перший рядок
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@ SYS: DoesNotExist"
замінює в реєстрі значення файлу Autorun.inf на значення «не існує» і система просто не сприймає ці файли.
Другий рядок
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000DF
відключає автозапуск всіх дисках, крім CD-ROM'a
Значення DF формується з наступних даних:
0x01 (DRIVE_UNKNOWN) - привід, тип якого не може бути визначений
0x02 (DRIVE_NO_ROOT_DIR) - диск з невалідним коренем (мережеві "кулі"?)
0x04 (DRIVE_REMOVABLE) - знімний диск (дискети, флешки)
0x08 (DRIVE_FIXED) - незнімний диск (жорсткий диск)
0x10 (DRIVE_REMOTE) - мережевий диск
0x20 (DRIVE_CDROM) - CD-привід
0x40 (DRIVE_RAMDISK) - віртуальний диск (RAM-диск)
0x80 (DRIVE_FUTURE) - майбутні типи пристроїв
Сума всіх цих значень дорівнює 0xFF. але 0xFF - 0x20 = 0xDF і таким чином залишаємо автозапуск для CD-приводу.
- Видаляємо процес wscript.exe
- Видаляємо папку "Накопичувач" в "Program Files"
- Видаляємо самі файл autorun.inf і usb.wsf в корені флешки або мережевого диска, або взагалі де їх побачимо 🙂
- Видаляємо запис в реєстрі [HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ Накопичувач]
Новий рік почався весело. Проник вірус Win32.Sality.aa за класифікацією AVP. він же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 за класифікацією Dr.Web.
Я опишу свій спосіб.