В связи с тем, что вирусы, размножающиеся через флешки, стали весьма массовыми, наличие включенной функции автозапуска становится особенно вредной, особенно на компах, отлученных от инета и каких-либо локальных сетей и по этой причине лишенных регулярного обновления антивирусных баз.

Отключать на всех компах вручную зело трудоемко, поэтому хотелось бы сделать некую хитрую вещь - автозапуском запускать с флешки некий reg-файл, который отключит автозапуск на этом компе.
Поэтому два вопроса возникли:
1) где в реестре у винды живет включение/выключение автозапуска со сьемных носителей?
2) как из Autorun.inf запустить reg-файл на добавление в реестр?

Послушайте. Это транспортный форум, и обсуждению вопросов, связанных с ИТ, к.м.к., здесь не место. ИМХО, конечно.

> 1) где в реестре у винды живет
> включение/выключение автозапуска со сьемных
> носителей?

http://support.microsoft.com/kb/953252/ru

> 2) как из Autorun.inf запустить reg-файл на
> добавление в реестр?

Создай BAT'ник с одной строчкой:

@regedit /s aaa.reg

и запускай из Autorun его.

Всё это ерёнда, и если вы отлючите автозапуск, то вставив флешку он (авторун) может запустится, т.к. буква диска новой флешке присваевается свободная и может так случится, что именно на эту букву и не будет отключения автозапуска. Это ести коротко описать и не разжёвывать.
А так, есть очень хорошая прога: autostop 1.2.0.1

Цитата
AUTOSTOP 2.0.1 - cкрипт для защиты от autorun-вирусов

УСТАНОВКА: перепишите файл autostop.2.0.1.exe на флешку, и запустите.
После окончания установки, файл можно удалить с флешки.

Скрипт вносит изменения в реестр компьютера, на котором запускается - отменяет
автозапуск со всех носителей, и создает на флешке несколько файлов и каталогов.
Каталоги AUTORUN.INF и AUTOSTOP препятствуют записи на флешку вредоносного файла
autorun.inf. Также для защиты флешки от autorun-вирусов служат файлы recycled и
recycler.

Принцип индикации наличия вредоносного файла autorun.inf основан на взаимосвязи
каталогов AUTORUN.INF и AUTOSTOP: при переименовывании каталога AUTORUN.INF
(а именно это делают некоторые вирусы, записывающие на флешку файл autorun.inf),
зеленый индикатор на каталоге AUTOSTOP исчезает. При переименовывании же каталога
AUTOSTOP, исчезает красный индикатор на каталоге AUTORUN.INF. Соответственно, при
переименовывании обоих каталогов, исчезают оба индикатора. В любом из этих случаев,
при обнаружении исчезновения хотя бы одного любого индикатора (что говорит о
заражении флешки, либо о нарушении целостности скрипта), необходимо очистить флешку
от вирусов с помощью антивируса, сохранить с нее свою информацию, переформатировать
флешку, и снова защитить ее скриптом AUTOSTOP.

Каждый раз при подключении и перед извлечением флешки ОБЯЗАТЕЛЬНО НАЖМИТЕ F5 в проводнике
(для принудительного обновления содержимого), и проверьте состояние индикаторов
(см. файл manual.gif в каталоге AUTOSTOP). Помните что даже если отображаются оба
индикатора - красный и зеленый - это говорит лишь об отсутствии на флешке вредоносного
файла autorun.inf,что значительно снижает риск заражения компьютера при подключении
флешки к нему. Но в то же время на той же флешке могут содержаться вирусы (и, как правило,
содержатся). Поэтому регулярно проверяйте флешку антивирусом.

Пиктограммы (здесь я намеренно называю их индикаторами, ввиду выполняемой функции и
схожего внешнего вида) взяты из бесплатного набора Diagona Icons с сайта
http://www.pinvoke.com

Веб-страница скрипта AUTOSTOP - http://mechanicuss.livejournal.com/195192.html

Всё наглядно и работает.

> Всё это ерёнда, и если вы отлючите автозапуск, то
> вставив флешку он (авторун) может запустится, т.к.
> буква диска новой флешке присваевается свободная и
> может так случится, что именно на эту букву и не
> будет отключения автозапуска. Это ести коротко
> описать и не разжёвывать.

Если не разжёвывать, то галочка в групповой политике управляет автозапуском на всём классе устройств "сменные носители". Какая там буква диска, ей глубоко пофиг.

Не пофиг - проверено - убита система (сам делал ).

0

A-Lex-Is писал(а):
-------------------------------------------------------
> Послушайте. Это транспортный форум, и обсуждению
> вопросов, связанных с ИТ, к.м.к., здесь не место.
> ИМХО, конечно.

Не согласен. Большинство пользователей форума, уже сидит тут по несколько лет и сформировался совеобразный "контингент", многие пользователи уже стали почти интернет-друзьями или знакомыми. Поэтому нет ничего плохого, чтобы попросить у своих знакомых (пусть даже и виртуальных) помощи.

> Не пофиг - проверено - убита система (сам делал ).

Значит, системе и без этого суждено было умереть ;-)

> вообще интересный вопрос, какой идиот в Микрософт
> сделал авторан по умолчанию

Не знаю какой идиот, и идиот ли он, но могу предположить, что среди пользующихся МС-овской техподдержкой больше будет блондинок и бухгалтеров, а не специалистов.

> и не отключающимся без копания в реестре.

Во всех версиях Windows, умеющих работать в домене, автозапуск отключается в групповых политиках.

> И не исправил

И не будет.

> за 3 сервис-пака

Гораздо больше, бо автозапуск не в XP был введён.

Антон Чиграй писал(а):
-------------------------------------------------------

> Если не разжёвывать, то галочка в групповой
> политике управляет автозапуском на всём классе
> устройств "сменные носители". Какая там буква
> диска, ей глубоко пофиг.

Только это отключение не отключает реальный автозапуск, к сожалению. Равно как и "отключение" якобы "автозапуска" посредством установки соответствующего ключа реестра HKCU(и HKLM тоже)\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun на 0xff, что теоретически должно также отключить авторан для всех типов дисков. Как показал опыт, вирусы всё равно пролазят в такой ситуации с флешек. Известен ещё некий трюк с полной очисткой раздела реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 и последующим запретом записи туда для всех кого ни попадя. Что должно теоретически не позволять играться с контекстным меню диска в проводнике и действием по умолчанию (из-за чего можно руками самому запустить вирус даже несмотря на отключённый первым методом авторан). Опыт опять показал, что вирус всё равно пролазит, ещё не дожидаясь какого-то активного действия со стороны пользователя, и сразу же поганит реестр, так что сама по себе эта мера ничего не даёт.

Поэтому единственный метод, которым можно действительно отключить автозапуск - это отключить службу под назваением (в русской версии) "Определение оборудования оболочки" - это собственно и есть та зловредная служба, которая шарит по диску, находит файл autorun.inf, и тупо запускает то, что ей сказано, а также поганит контекстное меню диска (через раздел MountPoints2). После отключения этой службы, конечно, MountPoints2 надо обязательно тоже зачистить, иначе, если там останутся следы старых авторанов, можно случайно руками запустить авторан без всякой службы, если случайно совпадёт буква диска с вирусом и буква диска, для которого контекстное меню было когда-то ранее запомойлено автораном по умолчанию.
NoDriveTypeAutoRun тоже можно на 0xff поставить, конечно - чисто для красоты :), но, пожалуй, это как раз уже ничего не меняет.

Так что, короче, порядок такой:

1) Убедиться, что компьютер не заражён какими-либо вирусами, иначе все действия будут бесполезны и будут блокироваться или парироваться вирусом;
2) Отключить службу "Определение оборудование оболочки"
3) Зачистить раздел HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
4) Для красоты можно два ключа NoDriveTypeAutoRun (под HKLM и HKCU) на 0xff.

В реестре есть какой-то ключ (на кой он там?!), которые на даёт менять в эксплорере свойство показывать скрытые файлы и папки. Остался после вируса muldrop, вируса нету а ключ где менять?
И на кой вся эта опасная ерунда в систему вшита?!