Доброго времени суток!
Сегодня столкнулся с таким:
Принесли флешку.
Тыкаю ее в комп (авторан у меня отключен в системе:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
), после чего появляется кроме флешки ещё виртуальный сидиром с файлами: autorun.inf, LaunchPad.zip, LaunchU3.exe
Немного проанализировав ситуацию понял что это поидее сделано утилиткой завода изготовителя флешки (флешка SanDisk)
Так же попробовал отформатировать флешку, результат: флешка пустая, а виртуальный сидюк всё равно создаётся...
Я понимаю что можно поискать програмку и форматнуть так что это ПО исчезнет...
Но меня больше интересует, есть ли возможность в операционной системе отключить запуск такого ПО..., ведь таким способом возможно наверное не только заставить отработать заводские программки, но и вредноносный код... ):
Заранее благодарен!!!

SANIOK_AV, если авторан отключен правильно и полностью, ни с каких CD ничего само не запустится. Так сделано на моем компьютере.
Я понимаю что можно поискать програмку и форматнуть так что это ПО исчезнет...
Но меня больше интересует, есть ли возможность в операционной системе отключить запуск такого ПО..., ведь таким способом возможно наверное не только заставить отработать заводские программки, но и вредноносный код... ): »
Да, возможно, но это скорее если Вас захотят специально протроянить... вирусов, которые создают CD на флешке, не обнаружено в природе.
Отключите полностью автозапуск и все!

Котяра, а у меня разве не правильно отключен авторан (судя по вышеприведённым ключам реестра)?
я понимаю что авторан не отработает...
меня неустраивает то что отработало какое-то ПО без моего ведома!
тоесть флешку я просто засунул....
а виртуальный СиДи создался без просу))
почему специально меня протроянить?
а что если зловред будет работать так:
анализирует что за носитель...(изготовитель, модель)
обрабатывает его чтоб создать эту скрытую "заводскую" область
и чтоб из этой области запустилось потом что надо...

может я конечно ошибаюсь...может так сделать нельзя...

меня неустраивает то что отработало какое-то ПО без моего ведома!
Это не ПО отработало, это контроллер флешки предоставил системе два HWID (один "запоминающее устройство USB", второй CD-привод).

а что если зловред будет работать так:
анализирует что за носитель...(изготовитель, модель)
обрабатывает его чтоб создать эту скрытую "заводскую" область
и чтоб из этой области запустилось потом что надо...
Перепрошить контроллер? Затруднительно ему будет.

Petya V4sechkin, Спасибо!!!
а что такое HWID? просветите тёмного пожалуйста!!!
Перепрошить контроллер? Затруднительно ему будет. »
почему?

а что такое HWID?
Код (идентификатор) устройства.
Device Identification Strings (http://msdn.microsoft.com/en-us/library/ms791083.aspx)

Petya V4sechkin, Код (идентификатор) устройства.
Device Identification Strings »
Спасибо, приблизительно понял...

Ну а почему Вы считаете, что зловреду будет трудно перепрошить контроллер?

а виртуальный СиДи создался без просу)) »
Это особенность флешки - ПО при этом не запускается.
Точнее написано вот:
это контроллер флешки предоставил системе два HWID »
Ну а почему Вы считаете, что зловреду будет трудно перепрошить контроллер? »
Ну перепрошьет он, и что? Ну представит системе CD-привод/еще один "съемный диск"/и т.д.. Но Windows с отключенным автораном ничего не запустит.

Хитро придумали: представлять один из HWID как CD-привод... ничего с него не удалишь))
Всем огромное спасибо!!!

SANIOK_AV, кстати, по ссылке (http://www.flashboot.ru/index.php?name=News&op=article&sid=23) описано применение специализированного софта для перепрошивки.

Petya V4sechkin, спасибо!
Почитаем...