Оптимизация WinXP


Вирус Lovsan - часть 2


  После перезагрузки компьютера вирус срабатывает и сканирует сеть в поисках других жертв и продолжает свое распространение по интернету, генерируя огромный объем левого траффика, а на компьютере пострадавшего отныне могут выполняться любые действия - перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя. Симптомы присутствия вируса в системе таковы:

· в папке Windows\System32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE;
· в списке запущенных процессов имеется один из вышеуказанных файлов;
· в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run присутствует команда на запуск вышеуказанного файла;
· после нескольких минут работы в интернете происходит перезагрузка компьютера;
· в работе программ MS Office наблюдаются многократные сбои;
· появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE;
· на экране появляется окно с сообщением об ошибке RPC Service.

Для удаления червя, в том числе вручную, и защиты от подобных вирусов впредь необходимо сделать следующее:

· во-первых, следует отключиться от интернета;
· используя менеджер процессов (вызывается клавишами Ctrl+Alt+Del), выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE;
· удалите с диска соответствующий файл;
· удалите в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run команду на запуск файла вируса;
· перегрузите ПК;
· тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с Lovesan: ftp://ftp.kaspersky.com/utils/clrav.zip; http://securityresponse.symantec.com/avcenter/FixBlast.exe;
· установите патч: Для русских версий ОС, Для английских версий ОС
· установите файрволл и заблокируйте TCP- / UDP-порты 135, 139, 445, 69 и 4444.




- Начало -  - Назад -  - Вперед -