Вирус Trojan.CopySelf и его последователи
Если Вы вдруг заметили, что диски в "Моём Компьютере" перестали нормально открываться или постоянно, каждые 10 секунд, "похрюкивает" дисковод - знайте - у Вас поселился вирус Troyan.CopySelf или один из его клонов.
Распечатайте эту инструкцию по лечению и приступайте к удалению вируса с компьютера.
- Отключите компьютер от локальной сети (телефонного провода).
- Перезагрузитесь в безопасном режиме (при загрузке Windows выбрать "Загрузка в безопасном режиме без поддержки сетевых драйверов").
- Нажатием трех кнопок CTRL + ALT + DEL зайдите в диспетчер процессов. Если найдёте там процессы:
copy.exe host.exe temp1.exe temp2.exe setup.exe setup.pif ielp.exe iehelp.exe lyloader.exe moviemk.exe notaped.exe
- удалите их (завершить дерево процессов, или завершить процесс). Если список процессов не открывается (появляется сообщение, что он заблокирован администратором), воспользуйтесь программой для разблокировки SP-Task-Manager-Unlock. - С помощью FAR (ни в коем случае не вызывайте "Мой компьютер") посмотрите корневые каталоги дисков:
C:\ D:\ E:\ F:\
и т.д. и поищите вышеназванные файлы в них. Например,C:\COPY.EXE или C:\HOST.exe
Если найдёте - удаляйте. - Таким же образом ищите в корневых каталогах всех дисков файлы
autorun.inf autorun.vbs autorun.bat
и удалите их. - Подождите минуту, и вновь просмотрите корневые каталоги всех дисков. Если новые вирусные файлы или файлы autorun.* не появились, то первоначальную задачу по удалению вируса мы успешно выполнили. Если же файлы появляются вновь и вновь, значит, в памяти сидит вирус, но спрятанный под другим именем. Комбинацией клавиш CTRL + ALT + DEL вновь вызовите диспетчер процессов и незнакомые процессы удалите.
- Выполните ПУСК - НАЙТИ - ПАПКИ И ФАЙЛЫ. Задайте поиск следующих файлов:
copy.exe host.exe temp1.exe temp2.exe
- если их найдёте в каталогах Windows или в корневых каталогах дисков - удаляйте. - Выполните ПУСК - ВЫПОЛНИТЬ - regedit - ENTER. Если редактор реестра не открывается (появляется сообщение, что редактор заблокирован), воспользуйтесь программой для разблокировки SP-Regedit-Unlock.
- В редакторе реестра выполните поиск по всему реестру:
copy.exe
Если найдёте записи, заканчивающиеся на" что-то там... RunDLL copy.exe" или похожие
- то смело заменяйте их на" что-то там... RunDLL"
иначе Вы не сможете открыть диски компьютера через "Мой компьютер". Если найдёте записи, заканчивающиеся на"explorer.exe copy.exe" или похожие
- тоже заменяйте на"explorer.exe"
Если найдёте записи"copy.exe"
- удаляйте. - Перезапустите компьютер в обычном режиме. Если при входе в Windows появляются сообщения, что не найден такой-то файл (он есть среди вышеназванных вирусов), то, используя редактор реестра, найдите записи с данным файлом в реестре и поступайте по аналогии с файлом copy.exe из предыдущего пункта.
- Запустите FAR и посмотрите, появились ли в корневых каталогах дисков вирусные файлы и файл autorun.inf Если нет - поздравляю, Вы справились с вирусом. Если есть, то какой-то другой вирус сидит в системе. Скачайте утилиту CureIt от DrWeb.com и просканируйте в безопасном режиме все диски. Запускать утилиту нужно с помощью FAR, не используйте "Мой компьютер".
- С помощью FAR проверьте все дискеты и флешки на наличие в их корневых дисков вышеназванных вирусных файлов и файла autorun.inf.
Несколько рекомендаций по предотвращению появления вирусов семейства Trojan.CopySelf
- Не пользуйтесь никогда "Моим компьютером". Механизмы работы его таковы, что он ищет в открываемом диске файл autorun.inf и выполняет его. Если на флешке или дискете приехал вирус, то он запустится и начнет размножаться, ожидая всё новые флешки и дискеты.
- Для открытия дисков пользуйтесь FAR или проводником, вызывая последний комбинацией клавиш: "ОКНО WINDOWS" + E. Также в настройках проводника установите "показывать расширения файлов" и "показывать скрытые файлы".
- При подключении Flash - устройств Windows радостно сообщает, что найдено съемное устройство хранилища файлов и предлагает запустить его! Запуск устройства аналогичен открытию диска в "Моём компьютере". Поэтому нужно в диалоговом окне выбрать "Ничего не делать" и поставить галочку "выполнять это действие всегда".
Разработчики Windows старались сделать операционную систему наиболее близкой к пользователю. Если бы не было вирусов, то не было бы и проблем. К сожалению, из-за вирусов приходится пользователю брать контроль над файлами и дисками в свои руки.
В заключении статьи сообщаю, что вышеназванные вирусы были добавлены в антивирусные базы программ SP-Монитор и SP-Session. Безопасной Вам работы за компьютером.
Дополнительные статьи по теме "Информационная безопасность":
-
Поиск компьютеров, зараженных вирусами
Расшаренные ресурсы и способы закрытия потенциальных уязвимостей
Отключение автозапуска флешки
JavaScript — это язык веб-программирования, работающий на стороне клиента, позволяющий автоматизировать какую-либо деятельность на странице сайта, не нагружая сервер. Вся нагрузка лежит на компьютере пользователя. В нем можно создавать функции, а также использовать базовые алгоритмы, состоящие из следования-ветвления-цикла. Чаще всего программный код на языке JavaScript обрабатывается обычными веб-браузерами. |
Интересные материалы на сайте:
|