Soft Вариант решения проблемы с вирусами в автозапуске на флеш-носителях

Многим наверняка известен вариант отключения автозагрузки с дисководов с помощью групповой политики. Он, однако, предусматривает только отключение автозагрузки при подключении устройства/диска, а если попытаться открыть диск из окна "Мой Компьютер" двойным нажатием мыши - произойдет автозапуск и все равно произойдет заражение.
Недавно я нашел на сайте, посвященном лечению от вирусов, достаточно полное решение проблемы с автозапуском вирусов.
Вот оно:
Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?

1 + 2 - классический подход - отключить через политики Windows.
3, 4, 5 - закрытие дыр в 1+2.

1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
Установить значение параметра AutoRun равным 0 и перезагрузиться.

2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру (типа REG_SZ) со значением (не названием!)

Код:

@SYS:DoesNotExist

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

[P.S.:
@ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.
SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
Создать строковый параметр типа REG_SZ с названием

Код:

*.*

(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.

(с) VirusInfo

P.S. По желанию все непонятные моменты поясню.

 

У меня вопрос. Если я притащила домой зараженную флешку, воткнула ее в свой компьютер, и NOD32 заорал на нее благим матом. Он как бы справился с заразой, и мне ничего не грозит?

 

Как правило, НОД удаляет только файл автозапуска, файлы вируса остаются на флешке (они скрытые, а механизм антивирусных мониторов, чтобы не нагружать систему, настроен так, чтобы проверять только те файлы, доступ к которым осуществляется в текущий момент времени).

Поэтому никакой опасности уже нет (вирус не сможет автоматически запуститься), однако рекомендуется через FAR или другой файловый менеджер удалить скрытые вирусные файлы (и удалить каталоги вроде Recycled и System Volume Information, которым на флешке не место - это вирусы таким образом пытаются спрятаться), чтобы случайно их не запустить.

 

Второй пункт неверный, там не 1 байт размер, за первый пункт я сразу бы тебе руки оторвал, закрыто.

 

Касперский убивает всё полноценно, и не даёт распространятся. Покрайне мере заражения сразу не происходит, и посему ничего не мешает сразу и натравить его на носитель. Сам недавно с вирусом autorun повстречался (старые базы касперского его не знают).