Jump to content
«ПЛАНАР-СИТИ»
  • Announcements

    • DVN

      Борьба за Авторское право

      Предупреждаю всех и сразу, чтобы потом не было обид и обиженных. Согласно п.4.2.3 Правил форума с 13.03.2007 года все посты содержащие разного рода статьи, стихи, рассказы, обзоры и рецензии и т.д., и т.п. БЕЗ УКАЗАНИЯ копирайта будут сразу же удаляться в Корзину.
    • DVN

      Борьба за Авторское право-2

      Предупреждаю ЕЩЁ РАЗ, всех и сразу, чтобы потом не было обид и обиженных. Согласно п.4.2.3 Правил форума все посты содержащие разного рода статьи, стихи, рассказы, обзоры и рецензии и т.д., и т.п. БЕЗ УКАЗАНИЯ копирайта (авторства, ссылки на источник, откуда Вы взяли эту информацию) будут сразу же удаляться в Корзину. Если Вы автор представленной информации, так и пишите - © ник
Sign in to follow this  
DVN

Cетевой червь "lovesan": вопросы-ответы

Recommended Posts

Профилактика, диагностика и лечение "Lovesan"

 

1. "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" - это одно и тоже или разные черви?

 

Все эти имена относятся к одной вредоносной программе, но используются разными антивирусными компаниями. В терминологии "Лаборатории Касперского" этот червь называется "Lovesan". На данный момент известны три модификации червя, которым некоторыми разработчиками присвоены индексы "a", "b" и "c".

 

2. Как понять, заражен ли мой компьютер?

 

Признаками заражения компьютера являются:

 

Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\);

Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут;

Многочисленные сбои в работе программ Word, Excel и Outlook;

Сообщения об ошибках, вызванных файлом "SVCHOST.EXE";

Появление на экране окна с сообщением об ошибке (RPC Service Failing):

 

rpc_err1.gif

 

3. Чем опасен этот червь для моего компьютера?

 

"Lovesan" не несет существенной опасности непосредственно для зараженного компьютера. Червь не удаляет, не изменяет и не похищает данные. Его угроза состоит в нарушении нормальной работы интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода. Кроме того, начиная с 16 августа "Lovesan" атакует web-сайт windowsupdate.com, на котором содержатся обновления для операционной системы Windows. В результате этого web-сайт может выйти из строя, и пользователи окажутся отрезанными от этой важной информации.

 

В этой связи рекомендуется как можно быстрее установить обновление, не дожидаясь возможных перебоев в работе web-сайта.

 

4. Какие системы заражает "Lovesan"?

 

Червь заражает компьютеры под управлением Windows NT, Windows 2000, Windows XP. Полный список уязвимых операционных систем приведен ниже:

 

Windows NT 4.0 Server

Windows NT 4.0 Terminal Server Edition

Windows 2000

Windows XP 32 bit Edition

Windows XP 64 bit Edition

Windows Server 2003 32 bit Edition

Windows Server 2003 64 bit Edition

 

5. Как защитить мой компьютер?

 

Существует несколько способов защиты от "Lovesan". Во-первых, необходимо загрузить последние обновления антивируса и ни в коем случае не отключать антивирусный монитор во время работы с интернетом. Во-вторых, используйте межсетевой экран (firewall) для блокировки портов 135, 69 и 4444. Наконец, установите обновление для Windows, закрывающее брешь, через которую "Lovesan" проникает на компьютеры. Последний способ является наиболее эффективным, поскольку предотвращает заражение не только "Lovesan", но также всеми его разновидностями и другими подобными червями, использующими описанную брешь Windows.

 

6. Что такое межсетевой экран и где его взять?

 

Межсетевой экран (англ. Firewall) - это специальная программа, которая защищает от хакерских атак, контролируя потоки данных между интернетом и компьютером. Она допускает только безопасные соединения с сетью, фильтрует вредоносные пакеты данных и предотвращает доступ в интернет неавторизованных приложений.

 

Существуют два типа межсетевых экранов: для защиты сетей и рабочих станций. Для защиты домашних компьютеров можно воспользоваться Kaspersky® Anti-Hacker.

 

7. Как устанавливать обновление для Windows?

 

Вам необходимо загрузить обновление с сайта Microsoft по адресам:

Windows NT 4.0 Server

http://download.microsoft.com/download/a/f...us_Q823980i.exe

Windows NT 4.0 Terminal Server Edition

http://download.microsoft.com/download/4/6...89/Q823980i.EXE

Windows 2000

http://download.microsoft.com/download/e/d...980-x86-RUS.exe

Windows XP 32 bit Edition

http://download.microsoft.com/download/7/0...980-x86-RUS.exe

Windows XP 64 bit Edition

http://download.microsoft.com/download/a/7...80-ia64-ENU.exe

Windows Server 2003 32 bit Edition

http://download.microsoft.com/download/e/6...980-x86-RUS.exe

Windows Server 2003 64 bit Edition

http://download.microsoft.com/download/4/0...80-ia64-ENU.exe

 

Или для Windows XP 32 bit Edition скачайте файл "WindowsXP-KB823980-x86-RUS.exe" с домового FTP-сервера из папки "pub/Soft/unsorted/Update OC/Обновление системы безопасности длWindows XP".

 

После окончания загрузки запустите файл и установка пройдет в автоматическом режиме. Следуйте инструкциям, которые будет предоставлять мастер установки.

 

8. Не могу загрузить обновление с сайта Microsoft - компьютер постоянно перегружается.

 

Внезапная перезагрузка компьютера - одно из проявлений "Lovesan". Для обеспечения передачи обновления с сайте Microsoft мы рекомендуем найти файл TFTP.EXE (в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE) и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название.

 

9. Что мне делать, если вирус уже заразил мой компьютер?

 

Для этого достаточно использовать установленный на вашем компьютере антивирус. Перед этим убедитесь, что антивирус содержит последние обновления базы данных.

 

Также вы можете воспользоваться бесплатной утилитой для защиты от "Lovesan", Эти программы обнаруживают активную копию червя в памяти компьютера, деактивируют ее, удаляют зараженные файлы с жесткого и сетевых дисков, восстанавливают системный реестр Windows. После завершения работы утилиты перезагрузите компьютер и запустите антивирусный сканер с последними обновлениями базы данных.

 

Утилиты являются абсолютно бесплатными.

 

для пользователей антивируса от компании Лаборатория Касперского.. Смотрите первый пост в разделе Вирусная активность...

для пользователей антивируса от корпорации Symantec.

http://securityresponse.symantec.com/avcenter/FixBlast.exe

для пользователей антивируса от компании Panda Software.

http://pandasoftware.com/download/utilities/validacion.aspx?

для пользователей антивируса от компании Trend Micro.

http://www.trendmicro.com/ftp/products/tsc/sysclean.com

 

10. Воспользовался утилитой против "Lovesan", но мой компьютер снова заразился.

 

Утилита только удаляет червя и восстанавливает зараженный компьютер, но не создает иммунитет против "Lovesan". Для этого вам необходимо установить описанное выше обновление для Windows.

 

11. Можно ли использовать несколько антивирусных программ одновременно на одном компьютере?

 

Разработчики не рекомендуют использовать на одном компьютере две и более антивирусные программы разных компаний. Это связано с тем, что все последние версии антивирусов используют такую компоненту как резидентный монитор, который постоянно находится в памяти компьютера и проверяет файлы, по мере обращения к ним (то есть "на лету").

 

Если работают нескольких антивирусных мониторов одновременно, то каждый из них начинает проверять запускаемый файл, и существует большая вероятность того, что при проверке мониторы найдут друг друга, и вызовут сбой при обращении к этому файлу, что может привести к полному "зависанию" компьютера и его некорректного дальнейшего использования до того, как один из антивирусов будет удален.

 

12.Как уберечься от компьютерных вирусов?

 

Ущерб от компьютерных вирусов может быть разнообразный, начиная от простых надписей, возникающий на экране монитора, и заканчивая хищениями и удалениями информации, находящейся на Вашем компьютере. Не забывайте, что это могут быть как системные файлы операционной среды, так и офисные, бухгалтерские и другие документы, представляющие для Вас определенную ценность.

Существует несколько способов, предотвращающих эти действия:

Для того, чтобы избежать полного уничтожения нужных Вам файлов, необходимо РЕГУЛЯРНО проводить их резервное копирование (сохранение): на дискеты, ZIP, стриммер и другие магнитные носители.

Предотвратить попадание вирусов на Ваш компьютер поможет проверка с помошью антивирусных программ ВСЕХ дискет, CD-дисков, файлов (полученных по электронной почте или скаченных из Интернета) ПЕРЕД их использованием или запуском.

Исходя из предыдущего пункта, можно сделать вывод, что для наиболее достоверной проверки файлов нужно использовать последние версии антивирусных программ и, конечно, антивирусных баз, которые обновляются ежедневно.

Share this post


Link to post
Share on other sites
Guest артём

между прочим , это ещё не все файлы вирусняка , против него есть хорошая вещь называемая AVAST 4 но он видит этот вирусняк как Maslan X где Х это любая буква латинского алфавита ............

этот вирус на данный момент долбит Евпанет , и причём хорошо долбит , а вот администрация Евпанета , ничего не хочет с ним делать , или просто не может ..

А по поводу файлов в папке виндовс /систем 32 мона там ещё искать любые файлы в которых присутствует знак "____" то есть подчерк более одного раза , то можете смело указывать на этот файл антивирусу , он должен его опознать

то есть например rt_____fh или типа того , на конце названия не обязятельно чтобы были буквы ...

Ещё совет посмотрите (если у вас диск разбит ) на диске D: папку с приблизительно таким же названием эту папку можно сразу безвозвратно удалять ничего не боясь ....

На другие диски , то есть кроме С: и D: вирусняк не падает , так что можете даже и не искать на других дисках .

 

Важный совет:

Все эти действия нужно делать в безопасном режиме , и чистить антивирусом , тоже желательно в безопасном режиме ...... :huh:

Edited by артём

Share this post


Link to post
Share on other sites
и чистить антивирусом , тоже желательно в безопасном режиме ...... :huh:

2029[/snapback]

 

хм...а антивирь в безопасном режиме запускается?!..

Share this post


Link to post
Share on other sites
Guest артём
хм...а антивирь в безопасном режиме запускается?!..

2041[/snapback]

а ты типа не знал что ли

Share this post


Link to post
Share on other sites

А вы не могли бы все необходимое для борьбы с этим вирусом выложить на фтп (ну хотя бы обновление на ХР и эту хитрую утилиту)

Edited by mihey

Share this post


Link to post
Share on other sites
А вы не могли бы все необходимое для борьбы с этим вирусом выложить на фтп (ну хотя бы обновление  на ХР и эту хитрую утилиту)

2488[/snapback]

миша,

1. скачай http://planar.biz/forum/index.php?showtopic...st=0entry2487

2. Отключи сетевой кабель

3. Установи http://planar.biz/forum/index.php?showtopic...view=getnewpost

4. Настрой антивирус, и межсетевой экран, предварительно снеся все антивирусы и вайрволы с ситемы.

5. перезагрузи винду и воткни кабель обратно.

и тогда буш жить и горя не знать.

Share this post


Link to post
Share on other sites

при этом не забудь шнур отключить а то я лохонулся так один раз - винды переустановил и сразу заразились.

Share this post


Link to post
Share on other sites

И еще один маленький вопросик. У меня постоянно процесс SVCHOST.EXE занимает 90% ЦП, из-за чего тормозит вся система. ЭТО ОНО ИЛИ НЕТ ?

Share this post


Link to post
Share on other sites
И еще один маленький вопросик. У меня постоянно процесс SVCHOST.EXE занимает 90% ЦП, из-за чего тормозит вся система. ЭТО ОНО ИЛИ НЕТ ?

2599[/snapback]

 

 

у меня этот процесс занимает от 0% до 3-5% всё время, мне абсолютно не мешает.....если его заблокировать файреволом, то сеть пропадает...

Share this post


Link to post
Share on other sites
Guest артём
И еще один маленький вопросик. У меня постоянно процесс SVCHOST.EXE занимает 90% ЦП, из-за чего тормозит вся система. ЭТО ОНО ИЛИ НЕТ ?

2599[/snapback]

:D нет это типа совсем не он :diablo:

Share this post


Link to post
Share on other sites

SVCHOST.EXE

Это прога которая контролирует DNS (Доменные имена).

Инет работать будет, но только по IP адресам!!!

 

warn_add.gif В [mergetime]1121358885[/mergetime], добавил:

 

Эта прога работает на порту DNS...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×