今天在公司發現有一隻病毒,會寫一串機碼在登錄檔中,
想嘗試寫成bat來刪除病毒時,卻遇到了一個很大的問題...
登錄檔的位置在HKEY_Users\S-1-15-21-xxxxxxxxxxx-xxxxxxxxxx-xxxx\底下,
但因為S-1-15-21-後面的值會隨著不同的SID會有不同的值,
不知道有沒有辦法讓他自動搜尋只要符合S-1-15-21,
然後去刪除裡面關於\Software\Microsoft\WindowsNT\Winlogon\底下
與病毒有關連的機碼呢?
因Google了很久都找不到相關的方法,不知道版上有沒高手可以教一下...
--
想嘗試寫成bat來刪除病毒時,卻遇到了一個很大的問題...
登錄檔的位置在HKEY_Users\S-1-15-21-xxxxxxxxxxx-xxxxxxxxxx-xxxx\底下,
但因為S-1-15-21-後面的值會隨著不同的SID會有不同的值,
不知道有沒有辦法讓他自動搜尋只要符合S-1-15-21,
然後去刪除裡面關於\Software\Microsoft\WindowsNT\Winlogon\底下
與病毒有關連的機碼呢?
因Google了很久都找不到相關的方法,不知道版上有沒高手可以教一下...
--
All Comments