Vírusok elleni küzdelem

Első sor

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@ SYS: DoesNotExist"

helyettesíti az Autorun.inf fájl értékét a "nem létezik" értékkel a rendszerleíró adatbázisban, és a rendszer egyszerűen nem fogadja el ezeket a fájlokat.

Második sor

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000DF

a CD-ROM kivételével minden lemezt letilt
A DF értéke a következő adatokból áll:

0x01 (DRIVE_UNKNOWN) - meghajtó, amelynek típusát nem lehet meghatározni
0x02 (DRIVE_NO_ROOT_DIR) egy érvénytelen gyökérű lemez (hálózati "golyók"?)
0x04 (DRIVE_REMOVABLE) - cserélhető lemez (floppy, flash drive)
0x08 (DRIVE_FIXED) - nem cserélhető lemez (merevlemez)
0x10 (DRIVE_REMOTE) - hálózati meghajtó
0x20 (DRIVE_CDROM) - CD meghajtó
0x40 (DRIVE_RAMDISK) - virtuális lemez (RAM lemez)
0x80 (DRIVE_FUTURE) - jövőbeli eszközök típusa

Az összes érték összege 0xFF. de a 0xFF értéke 0x20 = 0xDF, ezért elhagyjuk az autorunot a CD meghajtóhoz.

1. Távolítsa el a wscript.exe folyamatot
2. Törölje a "Removable Disk" mappát a "Program Files"
3. Törölje az autorun.inf és az usb.wsf fájlt a flash meghajtó vagy a hálózati meghajtó gyökerén, vagy ahol láthatók Уда
4. Törölje a bejegyzést a rendszerleíró adatbázisban [HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ Removable Disk]

Az új év sok mulatsággal kezdődött. A Win32.Sality.aa vírus AVP-nek minősül. ez is Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 a Dr.Web osztályozás szerint.

Ismerem a módszert.

Kapcsolódó cikkek

• Hogyan kell eltávolítani a kriptográfiai vírust?

• A vírusok eltávolítása a számítógépről, árak Nizhny Novgorodban, pihenés

• Számítógépes kezelés Voronezh vírusai ellen, fertőzött számítógépes programok és pop-upok eltávolítása