Vírusok elleni küzdelem
Első sor
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@ SYS: DoesNotExist"
helyettesíti az Autorun.inf fájl értékét a "nem létezik" értékkel a rendszerleíró adatbázisban, és a rendszer egyszerűen nem fogadja el ezeket a fájlokat.
Második sor
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000DF
a CD-ROM kivételével minden lemezt letilt
A DF értéke a következő adatokból áll:
0x01 (DRIVE_UNKNOWN) - meghajtó, amelynek típusát nem lehet meghatározni
0x02 (DRIVE_NO_ROOT_DIR) egy érvénytelen gyökérű lemez (hálózati "golyók"?)
0x04 (DRIVE_REMOVABLE) - cserélhető lemez (floppy, flash drive)
0x08 (DRIVE_FIXED) - nem cserélhető lemez (merevlemez)
0x10 (DRIVE_REMOTE) - hálózati meghajtó
0x20 (DRIVE_CDROM) - CD meghajtó
0x40 (DRIVE_RAMDISK) - virtuális lemez (RAM lemez)
0x80 (DRIVE_FUTURE) - jövőbeli eszközök típusa
Az összes érték összege 0xFF. de a 0xFF értéke 0x20 = 0xDF, ezért elhagyjuk az autorunot a CD meghajtóhoz.
- Távolítsa el a wscript.exe folyamatot
- Törölje a "Removable Disk" mappát a "Program Files"
- Törölje az autorun.inf és az usb.wsf fájlt a flash meghajtó vagy a hálózati meghajtó gyökerén, vagy ahol láthatók Уда
- Törölje a bejegyzést a rendszerleíró adatbázisban [HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ Removable Disk]
Az új év sok mulatsággal kezdődött. A Win32.Sality.aa vírus AVP-nek minősül. ez is Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 a Dr.Web osztályozás szerint.
Ismerem a módszert.