Методы
борьбы с этим вирусом практически не отличаются от его собрата, кроме
небольшого нюанса. Эта зараза добавила несколько дополнительных файлов.
Теперь
подробней о лечении.
1. Не
пытайтесь перезагрузить компьютер и выйти в безопасный режим. Это бесполезное
занятие т.к. вирус сидит у вас уже довольно давно , примерно судки (есть
предположение что в вирусе дополнительно встроен счётчик перезагрузок) примерно
через три перезагрузки вылезает этот зверёк.
2. Качаем
программу procexp или запускаем её если есть.
3. Отключаем
процесс (красный крестик на панели управления) plugin.exe и удаляем
одноимённый файл по маршруту "C:\Program Files\plugin.exe"
4. Затем
находим в поиске проги процесс sdra64.exe и жмём кил (красный крестик на
панели управления) и удаляем одноимённый файл по маршруту
"C:\WINDOWS\system32\sdra64.exe"
5. Находим
ещё 2 файла "42ebca25.exe" и "NSE8Elw.exe"
"C:\WINDOWS\system32\42ebca25.exe"
"C:\WINDOWS\system32\NSE8Elw.exe"
6. Для
удаления папки где вирус хранит сои настройки необходимо изменить свойства
отображения папок. Так чтоб отображались системные папки.
6.1 Так как
папка system32 у нас открыта жмём "Сервис-->Свойства
папки...-->Вид-->снимаем галочку в строке где написано "Скрывать
защищённые системные файлы (рекомендуется)" и ставим точку в строке
"Показывать скрытые файлы и папки"
6.2 Жмём ОК.
7. Далее
удаляем папку lowsec "C:\WINDOWS\system32\lowsec". В ней два
файла local.ds и user.ds
8. Теперь
нужно перезагрузить комп. Возможно он в обычном режиме не перегрузится поэтому
можно через аварийную кнопку Рестарт.
9. Ну вот,
осталось почистить реестр.
9.1 Заходим
в "ПУСК" -->Выполнить--> и набираем команду в командной
строке regedit и идём по маршруту HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
чистим этот
файлик и оставляем только часть строки в которой написано
c:\windows\system32\userinit.exe
10. Всё
перезагрузить и проверьте реестр чтоб он не моменял строку
|