Claims (12)
1. Способ лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом способ содержит этапы, на которых:1. A method of treating a malicious program in a computer having multiple copies of the same activated malicious program, wherein multiple copies control the existence of each of them, the method comprising the steps of:
(a) идентифицируют наличие вредоносной программы в компьютере;(a) identify the presence of malware on the computer;
(b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;(b) then block any actions that allow one active copy of the malware to activate another copy of the malware;
(c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него;(c) after which the malicious program code and links to it are deleted from the permanent storage device;
(d) перезагружают компьютер.(d) restart the computer.
2. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в постоянную память.2. The method according to claim 1, in which said actions include locking write to read-only memory.
3. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в системный реестр.3. The method according to claim 1, in which said actions include locking records in the system registry.
4. Способ по п.1, в котором упомянутые действия включают в себя блокировку запуска новых процессов.4. The method according to claim 1, in which the aforementioned actions include blocking the start of new processes.
5. Способ по п.1, в котором этап блокировки использует драйвер, загруженный в область ядра.5. The method according to claim 1, wherein the blocking step uses a driver loaded into the kernel area.
6. Способ по п.1, в котором этап идентификации использует сигнатурную идентификацию для обнаружения вредоносной программы.6. The method according to claim 1, wherein the identification step uses signature identification to detect malware.
7. Система лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом система содержит:7. The malware treatment system in a computer that has multiple copies of the same activated malware, while multiple copies control the existence of each of them, while the system contains:
(а) модуль обнаружения вредоносной программы для идентификации наличия вредоносной программы;(a) a malware detection module for identifying the presence of a malware;
(b) средство, установленное в области ядра, которое, после того как идентифицировано наличие вредоносной программы модулем обнаружения вредоносной программы, блокирует действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;(b) means installed in the area of the kernel that, after malware has been identified by the malware detection module, blocks actions that allow one active copy of the malware to activate another copy of the malware;
(c) средство для удаления с постоянного запоминающего устройства кода вредоносной программы и ссылок на него, после того как средство блокировки блокировало упомянутые действия; и(c) means for removing malicious code and links to it from the permanent storage device after the blocking means has blocked said actions; and
(d) средство для перезагрузки компьютера, которое перезагружает компьютер после того, как упомянутое средство удаления удалило файл, содержащий исполняемый код вредоносной программы.(d) means for restarting the computer, which restarts the computer after said removal tool has deleted the file containing the executable code of the malicious program.
8. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки записей в постоянную память.8. The system according to claim 7, in which the said locking means is designed to lock records in read-only memory.
9. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки записи в системный реестр.9. The system according to claim 7, in which the said means of blocking is designed to block recording in the system registry.
10. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки запуска новых процессов.10. The system according to claim 7, in which the said means of blocking is designed to block the launch of new processes.
11. Система по п.7, в которой упомянутый модуль обнаружения вредоносных программ использует сигнатурную идентификацию для определения вредоносных программ.11. The system of claim 7, wherein said malware detection module uses signature identification to identify malware.
12. Машиночитаемый носитель для анализа подозрительных объектов на наличие вредоносных программ и имеющий исполняемую компьютером программу, при исполнении которой выполняют следующие этапы:12. A machine-readable medium for analyzing suspicious objects for malware and having a computer-executable program that, when executed, performs the following steps:
(a) идентифицируют наличие вредоносной программы;(a) identify the presence of malware;
(b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;(b) then block any actions that allow one active copy of the malware to activate another copy of the malware;
(c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него и(c) after which the malware code and links to it are deleted from the permanent storage device; and
(d) перезагружают компьютер.(d) restart the computer.