Оптимизация WinXP

Вирус Lovsan


Об этом вирусе уже много сказано и написано, поэтому не буду изобретать велосипед, а приведу статью из журнала Izone #493:

  Нет, ну у меня просто наболело! Господа хорошие, ну как же так можно? Эпидемия вируса MSBlast, он же Lovesan, Lovsan, Blaster, Poza, началась уже достаточно давно, чтобы даже до самых неповоротливых пользователей не дошли слухи об этом черве, но, тем не менее, в рассылку все еще сыпятся вопросы на эту тему!
  Во-первых, все, кто подцепил этот вирус, сами виноваты, поскольку не выполнили буквально самых элементарных требований сетевой безопасности: своевременная установка всех патчей и заплаток операционной системы и прикладных программ; использование качественного и хорошо настроенного файрволла; использование регулярно обновляемого антивируса. Во-вторых, совершенно непонятно, как можно, имея доступ в интернет (а без него не было бы и этого вируса), совершенно не быть в курсе происходящего?

  Ведь достаточно было бы в любой поисковой службе ввести часть текста того сообщения, с которым Windows XP уходит в перезагрузку, как тут же вы получили бы подробнейшую информацию по борьбе с этим червем из самых первых рук - от антивирусных компаний!
  Наконец, можно было просто заглянуть в какие-нибудь веб-конференции и почитать, что пишут люди.
  Тем не менее, с целью разобраться с этой проблемой раз и навсегда, попробую вкратце пересказать все то, что уже давно известно. Итак, примерно с 12 августа Сеть серьезно потряс новый червь w32.Blaster.worm, использующий давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT/2000/XP/2003.

  Для "успешного" заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. Голова червя - специальный пакет данных - проникает в атакованную систему беспечного пользователя через незащищенный файерволлом порт 135 и после этого без какого-либо участия пользователя закачивает все тело - файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) - с помощью системной программы TFTP.EXE - мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run "windows auto update"="ms-blast.exe"


   После перезагрузки компьютера вирус срабатывает и сканирует сеть в поисках других жертв и продолжает свое распространение по интернету, генерируя огромный объем левого траффика, а на компьютере пострадавшего отныне могут выполняться любые действия - перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя. Симптомы присутствия вируса в системе таковы:

· в папке Windows\System32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE;
· в списке запущенных процессов имеется один из вышеуказанных файлов;
· в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run присутствует команда на запуск вышеуказанного файла;
· после нескольких минут работы в интернете происходит перезагрузка компьютера;
· в работе программ MS Office наблюдаются многократные сбои;
· появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE;
· на экране появляется окно с сообщением об ошибке RPC Service.

Для удаления червя, в том числе вручную, и защиты от подобных вирусов впредь необходимо сделать следующее:

· во-первых, следует отключиться от интернета;
· используя менеджер процессов (вызывается клавишами Ctrl+Alt+Del), выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE;
· удалите с диска соответствующий файл;
· удалите в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run команду на запуск файла вируса;
· перегрузите ПК;
· тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с Lovesan: ftp://ftp.kaspersky.com/utils/clrav.zip; http://securityresponse.symantec.com/avcenter/FixBlast.exe;
· установите патч: Для русских версий ОС, Для английских версий ОС
· установите файрволл и заблокируйте TCP- / UDP-порты 135, 139, 445, 69 и 4444.


Содержание раздела