«Малката» - е името на вируса, който се разпростира на сменяеми носители в скрит «преносим» папка. Този вирус е написан на Visual Basic, и е с площ от 188 KB.
Може би не трябва да прекарват време в проучване на вируса, написана от някой ученик на незадължителните класовете по компютърни науки, но ние трябва да отдадем почит на създателя на вируса: нападателя е овладял нов ключ на системния регистър [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]. Преди това, авторите на вируси са млади само е знаел за съществуването на раздел стартиране на програмата: [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]. По-късно, учениците се досетили за използване на ключ «Шел», за да стартирате вирус с «explorer.exe» програма.
По този начин, Little.exe вирус при стартиране се копира в директория "C: \ Users \ Test-PC \ AppData \ Roaming \», където е кръстен изпълнимия файл «insnts.exe». Трябва да се отбележи, такова поведение на вируса са склонни да се движат по операционната система Windows 7. В Windows XP, пътя до файла ще бъде различно, тъй като по подразбиране в Windows XP, потребителят работи като корен, съответно, вирусът ще получите повече правомощия. Въпреки това, вирусът е започнал при нормални потребителски акаунт в Windows 7 и се е регистрирал, за да го стартирате по достъпен ключ на системния регистър.
Разпознава вирус в системата, веднага се опита да го премахнете и да забравите за нея, но вирусът е просто ще се откажа. В списъка с процеси на вируса не се появи, но не си позволявайте да се отстранят, като премахнете, тъй като тя е била използвана от друг процес, или по-скоро «explorer.exe».
Второто нещо, което аз се опитах да се вземат - е да се редактират «Шел» ключ на системния регистър клон [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], но вирусът се добавя отново пътя до изпълнимия файл на вируса в «Шел» ключ на системния регистър.
Разбира се, ако се опитате да качите списък с «Explorer.exe» процеси, «insnts.exe» вирус файл може да бъде изтрита без проблеми, но можете да го направите по-интересен начин, както ще обясня по-долу.
Както видяхме, когато стартирате вирусни регистри в системния регистър под [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]:
Най-зловреден софтуер е променила параметъра на «Шел» ключ на системния регистър «explorer.exe» на «explorer.exe, C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe», т.е. в допълнение към стартирането «explorer.exe» при компютър започва да зареди като вирус. «Тест-PC» тук е името на профила, би било логично да се предположи, че името на профила, който ще бъде различен, но същността не се променя.
Ако не сте сигурни в рамките на които се падат работите, или къде да намеря ключа "на Shell", след това отворете регистър, както следва :. Натиснете комбинацията от Появява «Win + R» прозорец и "Run"
Въведете команда «регентство» в този прозорец и натиснете «ОК». Сега последователно разкрива клон на регистъра [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] и изберете клон «Winlogon», в дясно ще видите ключа на системния регистър «Шел».
Можете да експериментирате с премахването или промяната на «Шел» ключов параметър, но вирусът ще провери параметър низ ключ «C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe». Ако се опитате да промените или да добавите всяко писмо или символ в този ред, вирусът ще дублира веднага в «Шел» ключов параметър е пътя до изпълнимия файл на вируса. При изтриване на «Шел» ключ, вирусът е мигновено създава отново. Какво правите, когато не можете да го редактирате, да ни искат?
Нека да напишете проста Bat-файл. Така че, отворен Notepad и въведете следните два реда в него:
приписвам -s -h -r C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe
Нека да се справят с нашата променяща се. Числото в скоби, е нашият начин да писменото ни Bat-файл. Освен това, след запетаята стартира «explorer.exe» програма, а след това отново има запетая и наклонената черта, но сега само след пътя към вируса на «Little.exe».
Какво става тук и защо вирусът вече не се променя нищо? Отговорът е прост: преди пътя до изпълнимия файл, ще добавя наклонена черта, и вирусът не забеляза никакви промени.
Втората линия е вече премахва файла от която отстранихме атрибути. Отстраняването се случва с помощта на «дел» екип. За компютъра, за да знае какъв вид на файла, който искате да изтриете екипа «дел» отчитаме пълния път до файла.
Ако сега ви свършат нашата файл «DelLittle.bat», нищо няма да се случи, защото файлът е в «explorer.exe» приложение. Ето защо, ние променихме «Shell» ключов начин: «D: \ DelLittle.bat, explorer.exe, / C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe».
Когато започнете първото стартиране на компютъра, която сме създали «DelLittle.bat» и след това «explorer.exe», като файла с вирус няма да започне, тъй като ние сме вложили наклонена черта след десетичната запетая. Бъдете внимателни, ако поставите наклонена черта преди десетичната запетая, програма «explorer.exe задачите» няма да започне, и вие ще виждате само черен екран. Въпреки, че нищо страшно няма да се случи, вирусът ще бъдат премахнати. Ето защо е важно да се доставят точния наклонената черта, така че не може да бъде стартирана на вируса, и тъй като всичко, което е в дясно от наклонена черта, ще се разглежда като допълнителен параметър. Разумно да се предположи, че програма «explorer.exe» вариантът за «C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe», а след това нищо няма да се случи.
След тези манипулации рестартирате компютъра. След включване на компютъра, ние може да гарантира, че няма досие «insnts.exe» в «C: \ Users \ Test-PC \ AppData \ Roaming \» папка. Просто трябва да се коригират параметрите «Шел» ключ правилно. Премахване на всички, но «explorer.exe». Това означава, че основният критерий трябва да бъде не запетаи, без черти, веднага след като програмата Explorer «explorer.exe на задачите».
В този момент можете да сложите един огромен, а натиснете «Влез» След редактиране «Шел» ключов параметър.
Подобно на сайта? Кажете на приятелите си за това: