Опублiковано 20 серпня 2003 року
Компанія Network Associates повідомляє спосіб виявлення і нейтралізації вірусу Sobig.F. Про
наявність вірусу в системі свідчать наступні симптоми:
1. У системній папці Windows є присутній файл WINPPR32.EXE. Той же файл згаданий у списку
запущених процесів системи (список можна побачити, натиснувши клавіші Ctrl, Alt і Del).
2. У реєстрі Windows присутні наступні рядки:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Tray" = C:\WINNT\WINPPR32.EXE /sinc
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Tray" = C:\WINNT\WINPPR32.EXE /sinc
Щоб позбутися від вірусу, необхідно видалити з диска файли вірусу і стерти всі
записи вірусу в реєстрі. Для цього в операційній системі Win9x/ME необхідно
перезавантажитися в безпечний режим роботи (Safe Mode) і видалити файли WINPPR32.EXE і
WINSTT32.DAT із системної папки Windows. У реєстрі необхідно видалити змінну Tray з папок
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run і HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В
операційній системі Windows NT/2000/XP перезавантажуватися в безпечний режим
необов'язково - досить у диспетчері задач видалити процес WINPPR32.EXE.
