По работе приходится подсоедениять флеху к разным компам, в день 10-15 машин, в разных местах.
Проблема: задолбали черви и вирусы.
Вопрос: можно ли как нибудь запретить изменение autorun.inf, галочку тока для чтения не предлогать - не работат.
Для прикола скажу каспер находит в день 1 авторан + 5-6 вирей и червей, естественно авторан показвает на последний вирь.
Кто нибудь подскажите!
[hr]
Решение
Прочтите статью базы знаний Отмена принудительного отключения автоматического запуска в реестре Windows (http://support.microsoft.com/kb/967715/ru) и установите обновление, соответствующее вашей ОС. После установки обновления приведенный ниже REG-файл будет работать должным образом. См. также сообщение 106 (http://forum.oszone.net/post-1147267-106.html)

Распакуйте файл AutorunDisabled.zip (http://forum.oszone.net/attachment.php?attachmentid=22467&d=1235631741) и примените reg файл
Или скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

;отвечает не за отключение автозагрузки, а за определение смены носителя в приводе
;[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
;"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

Подробнее - Борьба с автозапуском новыми методами (http://forum.kaspersky.com/index.php?showtopic=64046&view=findpost&p=585899)
[hr]
Другие решения

Утилита Flash Drive Disinfector.
Скачайте Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Перед запуском Flash Drive Disinfector не забудьте временно отключить антивирус.

Решение от Panda
USB and AutoRun Vaccine (http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx) - описание на русском (http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine/)

Akboozat, запаролить флешку программами от разработчика (пркатически у всех есть). Создать личную зону на весь объем.

Машины в разных оффисах, там не разрешат ставить свои проги, так что я там несмогу со своей флехай работать

Машины в разных оффисах, там не разрешат ставить свои проги, так что я там несмогу со своей флехай работать »
а там и не надо ничего ставить. Все ПО будет на флешке.

Akboozat, при вставке флешку в компютер зажмите клавишу Shift, тем самым вы отмените Autorun
используйте также утилиту для удаления данного типа вирусов она назывваеться anti_autorun офф сайт (http://www.bombina.com/index.htm)

Baw17, IMHO смысла нажимать на клавишу Shift при подключении флэшки нет, т.к. при этом автозапуска по любому не происходит (в отличии от CD/DVD-дисков). Вирус указаный в autorun.inf скрытно запускается IMHO только при попытке открыть диск связанный с флэшкой с помощью двойного клика (и в некоторых случаях одинарного клика, например: на иконке диска в панели быстрого запуска).

З.Ы.: Сказаное мной относится к WinXP.

А можно ли сделать autorun.inf как системный файл. У меня на флехе autorun.inf лежит как указатель на ico файл, чтобы видеть флешку в моём компьтере.

Akboozat, попробуй сделать проще: отформатируй флешку с использованием файловой системы NTFS и поиграйся с правами данного файла - то бишь, закрой доступ на файл ВСЕМ, в т.ч. и системе.

Я пробовал по-разному решить этот вопрос. По моему единственное решение - постоянное обновление антивируса.
Т.к. даже если разными методами запрещать автозапуск с флешки в дальнейшем в любом случае надо будет открывать свою флешку через Мой компьютер.
А там уже прога из autorun'а всегда запускается - пробовал сам. Даж прописывал в авторане стандартный notepad - он запускался.
Дальше уже работа антивируса - обнаружит или нет.

Как вариант я отменил на своем компе автозапуск. Дальше смотрю флеш через FAR или TCommander - это уже неважно, лишь бы показывал скрытые файлы.
Если в корне есть авторан, тогда удаляю его и прогу которая в нем прописана. Все.

Tturik, так как раз и решаем эту проблему чтобы не париться как ты делаешь... :read:

Baw17, а мне лично не нравится этот anti_autorun. Сносит все на своем пути не разбираясь что написано в этом авторане... даже ссылку на иконку, и то сносит -

с флэшкой с помощью двойного клика »
а ты используй правой кнопкой - открыть и тогда он не проникнет в систему, смысле червь я так делаю на новых компьютерах

Baw17, а мне лично не нравится этот anti_autorun. Сносит все на своем пути не разбираясь что написано в этом авторане... даже ссылку на иконку, и то сносит - »
незнаю незнаю, данная программа работает просто замечательно, особенно если нету Файлового менеджера, а показ скрытых файлов не помогает и вдобавок реестр еще и заблокирован

Baw17
а ты используй правой кнопкой - открыть и тогда он не проникнет в систему, смысле червь я так делаю на новых компьютерах »
Мне известен этот способ обхода автозапуска. Я лишь хотел подчеркнуть, что в отличие от CD-дисков, при подключении флэш-диска к компу не происходит автозапуска программ, указанных в файле autorun.inf, и по этому нет смысла в нажатии клавиши Shift

а ты используй правой кнопкой - открыть и тогда он не проникнет в систему, смысле червь я так делаю на новых компьютерах »
А вот это зря!!! Ой как зря!!!
Вот простой пример файла autorun.inf - попробуйте, и сразу всё поймёте![AutoRun]
open=notepad.exe
shell\open\Command=notepad.exe
shell\open\Default=1
shell\explore\Command=notepad.exe Для примера запускается блокнот, но вы же сами понимаете... :)
В таких случаях безопаснее, на мой взгляд, включить левую панель Проводника (Папки) и заходить через неё.

В таких случаях безопаснее, на мой взгляд, включить левую панель Проводника (Папки) и заходить через неё. »
По сравнению с советом об правом клике, абсолютно согласен.

Вот тока я видел модификацию, которая сидя в памяти (в виде exe), на все диски в системе, копирут свой autorun. Вот тут флешку, уже ничто не спасет.

Но самое главное, по моему тут большинсство просто не поняли вопроса. Надо защитить флешку (раз исчез с них, переключатель - чтение\запись), что бы с таким подарком на ней, не притащить ее (не домой, дома то антивирь обновляеться), к другим людям, если у них нет актуальной защиты. Во всяком случае для меня, вот основная цель этого вопроса.

Я уже думал, старую флешку на 128MB взять, на ней есть перемычка. Сначала ее в "бой", а потом уж основные, без боязненно вставлять.

на ней есть перемычка »С защитой от записи? Тоже логично. И голову особенно морочить не надо.

Отключаем службу Определение оборудования оболочки и смотрим прикрепленный мной архивчик (там несколько ключиков реестра по отключению этого безобразия)

p/s: работаю за спасибо :)

Упраление автозапуском (Autorun) приводов (CD-ROM, Flash) в windows 2000/XP/2003
оригинал FAQ: http://forum.ixbt.com/topic.cgi?id=22:63213

Для всех вышеперечисленных версий кроме XP Home Edition:
пуск - выполнить - gpedit.msc - конфигурация компутера - административные шаблоны - Система - отключить автозапуск (выберите, где отключать). Далее примените новую политику командой gpupdate в консоли.

В Home оснастка управления групповыми политиками отсутствует,однако тот же эффект может быть достигнут ручной правкой реестра:
1) Пуск -> выполнить -> regedit
2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3) Создать новый раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать ключ NoDriveTypeAutoRun

Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)
Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

Ссылки по теме:
http://www.microsoft.com/resources/documentation/Win…egentry/91525.asp
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B895108


Также возможно отключение автозапуска диска, которому присвоена заранее известная буква:
Раздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Ключ: NoDriveAutoRun
Допустимые значения: 0x0–0x3FFFFFF
Значение представляет собой "битовую карту" дисков справа налево - крайний правый бит (в двоичном представлении) соответствует диску А, второй справа - B и так далее. Для отключения автозапуска бит должен быть установлен.

Значение по умолчанию: 0x0

Источник информации:
http://www.microsoft.com/resources/documentation/Win…egentry/93506.asp

Изменения в реестре применяются после перезагрузки.

Также возможно использование способов, описанных в FAQ:
http://www.3dnews.ru/reviews/software/win2000_faq/index04.htm#12
http://www.3dnews.ru/reviews/software/win-xp-faq/index03.htm#5

и так какой способ наиболее оптимальнее?

Подытоживать пока рано. Думается, способы подходящие для сисадмина на предприятии, мало годятся для обычного пользователя, который пришёл с флэшкой к другу что-то скинуть... Ну не будете же вы править реестр в чужом компе, к тому же смысла в этом... но об этом ниже.
Сразу оговорюсь, что далее речь пойдёт именно об "обычном пользователе", хотя вряд ли можно применять этот термин к завсегдатаям форума oszone =)
Так вот, многие не обратили внимание на очевидные факты, а именно:
1. Как уже здесь писалось (http://forum.oszone.net/post-727034-6.html), исполняемые файлы с USB-flash не запускаются автоматически при вставке. Поэтому все советы, касающиеся отключения автозапуска дисков в данном случае бессмысленны!
2. Запуск вируса, или трояна, происходит не при вставке заражённого USB-flash диска, а при попытке его открытия! Перечитайте мой предыдущий пост (http://forum.oszone.net/post-750562-14.html), и проверьте работу дисков с указанным файлом autorun.inf ! Даже если у вас отключен автозапуск, всё равно при попытке открытия диска, - не важно, двойным кликом ЛКМ, или с помощью контекстного меню через ПКМ, - произойдёт запуск программы! Для предотвращения этого самая простая рекомендация - открывайте съёмные диски через левую панель проводника - "Папки"! И разумеется, показ скрытых и системных файлов должен быть включен, и рекомендация не запускать неизвестные файлы актуальна как никогда! Полагаться же целиком на антивирус, имхо, не стоит... И способ для радикалов - отключение службы (http://forum.oszone.net/post-753723-17.html) "Определение оборудования оболочки". Это полностью отключает обработку файлов autorun.inf, а заодно и лишает некоторых возможностей, типа назначения значка флэшки (иконки), произвольного её наименования, и т.д.

Вышесказанное касается защиты своего компьютера от подозрительных флэшек. Что же касается защиты своей флэшки при её состыковке с подозрительным компьютером, тут тоже вариантов негусто. Да, жалко, что сейчас флэшку с переключателем защиты от записи днём с огнём не сыщешь, этот вариант не проходит по причине экзотичности.
Вариант защиты паролем (http://forum.oszone.net/post-726305-2.html)... Не знаю как для других, но вот к моей Transcend T120 для чтения запароленных файлов потребуется утилита mFormat, и что же я должен делать? Таскать вторую флэшку с этой утилитой?! Тоже не вариант.
Что же остаётся? Опять только одно - форматировать в NTFS (http://forum.oszone.net/post-727216-8.html) ! А созданному самолично файлу autorun.inf присваивать доступ пользователю SYSTEM "только для чтения", а остальных вообще удалить.
Добавлено: Способ не работает, смотри пост 33.