Так я называю вирусы, распространяющиеся через autorun.inf. Как известно, именно этот файл используется для задания определенных действий при открытии диска (например, автозапуск CD дисков с играми/софтом).
В случае с вирусами, сложность удаления состоит в том, что в большинстве случаев вирус мониторит свои ключи реестра и файлы, и в случае их удаления пересоздает. Но во всех встреченных in-the-wild вариациях таковых вирусов тело находилось в dll, прописанной как расширение explorer'a. Поэтому рецепт лечения прост и очевиден:
1) Запускаем far. Включаем в нем показ скрытых и системных файлов.
2) Завершаем explorer.exe
3) Удаляем подозрительные файлы из корней всех жестких дисков (Achtung! Не сотрите ntldr, boot.ini,ntdetect.com,config.sys,io.sys - иначе система не запустится)
4) Открываем папку windows\system32, сортируем файлы по дате последнего изменения,
удаляем левые dll с последней датой (Achtung! wpa.dbl не стираем) Но самое правильное - монитором автозагрузки найти и стереть запись об этом расширении оболочки и потом уже удалить соответствующий файл.
Последующие действия описывались в блоге.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий