Disable the autorun.inf forever
在前面的Make a anti-autorun batch中,我们讨论了如何通过禁止Shell Hardware Detection服务的方式,来屏蔽光盘/优盘插入时候的自动运行,转载到cnbeta之后,也有相当多的讨论,去掉中间没有营养的不说,里面提出了3点值得注意:
- 通过rd /s /q,可以直接删除包含带点目录的autorun.inf目录;
- 通过改名操作,也可以直接对包含带点目录的autorun.inf目录进行重命名;
- 禁用Shell Hardware Detection,会使得系统无法识别CD/DVD的驱动器类型;
最重要的是,就算禁用了自动运行,大部分的用户,还是因为在我的电脑里面的双击盘符操作,而”手动调用自动执行”,从而感染病毒……OK,今天的主角出场!
参考cnbeta上的cnlong朋友的意见,测试通过,通过注册表编辑器+权限控制,彻底杜绝双击盘符情况下的autorun.inf调用,具体的办法如下:
- 开始——运行——regedit;
- 定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2; - 在MountPoints2上右键——权限;
- 添加——输入everyone——检查名称——确定;
- 选择完全控制栏的拒绝,应用,对安全警告回答是;
应该算是比较完美的方案了:经过这样的权限设置,任何情况下的autorun.inf调用将被屏蔽,在默认状态下,带autorun的光盘和优盘被装载的时候,目录会被打开,双击盘符的结果是打开目录,而不是执行程序,同时,右键也不会出现任何形式的自动运行菜单。
分析一下,那个键值应该就是Windows用来记录和管理双击盘符和盘符上的右键菜单的,在里面查找,然后决定执行什么操作,仔细查看的话,你会发现更多的内容。我们把这个键值的操作权限对everyone屏蔽之后,系统无法访问到这个对应表,于是只有打开的操作。
两篇文章里面提到的内容相结合,应该可以彻底的解决自动运行、以及双击盘符带来的染毒问题了,开心!
2007-06-14:更新,直接通过setacl来实现权限设置,在这儿下载,然后执行即可。用到了第三方软件setacl,版本0.87,测试通过,软件作者Helge Klein,网站:www.helge.mynetcologne.de/setacl,最新版本0.904,但是新版本不能操作这个键值,所以继续采用老版本。
——
·本文由 iamcj 原创,采用
“CC创作共用”方式共享
6月 14th, 2007 at 20:34
早些时候清除rose病毒时接触过这个注册表项
[ 引用 ]6月 14th, 2007 at 20:38
注册表真是个麻烦的东西@%#&@#(*@&
[ 引用 ]6月 14th, 2007 at 21:59
[…] Update: 网友iamcj提醒我说这样还是会出现菜单,我仔细看了一下,才偶然记起在很久以前做ghost备份时,是禁用了Shell Hardware Detection服务的,所以上文中提及的办法,仅仅能够阻止autorun.inf中设置的程序自动运行,创建右键的欺骗菜单无法阻止,要彻底去掉右键菜单被autorun控制,禁用掉Shell Hardware Detection服务就可以了,从iamcj这里知道禁用掉后系统会无法正确显示光驱的类型(CD或者DVD),不过使用是完全不受影响的,另外一种不错的解决办法也可以在iamcj那里看到,不过最简单的还是禁用掉Shell Hardware Detection服务,这样还能省点系统资源。 […]
[ 引用 ]6月 14th, 2007 at 22:54
发现一个变化^^
本来是“leave a reply”现在是“有什么想说的呢。。。”
哈哈,我是不是很强?我是柯南,哦也
[ 引用 ]6月 14th, 2007 at 23:19
这个是我下午改的,哈哈
[ 引用 ]6月 14th, 2007 at 23:34
vista好像对你的那个bat没有反应?
[ 引用 ]6月 14th, 2007 at 23:54
1、vista自带的那个权限控制,应该可以防范大部分的病毒和木马,只要自己不要什么都不看就授权就行。
[ 引用 ]2、bat执行应该没回应的,直接看看光盘右键还有没有自动运行的菜单就知道了;
3、有人说win2k里面注册表位置也不同,vista可能也是,呵呵。
6月 15th, 2007 at 6:59
不错的方法, 收下了!
你的链接我也做好了, 有空多交流.
[ 引用 ]6月 15th, 2007 at 8:44
欢迎欢迎,一定一定:)
[ 引用 ]6月 15th, 2007 at 10:45
不错的文章,转摘到我的博客了。
[ 引用 ]http://blog.e4dai.info/
6月 15th, 2007 at 11:09
欢迎转载
[ 引用 ]6月 15th, 2007 at 17:41
[…] http://www.iamcj.net/blog/2007/06/14/disable-the-autoruninf-forever/ […]
[ 引用 ]6月 15th, 2007 at 21:07
哈哈,不错
[ 引用 ]6月 18th, 2007 at 19:29
谢谢!太棒了,可以充分减少u盘自动播放而带来的苦恼了
[ 引用 ]6月 29th, 2007 at 16:48
我一直在寻找终结u盘病毒的方法,可惜都失败了,autorun.inf文件夹的方式的确被改名这一招轻松击破。我本来想通过策略组禁止u盘下的inf文件运行,后来发现不行,只能禁止双击inf文件的运行,无法阻止双击硬盘是inf的运行,你厉害,佩服。
[ 引用 ]7月 11th, 2007 at 11:08
请问”通过rd /s /q”是什么意思?
[ 引用 ]我的电脑中了autotun.inf 这个病毒了..貌似都感染了“5555“咋办呢?我好笨的“都不会搞这些.
请问重新做系统是不是就没在了?
可是我有些重要文件不得不用啊..这病毒搞的我都不敢复制.格了的话又用不了了吧?
快点教我吧“我弄2天了!
7月 12th, 2007 at 22:24
rd是内部命令,本来用来删除目录,rd=remove directory,/s和/q都是参数,/s意味着递归调用,相当于deltree的作用,/q表示直接确认。
[ 引用 ]现在来说,3.5版本的360safe基本可以解决问题,再配合nod32或者kaspersky就好了。
重装系统之后,病毒会消失,但是如果其他的硬盘分区或者移动硬盘(优盘)带毒,同样会再次感染的。
7月 14th, 2007 at 21:22
我其他盘都中了这个毒!
[ 引用 ]7月 14th, 2007 at 21:23
我其他盘都中了这个毒!怎么解决啊?我不回弄这些啊!
[ 引用 ]7月 15th, 2007 at 23:00
我说的很明白了,下360安全卫士,杀,建议再找一个nod32或者卡巴斯基之类的杀毒软件配合
[ 引用 ]7月 16th, 2007 at 20:31
我是XP的,注册表打开不是图示那个样子的,你的是98吧~是不是直接拒绝就行了~
[ 引用 ]7月 16th, 2007 at 20:36
不好意思~知道怎么办了~问一下~为什么在admin下拒绝不行?想运行的话是不是再改成允许就行了~
[ 引用 ]7月 17th, 2007 at 10:48
当然不是98,呵呵,我的过程好像已经写得比较清楚了啊
[ 引用 ]7月 17th, 2007 at 10:51
对admin拒绝不行,因为autorun一般不会用admin身份运行,应该是system吧,反正对everyone设置是保险的。想运行的话,修改成允许即可。不过我以为没有必要冒这个风险,真的需要的话,看一下autorun.inf的内容,然后手动执行好了。
[ 引用 ]7月 20th, 2007 at 11:32
怕就怕有些病毒会采取类似的setacl程序来实现权限设置………
[ 引用 ]7月 23rd, 2007 at 10:23
理论上,早晚会有,呵呵
[ 引用 ]8月 1st, 2007 at 10:32
试试看再说。先谢了。
[ 引用 ]9月 29th, 2007 at 18:02
强!
[ 引用 ]10月 5th, 2007 at 23:39
xiexie bangdamangle
[ 引用 ]12月 2nd, 2007 at 15:18
我的2003SERVER注册表编辑被禁用,如何不被禁用?请指点?
[ 引用 ]12月 3rd, 2007 at 17:19
请google搜索“注册表编辑被禁用”,呵呵
[ 引用 ]12月 6th, 2007 at 11:38
我运行QQ就会提示,有盗号木码。找个专杀来杀了也没用。请问有没有好办法。。。。。。。
[ 引用 ]12月 6th, 2007 at 11:41
我运行QQ就会提示,有盗号木码。QQ医生每次都提示已清除,要求重启电脑,重启后还是不行,找个专杀来杀了也没用。请问有没有好办法。。。。。。。
[ 引用 ]12月 6th, 2007 at 14:37
啥也说不出来了,什么叫高手!今天才知道!
[ 引用 ]在下已经被苦苦折磨了2个小时了,终于把这个恶魔干掉了!
以后就拜你为师了!
12月 6th, 2007 at 19:49
精彩,转到我的blog了
[ 引用 ]12月 11th, 2007 at 17:20
感谢作者,可以成功禁止掉autoplay,但有一个问题,设置everyone/denied后不能恢复,即使把everyone/denied删掉也不行,再即使加上everyone/full control也一样。。。
[ 引用 ]12月 11th, 2007 at 22:33
Thank you very much!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[ 引用 ]12月 29th, 2007 at 11:38
应该是denied的级别较高的缘故?
为了完美起见,可能以后应该设置具体用户,不过过程就比较繁琐了
用360试试看吧,呵呵
[ 引用 ]1月 4th, 2008 at 9:37
呵呵,不错,借来转一下啊……
[ 引用 ]whkkkkvip@126.com
3月 12th, 2008 at 11:12
it seems like e very good web site but my Chinese is not good. It would be great if it might be availible in English too. Thanks.
[ 引用 ]