Disable the autorun.inf forever

在前面的Make a anti-autorun batch中,我们讨论了如何通过禁止Shell Hardware Detection服务的方式,来屏蔽光盘/优盘插入时候的自动运行,转载到cnbeta之后,也有相当多的讨论,去掉中间没有营养的不说,里面提出了3点值得注意:

  1. 通过rd /s /q,可以直接删除包含带点目录的autorun.inf目录;
  2. 通过改名操作,也可以直接对包含带点目录的autorun.inf目录进行重命名;
  3. 禁用Shell Hardware Detection,会使得系统无法识别CD/DVD的驱动器类型;

最重要的是,就算禁用了自动运行,大部分的用户,还是因为在我的电脑里面的双击盘符操作,而”手动调用自动执行”,从而感染病毒……OK,今天的主角出场!

参考cnbeta上的cnlong朋友的意见,测试通过,通过注册表编辑器+权限控制,彻底杜绝双击盘符情况下的autorun.inf调用,具体的办法如下:

应该算是比较完美的方案了:经过这样的权限设置,任何情况下的autorun.inf调用将被屏蔽,在默认状态下,带autorun的光盘和优盘被装载的时候,目录会被打开,双击盘符的结果是打开目录,而不是执行程序,同时,右键也不会出现任何形式的自动运行菜单

分析一下,那个键值应该就是Windows用来记录和管理双击盘符和盘符上的右键菜单的,在里面查找,然后决定执行什么操作,仔细查看的话,你会发现更多的内容。我们把这个键值的操作权限对everyone屏蔽之后,系统无法访问到这个对应表,于是只有打开的操作。

两篇文章里面提到的内容相结合,应该可以彻底的解决自动运行、以及双击盘符带来的染毒问题了,开心!

2007-06-14:更新,直接通过setacl来实现权限设置,在这儿下载,然后执行即可。用到了第三方软件setacl,版本0.87,测试通过,软件作者Helge Klein,网站:www.helge.mynetcologne.de/setacl,最新版本0.904,但是新版本不能操作这个键值,所以继续采用老版本。


——
·本文由 iamcj 原创,采用“CC创作共用”方式共享
6月 14, 2007 | Filed Under Computer 

Comments

40 Responses to “Disable the autorun.inf forever”

  1. itrose Windows XP Internet Explorer 6.0 on 6月 14th, 2007 20:34

    早些时候清除rose病毒时接触过这个注册表项

  2. iamcj Windows XP Internet Explorer 6.0 on 6月 14th, 2007 20:38

    itrose 在 2007-06-14 20:34 时说:

    早些时候清除rose病毒时接触过这个注册表项

    注册表真是个麻烦的东西@%#&@#(*@&

  3. 不用软件解决Autorun病毒 | 琐记于忆 WordPress 2.2 on 6月 14th, 2007 21:59

    […] Update: 网友iamcj提醒我说这样还是会出现菜单,我仔细看了一下,才偶然记起在很久以前做ghost备份时,是禁用了Shell Hardware Detection服务的,所以上文中提及的办法,仅仅能够阻止autorun.inf中设置的程序自动运行,创建右键的欺骗菜单无法阻止,要彻底去掉右键菜单被autorun控制,禁用掉Shell Hardware Detection服务就可以了,从iamcj这里知道禁用掉后系统会无法正确显示光驱的类型(CD或者DVD),不过使用是完全不受影响的,另外一种不错的解决办法也可以在iamcj那里看到,不过最简单的还是禁用掉Shell Hardware Detection服务,这样还能省点系统资源。 […]

  4. xuxu Windows XP Internet Explorer 6.0 on 6月 14th, 2007 22:54

    发现一个变化^^

    本来是“leave a reply”现在是“有什么想说的呢。。。”

    哈哈,我是不是很强?我是柯南,哦也

  5. iamcj Windows XP Internet Explorer 6.0 on 6月 14th, 2007 23:19

    xuxu 在 2007-06-14 22:54 时说:

    发现一个变化^^

    本来是“leave a reply”现在是“有什么想说的呢。。。”

    哈哈,我是不是很强?我是柯南,哦也

    这个是我下午改的,哈哈

  6. kokomi Windows Vista Internet Explorer 7.0 on 6月 14th, 2007 23:34

    vista好像对你的那个bat没有反应?

  7. iamcj Windows XP Internet Explorer 6.0 on 6月 14th, 2007 23:54

    kokomi 在 2007-06-14 23:34 时说:

    vista好像对你的那个bat没有反应?

    1、vista自带的那个权限控制,应该可以防范大部分的病毒和木马,只要自己不要什么都不看就授权就行。
    2、bat执行应该没回应的,直接看看光盘右键还有没有自动运行的菜单就知道了;
    3、有人说win2k里面注册表位置也不同,vista可能也是,呵呵。

  8. 偶爱偶家 Windows XP Mozilla Firefox 2.0.0.4 on 6月 15th, 2007 6:59

    不错的方法, 收下了!

    你的链接我也做好了, 有空多交流. :)

  9. iamcj Windows XP Internet Explorer 6.0 on 6月 15th, 2007 8:44

    偶爱偶家 在 2007-06-15 6:59 时说:

    不错的方法, 收下了!

    你的链接我也做好了, 有空多交流. :)

    欢迎欢迎,一定一定:)

  10. yafan99 Windows XP Internet Explorer 7.0 on 6月 15th, 2007 10:45

    不错的文章,转摘到我的博客了。
    http://blog.e4dai.info/

  11. iamcj Windows XP Internet Explorer 6.0 on 6月 15th, 2007 11:09

    yafan99 在 2007-06-15 10:45 时说:

    不错的文章,转摘到我的博客了。
    http://blog.e4dai.info/

    欢迎转载

  12. CSS–I like it » 注册表编辑器+权限控制,彻底废掉Autorun WordPress 2.2 on 6月 15th, 2007 17:41

    […] http://www.iamcj.net/blog/2007/06/14/disable-the-autoruninf-forever/ […]

  13. 没嘛想说的 Windows Vista Internet Explorer 7.0 on 6月 15th, 2007 21:07

    哈哈,不错

  14. newtrain Windows XP Internet Explorer 7.0 on 6月 18th, 2007 19:29

    谢谢!太棒了,可以充分减少u盘自动播放而带来的苦恼了

  15. foradun Windows Server 2003 Internet Explorer 6.0 on 6月 29th, 2007 16:48

    我一直在寻找终结u盘病毒的方法,可惜都失败了,autorun.inf文件夹的方式的确被改名这一招轻松击破。我本来想通过策略组禁止u盘下的inf文件运行,后来发现不行,只能禁止双击inf文件的运行,无法阻止双击硬盘是inf的运行,你厉害,佩服。

  16. 77540250 Windows XP Internet Explorer 6.0 on 7月 11th, 2007 11:08

    请问”通过rd /s /q”是什么意思?
    我的电脑中了autotun.inf 这个病毒了..貌似都感染了“5555“咋办呢?我好笨的“都不会搞这些.
    请问重新做系统是不是就没在了?
    可是我有些重要文件不得不用啊..这病毒搞的我都不敢复制.格了的话又用不了了吧?
    快点教我吧“我弄2天了!

  17. iamcj Windows XP Internet Explorer 6.0 on 7月 12th, 2007 22:24

    77540250 在 2007-07-11 11:08 时说:

    请问”通过rd /s /q”是什么意思?
    我的电脑中了autotun.inf 这个病毒了..貌似都感染了“5555“咋办呢?我好笨的“都不会搞这些.
    请问重新做系统是不是就没在了?
    可是我有些重要文件不得不用啊..这病毒搞的我都不敢复制.格了的话又用不了了吧?
    快点教我吧“我弄2天了!

    rd是内部命令,本来用来删除目录,rd=remove directory,/s和/q都是参数,/s意味着递归调用,相当于deltree的作用,/q表示直接确认。
    现在来说,3.5版本的360safe基本可以解决问题,再配合nod32或者kaspersky就好了。
    重装系统之后,病毒会消失,但是如果其他的硬盘分区或者移动硬盘(优盘)带毒,同样会再次感染的。

  18. 匿名 Windows XP Internet Explorer 6.0 on 7月 14th, 2007 21:22

    我其他盘都中了这个毒!

  19. 匿名 Windows XP Internet Explorer 6.0 on 7月 14th, 2007 21:23

    我其他盘都中了这个毒!怎么解决啊?我不回弄这些啊!

  20. iamcj Windows XP Internet Explorer 6.0 on 7月 15th, 2007 23:00

    在 2007-07-14 21:23 时说:

    我其他盘都中了这个毒!怎么解决啊?我不回弄这些啊!

    我说的很明白了,下360安全卫士,杀,建议再找一个nod32或者卡巴斯基之类的杀毒软件配合

  21. XXYZZXH Windows XP Internet Explorer 6.0 on 7月 16th, 2007 20:31

    我是XP的,注册表打开不是图示那个样子的,你的是98吧~是不是直接拒绝就行了~

  22. XXYZZXH Windows XP Internet Explorer 6.0 on 7月 16th, 2007 20:36

    不好意思~知道怎么办了~问一下~为什么在admin下拒绝不行?想运行的话是不是再改成允许就行了~

  23. iamcj Windows XP Internet Explorer 6.0 on 7月 17th, 2007 10:48

    XXYZZXH 在 2007-07-16 20:31 时说:

    我是XP的,注册表打开不是图示那个样子的,你的是98吧~是不是直接拒绝就行了~

    当然不是98,呵呵,我的过程好像已经写得比较清楚了啊

  24. iamcj Windows XP Internet Explorer 6.0 on 7月 17th, 2007 10:51

    XXYZZXH 在 2007-07-16 20:36 时说:

    不好意思~知道怎么办了~问一下~为什么在admin下拒绝不行?想运行的话是不是再改成允许就行了~

    对admin拒绝不行,因为autorun一般不会用admin身份运行,应该是system吧,反正对everyone设置是保险的。想运行的话,修改成允许即可。不过我以为没有必要冒这个风险,真的需要的话,看一下autorun.inf的内容,然后手动执行好了。

  25. HorseLuke Windows XP Internet Explorer 6.0 on 7月 20th, 2007 11:32

    怕就怕有些病毒会采取类似的setacl程序来实现权限设置………

  26. iamcj Windows XP Internet Explorer 6.0 on 7月 23rd, 2007 10:23

    HorseLuke 在 2007-07-20 11:32 时说:

    怕就怕有些病毒会采取类似的setacl程序来实现权限设置………

    理论上,早晚会有,呵呵

  27. 匿名 Windows XP Internet Explorer 6.0 on 8月 1st, 2007 10:32

    试试看再说。先谢了。

  28. 匿名 Windows XP Internet Explorer 6.0 on 9月 29th, 2007 18:02

    强!

  29. 匿名 Windows XP Internet Explorer 6.0 on 10月 5th, 2007 23:39

    xiexie bangdamangle

  30. 小想 Windows Server 2003 Internet Explorer 6.0 on 12月 2nd, 2007 15:18

    我的2003SERVER注册表编辑被禁用,如何不被禁用?请指点?

  31. iamcj Windows XP Internet Explorer 7.0 on 12月 3rd, 2007 17:19

    小想 在 2007-12-02 15:18 时说:

    我的2003SERVER注册表编辑被禁用,如何不被禁用?请指点?

    请google搜索“注册表编辑被禁用”,呵呵

  32. 匿名 Windows XP Internet Explorer 6.0 on 12月 6th, 2007 11:38

    我运行QQ就会提示,有盗号木码。找个专杀来杀了也没用。请问有没有好办法。。。。。。。

  33. 匿名 Windows XP Internet Explorer 6.0 on 12月 6th, 2007 11:41

    我运行QQ就会提示,有盗号木码。QQ医生每次都提示已清除,要求重启电脑,重启后还是不行,找个专杀来杀了也没用。请问有没有好办法。。。。。。。

  34. 匿名 Windows XP Internet Explorer 6.0 on 12月 6th, 2007 14:37

    啥也说不出来了,什么叫高手!今天才知道!
    在下已经被苦苦折磨了2个小时了,终于把这个恶魔干掉了!
    以后就拜你为师了!

  35. hq Windows XP Internet Explorer 6.0 on 12月 6th, 2007 19:49

    精彩,转到我的blog了

  36. mailtoawen@gmail.com Windows XP Internet Explorer 7.0 on 12月 11th, 2007 17:20

    感谢作者,可以成功禁止掉autoplay,但有一个问题,设置everyone/denied后不能恢复,即使把everyone/denied删掉也不行,再即使加上everyone/full control也一样。。。

  37. w Windows XP Internet Explorer 6.0 on 12月 11th, 2007 22:33

    Thank you very much!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  38. iamcj Windows XP Internet Explorer 7.0 on 12月 29th, 2007 11:38

    mailtoawen@gmail.com 在 2007-12-11 17:20 时说:

    感谢作者,可以成功禁止掉autoplay,但有一个问题,设置everyone/denied后不能恢复,即使把everyone/denied删掉也不行,再即使加上everyone/full control也一样。。。

    应该是denied的级别较高的缘故?
    为了完美起见,可能以后应该设置具体用户,不过过程就比较繁琐了

    在 2007-12-06 11:41 时说:

    我运行QQ就会提示,有盗号木码。QQ医生每次都提示已清除,要求重启电脑,重启后还是不行,找个专杀来杀了也没用。请问有没有好办法。。。。。。。

    在 2007-12-06 11:38 时说:

    我运行QQ就会提示,有盗号木码。找个专杀来杀了也没用。请问有没有好办法。。。。。。。

    用360试试看吧,呵呵

  39. 冷锋尖兵k Windows XP Internet Explorer 6.0 on 1月 4th, 2008 9:37

    呵呵,不错,借来转一下啊……
    whkkkkvip@126.com

  40. Yurtdisi Egitim Windows XP Mozilla Firefox 2.0.0.12 on 3月 12th, 2008 11:12

    it seems like e very good web site but my Chinese is not good. It would be great if it might be availible in English too. Thanks.

Leave a Reply