Вышло исправление для Autoplay
kb971029
кто хорошо по англицки читает разьясните в чем смысл его?

volk1234, блокирует обработку AutoRun.inf для любых девайсов, кроме CD/DVD.

Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков. »Я вот тут недавно обратил внимание на 1-й и 7-й пункты, где говорится об отключени автозапуска на приводах неизвестных типов, почему команда дублируется, а значения разные? И по сумме всех значений, получается не 255(FF), а 253(FD)? В общем погуглив, нашёл недостающее значением - 0x02 и пояснение по поводу неизвестных дисков. :)
0x01 (DRIVE_UNKNOWN) — привод, тип которого не может быть определен
0x02 (DRIVE_NO_ROOT_DIR) — диск с невалидным корнем (сетевые "шары"?)
0x04 (DRIVE_REMOVABLE) — съемный диск (дискеты, флешки)
0x08 (DRIVE_FIXED) — несъемный диск (жесткий диск)
0x10 (DRIVE_REMOTE) — сетевой диск
0x20 (DRIVE_CDROM) — CD-привод
0x40 (DRIVE_RAMDISK) — виртуальный диск (RAM-диск)
0x80 (DRIVE_FUTURE) — будущие типы устройств

volk1234, блокирует обработку AutoRun.inf для любых девайсов, кроме CD/DVD. »

То есть HonorAutorun и NoDriveTypeAutorun в реестре теперь не надо менять ?

блокирует обработку AutoRun.inf для любых девайсов, кроме CD/DVD
Не совсем так: из AutoRun.inf берется только оформление (параметры label и icon), а остальные (всякие open, shell, shellexecute) игнорируются (проверял на AutoRun.inf из этого поста (http://forum.oszone.net/post-757735.html#post757735)).

То есть HonorAutorun и NoDriveTypeAutorun в реестре теперь не надо менять ?
KB971029 не отключает AutoPlay (просто в нем не будет вариантов из AutoRun.inf, только стандартные виндусовые).

олько стандартные виндусовые »

в смысле, будет только вариант - Автозапуск в контекстном меню ?
А автозапуск по 2-му щелчку останется ?
Я просто уже запутался во всех этих Autorun AutoPlay и куче параметров их регулирующих....

Если исходить из этого поста http://forum.oszone.net/post-1147267-106.html, то
обновление KB971029 отключает функционал Autorun, а не Autoplay.

Как уже ранее отмечалось в этой теме, надо разделять функции автозапуска (autorun), и автовоспроизведения (autoplay).
Что такое автозапуск? Это обработка файла autorun.inf, и выполнение его инструкций - либо через контекстное меню, либо по двойному щелчку на иконке диска, либо просто при вставке компакт-диска в дисковод.
Что такое автовоспроизведение? Это сканирование содержимого подсоединённого диска, и при обнаружении мультимедийных файлов - выбрасывание окошка с выбором приложений, коими эти файлы можно открыть. »

в смысле, будет только вариант - Автозапуск в контекстном меню ?
Будут стандартные варианты (под "автозапуском" здесь подразумевается вызов окна AutoPlay).

А автозапуск по 2-му щелчку останется ?
Нет, конечно.

обновление KB971029 отключает функционал Autorun, а не Autoplay.
Да (для всех девайсов, кроме CD/DVD).

Я просто уже запутался
Вы сами поставьте и экспериментируйте.

У меня AutorunDisabled установлен, теперь после этого обновления KB971029 что-то изменит он? У меня нету автозапуска у CD/DVD, теперь он автоматически запуститься или нет?

Что-то я не понял, прочёл статью у майкрософта и выходит, что после установки этого обновления авторан инф файлы на флэшках всёровно будут запускаться? Пока в реестре не настроить?

что после установки этого обновления
Какого?

Какого? »
KB971029 Есть смысл AutorunDisabled отменить и включить его, ото с ним автораном CD/DVD не запускаются

Заупстил AutorunEnable я, затем вставил заражённую флэшку, она сама открылась, я закрыл окно и специально открыл двойным нажатием. Затем проверил папку систем 32 каспером и вирусов не обнаружено. Походу майкрсофт реально отключили все авторан инф файлы.

Покурил несколько мануалов по отключению автозапуска -возник вопрос по ветке:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Параметр

@="@SYS:DoesNotExist"

Просто ссылается на несуществующий раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist ??

Если это так, то с точки зрения защиты от вирусов неплохо было бы регулярно менять или использовать одно но собственное название несуществующей ветки - иначе что помешает вирусописателям создать такой раздел и поместить в него необходимые им команды ?

Ещё, как вариант, купить флешку, как в этом обзоре :) : http://planetsecurity.org.ua/zhelezo/118-obzor-fleshki-so-vstroennim-antivirusom.html

Можно ссылку на пост со способом отключения autorun, действующем так?
из AutoRun.inf берется только оформление (параметры label и icon), а остальные (всякие open, shell, shellexecute) игнорируются »
:)

Обновление KB971029
для русской версии Windows XP (http://download.microsoft.com/download/7/E/A/7EAD5151-D2BD-428B-91A3-355BF03804FD/WindowsXP-KB971029-x86-RUS.exe)
для русской версии Windows Vista (http://download.microsoft.com/download/9/4/0/9401F991-EA40-4A1B-9DB1-FC078F39F405/Windows6.0-KB971029-x86.msu)

Включить обратно эту обработку "антитвиком"
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=-
- не удаётся. В реестре остаётся пустое значение параметра, а должно стать "По умолчанию". Это вовсе не значит, что так и надо прописывать. Надо вручную удалить этот параметр в реестре, и он создастся сам с нужным значением. Почему так происходит - этого я не знаю, может более опытные форумчане что-нибудь добавят. »


А если так:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
В чистой WinXP SP2 этот раздел вообще отсутствует.

Продолжил исследования (http://forum.oszone.net/post-1147267-106.html) Dmb89 в сфере автозапуска и воздействия различных параметров на него.
Во первых, после прочтения теории:
http://support.microsoft.com/kb/967715/
http://ru.wikipedia.org/wiki/Autorun.inf

опровергну высказывание:

Дело в том, что ключики NoDriveAutoRun и NoDriveTypeAutoRun в разделе реестра Код: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer отвечают вовсе не за автозапуск, как можно решить из названия, а за авто воспроизведение!!! »

На самом деле, этот параметр отключает самый что ни наесть авто запуск.
Дальше много текста:
С этого вопроса я и решил начать «копать». Да, Dmb89 совершенно прав в разделении автозапуска на автозапуск и авто воспроизведение. Однако, после изучения (http://ru.wikipedia.org/wiki/Autorun.inf) возможных команд файла Autorun.inf видно, что автозапуск и авто воспроизведение используются в файле Autorun.inf (зачастую вместе) и самой системой при определении необходимого действия автозапуска. Команды файла Autorun.inf open и shell – относятся к автозапуску, а вот label, icon, shellexecute, блок [content] – к авто воспроизведению.
Поэтому перед MS стоял вопрос не просто отключить одну или две технологии, либо файл Autorun.inf . Необходимо было отключить части этих технологий, переплетающихся между собой, без ущерба для функционала и удобства использования. Сам файл Autorun.inf отключить можно без проблем. Но как тогда быть с автозапуском DVD с играми? Как быть с авто воспроизведением контента с носителей в нужное приложение?

Я решил проверить все сам. Опыты проводились на чистой Windows XP SP2 VLK. Для тестов на всех носителях были созданы файлы autorun.inf ( http://forum.oszone.net/post-757735-32.html ), файл иконки, исполняемый файл.
Hdd – раздел жесткого диска;
Usb - флэш диск;
CD – компакт диск;
Net – для каждого опыта заново подключался сетевой диск;*
* Сетевые диски:
Настройки контекстного меню кэшируются в неизвестном для меня месте (но не в реестре). Поэтому пункты автозапуска останутся даже после удаления файла Autorun.inf с этого диска до отсоединения (возможно просто кэшируются файлы). Значка из Autorun.inf я так и не дождался.


Все остальное на картинке:
http://wiki.oszone.net/images/5/5c/%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B9.png

Далее комментарии по номерам опытов.

1. Как видим отключение службы ShellHWDetection (Определение оборудования оболочки) вовсе не панацея, но что странно, автозапуск флэш дисков перестаёт обрабатыватся полностью. Остальные источники «отделываются» исчезновением иконок (по видимому служба отвечает и за иконки).

2. NoDriveTypeAutorun наиболее известный параметр. На чистом SP2 этот параметр выставленный в 255 (0xff) отключил все виды автозапуска на всех источниках, кроме сетевого диска. Хотя на wikipedia пишут (http://ru.wikipedia.org/wiki/Autorun.inf):

Следует отметить, что запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения компьютера. Это связано с тем, что значение ключа влияет только на исполнение autorun.inf при определении системой подключенного носителя, но не запрещает исполнение при двойном клике на значке носителя. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Компания Microsoft выпустила исправление, описанное в KB967715, полностью решающее данную проблему.
MS же утверждает (http://support.microsoft.com/kb/967715/):
Обновления, о которых говорится в данной статье, устраняют проблему с отключением функций автозапуска. Без этих обновлений отключить функции автозапуска для сетевого диска невозможно. Кроме того, контекстное меню и функция двойного щелчка автозапуска не были бы отключены даже при выполнении указанных ранее инструкций.

ИМХО, в подчеркнутой фразе речь идет также о сетевых дисках. Если я неправ поправьте !

3. CancelAutoplay\Files *.* - данный параметр скорее всего служит для отключения shellexecute и прочих проявлений авто воспроизведения.

4. Трюк с параметром @SYS:DoesNotExist был описан здесь (http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html)
Автор метода подробно расписывает структуру ключа. Я уже высказывал соображения (http://forum.oszone.net/post-1236342-133.html) по безопасности этого ключа. Хотя я не смог добиться запуска файлов из созданного мной раздела реестра HKLM\Software\DoesNotExist это не означает, что такое не возможно. Лучше использовать придуманное самостоятельно название- так безопаснее. А работает также. Пример:
@SYS:ThisRegKey_NotExistToo
Результат опыта впечатляет – отключено все что можно отключить. Однако это не всегда применимо – ибо опять же, а как быть с автозапуском CD\DVD ?

5. Ответ MS – только автозапуск CD\DVD и останется ! Выпущенное обновление KB971029 как утверждает производитель и как я убедился в очередном опыте – отключает автозапуск везде кроме привода CD\DVD.
Кажись вирусы использующие Autorun.inf приплыли. :)


6. Установка обновления KB950582 (оно же KB967715 оно же KB953252) само по себе в автозапуске ничего не меняет, кроме добавления пары записей в реестре. Исправляется ситуация с невозможностью отключить автозапуск с сетевых дисков. Для включения / выключения этого режима создается параметр:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HonorAutorunSetting=[1/0]
Использовать это обновление предполагается в связке с параметром NoDriveAutoRun=255, однако для использования в связке с KB971029 (которая напомню не отключает CD) лучше параметр NoDriveAutoRun выставить равным 223 – для возможности автозапуска только с CD.
[hr]
На данный момент получается следующая комбинация для борьбы с вирусами Autorun:
1. Установить ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun равным 223

2. Установить обновление KB950582 (или KB967715 или KB953252).
3. Проверить, что параметры
NoDriveTypeAutoRun = 223
HonorAutorunSetting = 1
Оба расположены в
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

4. Установить обновление KB971029.

Замечание: В KB971029 версия файла shell32.dll старше, чем в KB950582, поэтому их лучше ставить именно в порядке публикации
Замечание2: KB971029 не заменяет KB950582, а дополняет его...

5. Наслаждаться жизнью без автозапуска с флэшек.

КОНЕЦ ??

Извиняюсь, если повторюсь - читать 14 страниц лень.

Основная проблема в том, что 90% пользователей работают под админом, поэтому даже права в NTFS не панацея т.к. администратор может назначить себя владельцем чего угодно и поменять права на какие угодно, а значит и вирус запущенный от имени администратора теоретически может сделать все то же самое. Поэтому запихивание вашей "защищенной" флешки где-нибудь в офисе, ни чем не отличается от незащищенной, разве что, количество вирусов умеющих изменять права гораздо меньше.

В общем есть одно решение, но только для виндовс начиная от висты. Берете флешку в FAT и создаете папку autorun.inf. В шестнадцатеричном редакторе ставите ей атрибут 0хF7. Для этого в WinHex, например, надо щелкнуть по папке правой кнопкой и выбрать Position\Go to directory entry и исправить первый же байт стоящий после имени папки на 0xF7. Это недопустимый атрибут, а драйвер FAT написан в виндовс таким образом, что не позволяет удалять, переименовывать и вообще проводить какие-либо файловые операции с такими объектами. Вуаля! На флешке есть папка autorun.inf, которую фиг чем удалишь!

Кстати, все описанные действия надо проводить в ХР, т.к. виста не дает низкоуровневый доступ к дискам даже под админом, а это значит, что вставляя такую флешку на комп с вистой и выше вы можете быть на 99,999% уверенными в защите от авторан-вирусов. А вот вставляя в комп с ХР, есть вероятность наткнуться на супер-мега-вирус, автору которого было не влом проверять допустимость атрибутов и исправлять их в случае необходимости.

И еще одно кстати. В операционной системе отличной от виндовс дела могут обстоять иначе и все будет зависеть от реализации драйвера FAT. Возможно даже другая операционка сама исправит недопустимый атрибут.

delog
А поставить на все компьютеры 2 обновления и одно значение реестра исправитть - не легче?