Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
- Отключите компьютер от локальной сети (телефонного провода).
- Перезагрузитесь в безопасном режиме (при загрузке Windows выбрать
"Загрузка в безопасном режиме без поддержки сетевых драйверов").
- Нажатием трех кнопок CTRL + ALT + DEL зайдите в диспетчер процессов. Если найдёте там процессы:
copy.exe host.exe temp1.exe temp2.exe setup.exe setup.pif ielp.exe iehelp.exe lyloader.exe moviemk.exe notaped.exe - удалите их (завершить дерево процессов, или завершить процесс).
Если список процессов не открывается (появляется сообщение, что он заблокирован администратором),
воспользуйтесь программой для разблокировки
SP-Task-Manager-Unlock.
- С помощью FAR (ни в коем случае не вызывайте "Мой компьютер") посмотрите корневые каталоги дисков:
C:\ D:\ E:\ F:\ и т.д. и поищите вышеназванные файлы в них. Например,
C:\COPY.EXE или C:\HOST.exe Если найдёте - удаляйте. - Таким же образом ищите в корневых каталогах всех дисков файлы
autorun.inf autorun.vbs autorun.bat и удалите их. - Подождите минуту, и вновь просмотрите корневые каталоги всех
дисков. Если новые вирусные файлы или файлы autorun.* не появились, то
первоначальную задачу по удалению вируса мы успешно выполнили. Если же
файлы появляются вновь и вновь, значит, в памяти сидит вирус, но
спрятанный под другим именем. Комбинацией клавиш CTRL + ALT + DEL вновь
вызовите диспетчер процессов и незнакомые процессы удалите.
- Выполните ПУСК - НАЙТИ - ПАПКИ И ФАЙЛЫ. Задайте поиск следующих файлов:
copy.exe host.exe temp1.exe temp2.exe - если их найдёте в каталогах Windows или в корневых каталогах дисков - удаляйте. - Выполните ПУСК - ВЫПОЛНИТЬ - regedit - ENTER. Если редактор реестра
не открывается (появляется сообщение, что редактор заблокирован),
воспользуйтесь программой для разблокировки
SP-Regedit-Unlock.
- В редакторе реестра выполните поиск по всему реестру:
copy.exe Если найдёте записи, заканчивающиеся на
" что-то там... RunDLL copy.exe" или похожие
- то смело заменяйте их на
" что-то там... RunDLL"
иначе Вы не сможете открыть диски компьютера через "Мой компьютер". Если найдёте записи, заканчивающиеся на
"explorer.exe copy.exe" или похожие - тоже заменяйте на
"explorer.exe" Если найдёте записи
"copy.exe"- удаляйте. - Перезапустите компьютер в обычном режиме. Если при входе в Windows
появляются сообщения, что не найден такой-то файл (он есть среди
вышеназванных вирусов), то, используя редактор реестра, найдите записи
с данным файлом в реестре и поступайте по аналогии с файлом copy.exe из
предыдущего пункта.
- Запустите FAR и посмотрите, появились ли в корневых каталогах
дисков вирусные файлы и файл autorun.inf Если нет - поздравляю, Вы
справились с вирусом. Если есть, то какой-то другой вирус сидит в
системе. Скачайте утилиту CureIt от DrWeb.com и просканируйте в безопасном режиме все диски. Запускать утилиту нужно с помощью FAR, не используйте "Мой компьютер".
- С помощью FAR проверьте все дискеты и флешки на наличие в их корневых дисков вышеназванных вирусных файлов и файла autorun.inf.
Несколько рекомендаций по предотвращению появления вирусов семейства Trojan.CopySelf - Не пользуйтесь никогда "Моим компьютером". Механизмы работы его
таковы, что он ищет в открываемом диске файл autorun.inf и выполняет
его. Если на флешке или дискете приехал вирус, то он запустится и
начнет размножаться, ожидая всё новые флешки и дискеты.
- Для открытия дисков пользуйтесь FAR или проводником, вызывая
последний комбинацией клавиш: "ОКНО WINDOWS" + E. Также в настройках
проводника установите "показывать расширения файлов" и "показывать
скрытые файлы".
- При подключении Flash - устройств Windows радостно сообщает, что
найдено съемное устройство хранилища файлов и предлагает запустить его!
Запуск устройства аналогичен открытию диска в "Моём компьютере".
Поэтому нужно в диалоговом окне выбрать "Ничего не делать" и поставить
галочку "выполнять это действие всегда".
|
Просмотров: 775
| Рейтинг: 0.0/0 |
|
|
|