Эпидемия вирусов

[ChIlL]

Увеличилось количество жалоб на сбои протаколов виндовс, и всяческое непонятное поведение компьютера.

одним из виновников этого стал данный вирус:

Sality.NAO

Симптомы
Большинство программ перестают работать и "вылетают" с критической ошибкой
Загрузка в безопасном режиме невозможна - вирус портит ветки реестра
Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
Значительно снижается производительность компьютера
Лечение
Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN - любые сетевые подключения. Просто выдергиваем кабель.
Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой - дабы вирус не мог испортить программу. Если испортит - вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен "Безопасный режим".
Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
Перезагружаемся в обычном режиме.
Вновь проводим полную проверку.
Устанавливаем нормальный антивирус со свежими базами.

взято от Link hidden, please Sign in or Sing up

так же советую переодически проверять систему программой AVZ 4, подробнее о ней Link hidden, please Sign in or Sing up

прошу не оставлять тему без внимания и поднять её в важные

 

[hustler]

Вот ещё одни очень весёлый таваришь :shout:

Worm.Win32.RussoTuristo.b

Детектирование добавлено 04 ноя 2006 03:10 MSK
Обновление выпущено 04 ноя 2006 05:06 MSK
Описание опубликовано 14 авг 2007
Поведение
Worm, сетевой червь
Технические детали


Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 53326 байт. Упакован UPX. Размер распакованного файла — около 130 КБ. Написан на Delphi.
Инсталляция

При запуске червь копирует себя в каталог «%WinDir%\cursors» под именем «services.exe»:
%WinDir%\Cursors\services.exe

С целью сокрытия расширений файлов устанавливаются следующие значения в реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:0x00000000"
"HideFileExt" = "dword:0x00000001"
"Hidden" = "dword:0x00000000"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:0x00000001"

Также вирус отключает использование системных утилит:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:0x00000001"
"DisableRegistryTools" = "dword:0x00000001"

И добавляет значение в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Service" = "%WinDir%\Cursors\services.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл червя.Деструктивная активность


Червь копирует свой исполняемый файл в каждую найденную на всех жестких дисках папку пользователя под именем файла, совпадающим с именем папки.

При этом каждая копия червя имеет иконку папки.

В случае если исполняемый файл червя был запущен из корневого каталога Windows — «%WinDir%\Cursors\services.exe», — вирус проверяет текущую дату; если она соответствует 13 декабря или любой пятнице, 13-му, червь копирует себя в корневые каталоги фиксированных дисков под именем «Temp.exe», а также следующим образом:
%User%\Local Settings\Application Data\Microsoft\CD Burning\Новая папка.exe

Затем все содержимое данных дисков удаляется.

Также червь пытается завершить работу Windows при обнаружении активного окна, имеющего один из заголовков:
Редактор реестра
Результаты поиска
Настройка системы
ПорноРекомендации по удалению


Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить процесс «services.exe».
Удалить оригинальный файл червя и все созданные копии:
%WinDir%\cursors\services.exe
Удалить значение из системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Service" = "%WinDir%\Cursors\services.exe"
Восстановить следующие значения реестра путем замены:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:0x00000000"
"HideFileExt" = "dword:0x00000001"
"Hidden" = "dword:0x00000000"

на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = ""
"HideFileExt" = ""
"Hidden" = ""
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:0x00000001"

на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = ""
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:0x00000001"
"DisableRegistryTools" = "dword:0x00000001"

на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:0x00000000"
"DisableRegistryTools" = "dword:0x00000000"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Взято с NonStop.

Пробовал избавиться от этой бяки,но чёт бесполезно.

 

[ChIlL]

и снова здравствуйте =)

в сети снова завексированна эпидемия вирусов, вот кое-какая инфа:

Net-Worm.Win32.Kido

«Лаборатория Касперского» предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.

Как бороться с сетевым червем Net-Worm.Win32.Kido

Симптомы заражения в сети
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.



Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.


Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
1 Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.

2 Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

3 Отключить автозапуск исполняемых файлов со съемных носителей.



Удаление сетевого червя утилитой kidokiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.


Локальное удаление:
1 Скачайте архив KidoKiller_v3.3.2.zip и распакуйте его в отдельную папку на зараженной машине.

2 Запустите файл KidoKiller.exe.


3 По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

4 Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KidoKiller.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера с помощью Антивируса Касперского.

есть данные, что обновлённые антивирусы эту заразу не ловят, так же очень желательно обновить винду, как это сделать написанно тут

программа KidoKiller и необходимое обновление для windows xp ниже