PDA

Просмотр полной версии : Как избавиться от VBS.Redlof



Alexey P.
19.09.2004, 13:25
Для начала можете почитать описание VBS.Redlof на сайте ДиалогНауки здесь (http://antivir.ru/inf/virus.php?id=97).
Вирус попадает на компьютер, используя
уязвимость в системе безопасности MS Internet Explorer. Очень рекомендуется установить все заплатки (критические обновления) для вашей ОС от Microsoft на сайте WindowsUpdate (http://v4.windowsupdate.microsoft.com/ru/default.asp)

Инструкции по удалению: (Перевод инструкций в основном из
описания на английском (http://securityresponse.symantec.com/avcenter/venc/data/vbs.redlof.a.html) на сайте Symantec.)


1) Убедитесь, что вы используете самую свежую версию вашего антивируса и последние дополнения вирусных баз к нему.
2) Загрузитесь в Safe Mode, сделайте проверку всего компьютера антивирусом и удалите все зараженные файлы (если, конечно, среди зараженных нет ценных для вас файлов).
3) Устраните изменения, которые вирус внес в реестр. (Если они остались после лечения антивирусом).

Пункт 3 в подробностях:
Для начала рекомендуется сделать бэкап (резервную копию) реестра, прежде чем вносить в него изменения.
(Как это сделать написано на английском здесь (http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617))

1. Запустите редактор реестра (Пуск -> Выполнить -> введите regedit и нажмите ОК)
2. Откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
3.(В правом разделе редактора реестра) удалите значение :
Kernel32
4. Откройте ключ реестра
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\
Microsoft\Outlook Express\[Outlook Version].0\Mail
5. Удалите значения :
Compose Use Stationery
Stationery Name
Wide Stationery Name
6. Откройте ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Ou tlook\Options\Mail
7. Удалите значение :
EditorPreference
8. Удалите следующие ключи реестра:
HKEY_CLASSES_ROOT\dllFile\Shell
HKEY_CLASSES_ROOT\dllFile\ShellEx
HKEY_CLASSES_ROOT\dllFile\ScriptEngine
HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode
9. Выйдите из редактора реестра.

Спасибо автору этой статьи - kps <kiri-ps(at)mail.ru>, перенесено с http://www.israword.co.il/drweb/