В конец уже заколебали меня затейники вирусной компании "отправь смс за гей-порно" :).
Конечно, есть весьма занятные варианты вирусов, но в основном базируются они в ключах:
"Shell"="\"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Ну какой там тест еще запускается с моего рабочего стола, ну че за фигня :))
Параметр "Userinit":
правильный выглядит так:
"Userinit"="с:\\windows\\system32\\userinit.exe"
зараженный выгладит так:
"Userinit"="с:\\windows\\system32\\userinit.exe, с:\\windows\\system32\\test.exe"
Как говорится - почувствуйте разницу!!
Параметр "Shell":
правильный выглядит так:
"Shell"="explorer.exe"
зараженный выгладит так:
"Shell"="explorer.exe \"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Это классика жанра.
Бывают еще варианты с переименованием файлов. Но опять же, имеет смысл сперва проверить реестр, внимательно глядя на названия файлов или проверяя их свойства.
Читать дополнительно:
89879072197, типа помогите кто можете, сами мы не местные...
Уже даже есть стандартный алгоритм как однозначно выцепить winlock и давно, а волны все идут и идут.
Если человек имеет опыт работы с реестром (да и просто не боится это сделать, потому как все когда то начинали), то удаление вируса не представляет для него никакой проблемы.
Набор ключей в реестре, куда прописывается вирус прост. Достаточно просто проверить 2-3 ветки реестра, чтобы однозначно сказать где лежит вирус и что с ним делать.
Конечно, есть весьма занятные варианты вирусов, но в основном базируются они в ключах:
- НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Shell"="\"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Ну какой там тест еще запускается с моего рабочего стола, ну че за фигня :))
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Параметр "Userinit":
правильный выглядит так:
"Userinit"="с:\\windows\\system32\\userinit.exe"
зараженный выгладит так:
"Userinit"="с:\\windows\\system32\\userinit.exe, с:\\windows\\system32\\test.exe"
Как говорится - почувствуйте разницу!!
Параметр "Shell":
правильный выглядит так:
"Shell"="explorer.exe"
зараженный выгладит так:
"Shell"="explorer.exe \"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Это классика жанра.
Бывают еще варианты с переименованием файлов. Но опять же, имеет смысл сперва проверить реестр, внимательно глядя на названия файлов или проверяя их свойства.
Читать дополнительно:
Комментариев нет:
Отправить комментарий