ключ реестра

[ОЛЕГ ЛЕВЧУК]

Здравствуйте !

Сегодня один товарищ принес флешку , попросил на вот запиши мне пару фильмов , я вставил флешку , запустил на полную проверку , а там как у улику пчел )) , но антивирус сработал как полагается , товарищу конечно не выдержал и дал рекомендации . Так вот прочитал о данной бяке , и заинтересовали некоторые ключи реестра в которые себя прописывает Virus.Win32.Sality.aa .

В самом низу есть мануал как вылечится после заражения если нет или не было антивируса в момент заражения .

Там изложено что

Удалить параметры в ключах реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"Hidden"=dword:00000002 - я так понял это показывать или нет скрытые файлы и папки.

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\

AuthorizedApplications\List] "<путь_к_оригинальному_файлу_червя>"="<путь_к_оригинальному_файлу_червя>:*:Enabled:ipsec"

Так вот прошёл по HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List ветке реестра и там у меня вот так

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Program Files (x86)\\Sierra Wireless Inc\\Watcher\\SwiApiMux.exe"="C:\\Program Files (x86)\\Sierra Wireless Inc\\Watcher\\SwiApiMux.exe:*:Enabled:SwiApiMux"

"C:\\Program Files (x86)\\Sierra Wireless Inc\\Watcher\\TRUUpdater.exe"="C:\\Program Files (x86)\\Sierra Wireless Inc\\WebUpdater\\TRUUpdater.exe:*:Enabled:TRUUpdater"

@=""

там прописаны какие то параметры моего модема , нужно ли это удалять или нет ?

 

PS.

Когда я его спросил куда ты втыкал свою флеш , он ответил что ему в сервисном центре магазина "Маяк" это в Б.Цервки музыку записывали ) ,

круто подумал я ,

спрашиваю а после закачки музыки флешка где нибудь ище была ,

он ответил да , втыкал себе в комп (перекачал музыку на жесткий диск), но у меня ничего подозрительного не было говорит ( у него стоит Аваст для домашнего использования ) . Но тут вопрос вырус с магазина или с его ПК .

 

Еще в ветке HKEY_CURHKEY_CURRENT_USER есть пустые подветки

HKEY_CURRENT_USER\@ы(

HKEY_CURRENT_USER\@ы0

HKEY_CURRENT_USER\ђ7)

HKEY_CURRENT_USER\ђ71

HKEY_CURRENT_USER\Р2>

 

можно ли их удалить ? ( абра кадабра кака я то )

Изменено 21 января, 2012 пользователем ОЛЕГ ЛЕВЧУК

[Cosmic radiation]

если нет или не было антивируса в момент заражения .

оставьте винду в покое, если хочется поиграться и похимичить в регистре, сделайте резервную копию реестра или даже образ винды, это вам такой совет человеческий. Ну или хотя бы контрольную точку для востановления, я так понимаю заражения не было. Ни чего вируснёвого, в том что ваша приблуда к модему включена, а так же включено ее обновления нет, а в HKEY_CURRENT_USER\ этих ветках хранятся настройки пользователей винды, скорее всего эти пользователи подразумевались но из ни кто не включал.... удаление пяти строчек в реестре состоящем из тысяч строк погоды не делает.... не мучайте себя и ваш компьютер Изменено 21 января, 2012 пользователем Cosmic radiation

[Денис-НН]

Здравствуйте !

Сегодня один товарищ принес флешку , попросил на вот запиши мне пару фильмов , я вставил флешку , запустил на полную проверку , а там как у улику пчел )) , но антивирус сработал как полагается ,

Раз антивирус отработал как полагается, то нет смысла заниматься ручным лечением и ковыряться в реестре.

 

Так вот прочитал о данной бяке , и заинтересовали некоторые ключи реестра в которые себя прописывает Virus.Win32.Sality.aa .

В самом низу есть мануал как вылечится после заражения если нет или не было антивируса в момент заражения .

Салити очень неприятная штука, и по хорошему, после лечения проще переустановить систему, чем манипулировать с реестром.

 

Надёжно и просто вылечить такой вирус можно только используя KRD.