|
Сообщения за день | Добавить альбом | Поиск | Правила форума |
|
Опции темы | Опции просмотра |
19.08.2007, 20:18 | #1 |
ﮯﻜ
Регистрация: 03.05.2007
Сообщений: 902
|
Вирус убил файл 'copy.exe'
Вирус убил файл copy.exe, он вроде лежит в папке Windows
Поделитесь им, кому не жалко.. |
19.08.2007, 20:31 | #2 |
Модератор
|
слушай, с чего ты взял что это вирус убил файл, и данный файл необходим системе.
насколько понимаю что сей копи.ехе и есть вирус, если у тебя стоит антиварес, ты просто избавился от ненужного червяка. с чем и поздравляю PS> ну нету такого файла в системном списке, весь дистрибутив перешарил...
__________________
...воспоминания - бесценны |
19.08.2007, 20:35 | #3 |
ﮯﻜ
Регистрация: 03.05.2007
Сообщений: 902
|
Ну вообщем так и получается..
|
19.08.2007, 22:03 | #4 |
MTB DH/Freeride
|
Немного о вирусе и полное удаление из ПК.
Немного о вирусе:
Сам размножается на носители информации, создавая помехи при работе с этими носителями. Вирус является многокомпонентной вредоносной программой, разработанной в Китае под ОС Windows. Размер каждого из вредоносных компонентов разнообразен и колеблется в пределах от 1 до 70 кб. Часть из них написана на языке Microsoft Visual C++, а часть - на Ассемблере. Все компоненты являются PE EXE-файлами (Windows-приложениями), некоторые из которых сжаты утилитой компрессии "MEW". В корне зараженного СНИ присутствуют следующие 3 файла: %drivename%\host.exe - файл, содержащий в себе копию вируса и троянскую программу (размер 70207 байт); %drivename%\copy.exe - вспомогательный файл, используемый для "правильной" инсталляции вируса в систему; %drivename%\autorun.inf - вредоносный файл-дроппер (размер 34 байта), используемый для автозапуска компонента copy.exe при обращении к инфицированному СНИ, а впоследствии - к логическим и сетевым дискам зараженного компьютера через Проводник. Также в меню выбора способа открытия содержимого носителя добавляется дополнительный пункт - второй "Автозапуск". Все это происходит потому, что система воспринимает носитель, содержащий в своем корне файл autorun.inf, как загрузочный, и запрашивает действие пользователя по обработке такого СНИ. Если даже пользователь выберет вариант открытия содержимого диска через Проводник, запуска вируса и заражения системы не произойдет: активизация файла copy.exe возможна только в том случае, если пользователь откроет содержимое носителя через меню "Мой компьютер" (т.е. при двойном щелчке на иконке СНИ в общем списке всех подключенных дисков машины). В этом случае система считывает и выполняет инструкцию из autorun.inf, в результате чего автоматически запускает на выполнение copy.exe. Если же пользователь работает с носителем не через Проводник, а через какой-либо др. менеджер файлов и папок (например, Far Manager или Total Commander), то запуск copy.exe возможен только в том случае, если пользователь собственноручно запустит данный файл. В этом случае вредоносная программа загрузится на выполнение, а на экране появится окно Проводника с содержимым СНИ. Итак, при получении управления copy.exe (написан на Ассемблере и сжат утилитой "MEW") копирует все 3 вредоносные файла в корневой каталог системы под следующими названиями: autorun.inf -> %windir%\autorun.inf copy.exe -> %windir%\xcopy.exe host.exe -> %windir%\svchost.exe Последние 2 имени умышленно выбраны идентичными оригинальным системным компонентам ОС Windows 2K/XP, расположенным, соответственно, как %windir%\System32\xcopy.exe и %windir%\System32\svchost.exe. Далее copy.exe запускает на выполнение основной компонент вируса - %windir%\svchost.exe, а сам завершает свою работу. Компонент svchost.exe (написан на MS Visual C++, не компрессирован) представляет собой "матрешку", содержащую в себе 2 вирусных компонента, которые извлекаются и инсталлируются в систему под нижеприведенными названиями в следующие подкаталоги ОС: для Windows 9X/ME: %windir%\SYSTEM\temp1.exe %windir%\SYSTEM\temp2.exe для Windows 2K/XP: %windir%\System32\temp1.exe %windir%\System32\temp2.exe После этого данные файлы запускаются на выполнение, а компонент вируса svchost.exe завершает свою работу. Удаление: Антивирусы дэтэктируют этот вирус под такими номенклатурными названиями: Антивирус Kaspersky AntiVirus: файл autorun.inf: не дэтэктируется файл copy.exe ( xcopy.exe ): Virus.Win32.Perlovga.a файл host.exe ( svchost.exe ): Trojan-Dropper.Win32.Small.apl файл temp1.exe: Virus.Win32.Perlovga.b файл temp2.exe: Backdoor.Win32.Small.lo Антивирус DrWeb: файл autorun.inf: не обнаруживает файл copy.exe ( xcopy.exe ): Trojan.Copyself файл host.exe ( svchost.exe ): Trojan.MulDrop.4181 файл temp1.exe: Trojan.Copier файл temp2.exe: Trojan.DownLoader.10355 Для удаления всех вирусных компонентов и устранения проблемы блокирования некорректно вылеченных носителей при обращении к ним через Проводник нужно сделать следущее: - проверьте компьютер установленной на нем антивирусной программой; - в случае обнаружения вируса, отключите все сетевые подключения (включая и Интернет), закройте все открытые окна Проводника, после чего при помощи Диспетчера задач завершите вредоносный процесс temp1.exe; - используя программу Total Commander (предварительно включив в ней поддержку просмотра скрытых/системных папок и файлов) или Far Manager, удалите со всех дисков компьютера, а также с подключенных к нему СНИ, вредоносные файлы в корневых каталогах: %drivename%\autorun.inf %drivename%\copy.exe %drivename%\host.exe Также удалите из системы файлы %windir%\autorun.inf %windir%\xcopy.exe %windir%\svchost.exe , а также: для Windows 9X/ME: %windir%\SYSTEM\temp1.exe %windir%\SYSTEM\temp2.exe для Windows 2K/XP: %windir%\System32\temp1.exe %windir%\System32\temp2.exe Если не удалить из корневых каталогов дисков файл-дроппер autorun.inf, то прямое обращение к ним через Проводник (двойной щелчок на иконке диска в общем списке активных носителей) будет заблокировано системой, а на экране появится системное сообщение об ошибке вида После очистки от вируса компьютер необходимо перезагрузить, т.к. Проводник будет хранить в памяти имена всех заблокированных стационарных дисков вплоть до завершения текущего сеанса работы с системой (у съемных - например, USB Flash - до момента их отключения, т.е. достаточно просто вынуть из разъема заблокированную флэшку и вставить ее снова - блокировка пропадет). Это обусловлено использованием специальных потоков данных и некоторых временных ключей реестра (по соображениям безопасности не приводятся). - если Вы пользуетесь Windows 2K/XP или выше, то создайте файл 1.reg, в который впишите следующий текст (указан между "звездочками"): **************************************** REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"=- **************************************** Сделать это можно, например, при помощи системного редактора "Блокнот" (Notepad); далее сохраните созданный файл и запустите его на выполнение. При этом последовательно нажмите опции "Да" и "ОК". Операцию с применением файла 1.reg необходимо проделать по одной простой причине: если не удалить созданную вирусом запись в ключе реестра, то после его (вируса) удаления система при каждом старте будет выдавать на экран 2 последовательных сообщения об ошибке следующего вида:
__________________
Specialized Demo 8 2009 & Marzocchi RC3 WC 2008 |
20.08.2007, 14:24 | #5 |
ﮯﻜ
Регистрация: 03.05.2007
Сообщений: 902
|
Спасибо за помощь
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
файл | чили | Прикладное программное обеспечение | 3 | 11.08.2007 12:47 |
Вирус УБИЛ мой КОМП помогите | Ballistic | Прикладное программное обеспечение | 14 | 13.01.2006 18:59 |
файл Dat | NIK_ER | Прикладное программное обеспечение | 4 | 22.10.2005 00:34 |
ВСЕ-ТАКИ 9.0l | Мильтен | Новости высоких технологий | 0 | 25.09.2005 14:02 |
|