Для этого в ветке [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] нужно создать строковый параметр с типом REG_SZ со значением @SYS:DoesNotExist (см. скриншот).

Вероятнее всего, раздела Autorun.inf не будет в реестре. В этом случае следует его создать, как показано на скриншоте. По умолчанию в нем будет строковый параметр без названия. Вот ему и нужно присвоить значение, приведенное выше.

Напоследок еще один «секрет» автозапуска из реестра Windows. Некоторые вирусы могут использовать ключ MountPoints2. С помощью этих ключей задаются параметры автозапуска съёмных носителей. Благодаря этому ключу, можно обойти запреты на автоматический запуск со съёмных носителей. Я бы рекомендовал удалить все ключи с названием MountPoints2, которые находятся в реестре. Воспользуйтесь поиском по реестру для того чтобы вычистить их все.

После перезагрузки ПК ключи создаются заново, но уже без значений. Если вы используете программу, отслеживающую изменения в реестре, то можно дать ей задачу на мониторинг и блокирование этих ключей. Кстати, если вы все равно используете такую программу, то можно поставить на контроль и остальные ключи, которые перечислены выше. Это будет полезно, так как ряд вредоносных программ, проникнув каким-либо способом на ваш ПК могут изменять их значение на нужное им.