Так я называю вирусы, распространяющиеся через autorun.inf. Как известно, именно этот файл используется для задания определенных действий при открытии диска (например, автозапуск CD дисков с играми/софтом).
В случае с вирусами, сложность удаления состоит в том, что в большинстве случаев вирус мониторит свои ключи реестра и файлы, и в случае их удаления пересоздает. Но во всех встреченных in-the-wild вариациях таковых вирусов тело находилось в dll, прописанной как расширение explorer'a. Поэтому рецепт лечения прост и очевиден:
1) Запускаем far. Включаем в нем показ скрытых и системных файлов.
2) Завершаем explorer.exe
3) Удаляем подозрительные файлы из корней всех жестких дисков (Achtung! Не сотрите ntldr, boot.ini,ntdetect.com,config.sys,io.sys - иначе система не запустится)
4) Открываем папку windows\system32, сортируем файлы по дате последнего изменения,
удаляем левые dll с последней датой (Achtung! wpa.dbl не стираем) Но самое правильное - монитором автозагрузки найти и стереть запись об этом расширении оболочки и потом уже удалить соответствующий файл.
Последующие действия описывались в блоге.
понедельник, 13 октября 2008 г.
Если не открываются диски по двойному клику
Эта проблема возникает после удаления некоторых вирусов. Итак, по рабоче-крестьянски это делается так:
1. Открываем regedit
2. Встаем ветку HKCU\Software\Microsoft\Windows\Explorer\MountPoints2\
3. Рассматриваем подветки с именем в виде GUID-a.
4. В тех из них, в которых есть подветка shell\open, shell\autorun с default параметром типа c:\foolavp.com подветку shell сносим.
5. Радуемся жизни.
P.S. Скрипт будет позже
1. Открываем regedit
2. Встаем ветку HKCU\Software\Microsoft\Windows\Explorer\MountPoints2\
3. Рассматриваем подветки с именем в виде GUID-a.
4. В тех из них, в которых есть подветка shell\open, shell\autorun с default параметром типа c:\foolavp.com подветку shell сносим.
5. Радуемся жизни.
P.S. Скрипт будет позже
Подписаться на:
Комментарии (Atom)