Новый вирус в сети

[MOT]

Поймал недавно, нового червя. Не знаю, за что браться, где копать. Похоже на Lovesan. Но не один из антивирусников его не видит. Садится только на XP, 2000 или NT(точно не уверен).
На базе Касперсого его ещё не индефицировали.

Симптомы: система дико тормозит, загруз проца около 98%.

То, что накопал: сидит похоже на Svchost (в процессах), при закрытии процесса, знакомое меню - система будет перезагружена через 40сек.
На 2000 - критический процесс не может быть остановлен.

Если кто-нить столкнулся, посоветуйте!

 

[YuzVer]

у меня его обнаружила и удалила вот эта маленькая программка

 

[Aliens]

В качестве профилактики можно рекомендовать
- 1. Выключить DCOM OLE
Но Это может запретить распространение вируса но не убьет его...

2. Надо бы просмотреть папку windows на предмет лишних файлов, обычно вирусы такого типа содержаться в отдельном файле.

 

[MOT]

Nic: Всё посмотрел - нихера. Ещё кое-что, при соединении с нетом очень быстро запускается что-то Dosовское.
Насчёт OLE это я уже давно сделал не помогло. Всё лишее уже удалил. Мои подозрения пали на то, что он присоединился к какой-то dllки, скорее всего к Svchost

 

[MOT]

YuzVer: Спасибо, щас гляну

 

[Aliens]

Извините, уточню ответ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle

Параметры
EnableDCOM
и
EnableRemoteConnect

Изменить значеник Y на N

 

[Aliens]

И ещЁ:

Есть разряд программ , которые не считаются вирусами, но делают противные вещи
Это:
скачиватели рекламы - они и подобные им - загружают регулярно порнуху вместо любимых сайтов........

вот здесь программа для их ловли
www.spybot.info

хорошая и бесплатная.........

 

[Уссама]

У мелкомягких на офф появилась заплатка под эту дрянь...
Это чмо бьет на Lssas службу....
Вариант борьбы,если очень критично и нужно поработать:
просто удалите в SM все сетевые устроиства,червяк никуда,в таком случае не ломится...можно пожить и поработать!

 

[MOT]

Уссама: Если можно поподробней, просто я перековырял всё, ничего не помогает, а систему бить не вариант!

 

[MOT]

Nic: с рекламой и порнухой проблем нет, я эту срань всю удалил! Ну за совет спасибо!

 

[Aliens]

Незная , может это и не то, но недавно познакомился с W32.Opasoft
симптомы те же - сильная загрузка процессора....

Сначала обнаружился процесс SRV32.EXE - который нельзя убить т.к. он критический и системный.....
Но в списке служб обнаружиласть новая служба SRV32 - без пояснений , что странно....
После запрещения автозапуска службы и ее остановки - вирус занружаться перестал , вместе с системой оказывается, при попытке остановки службы он удаляет BOOT.INI и система, естественно , не грузиться...... Резервная копия этого файла есть в папке windowspss (имя только другое ), так что после его воcстановления все было Ок.
Сам вирус оказался в файле Windowssystem32srv32.exe.
Решил посмотреть как его обнаруживает DrWeb, оказалось его обнаруживает только версия 4.32 только с 7-ю базами (не меньше) ..... т.е. почти самая свежая версия...

 

[vampnight]

Ребята я может чего то недопонял но это похоже на Sasser
заскочи на Microsoft.com/rus в безопасность напиши в поиске имя
этого гада там есть всё для остановки перезагрузки и последующего
удаления этой беды

 

[MOT]

vampnight: Не земляк это не то! червячок, новый веб с новыми базами его видит, только по ходу нихера сделать не может!
winhlp32. WinAgobot - вот эта срань, постоянно инфицируется.

 

[Magnus]

MOT зайди ко мне на выходных, я дам те прогу со всеми зплатками на ХП и 2к. Запускаешь и она предлогает по выбору их поставить автоматически. на 2к 43 заплатки на ХП 30. Я их постояно докачиваю, т.к. работа такая. Недавно контара с 30 компами подхвотила червя и за сутки все компы стояли на коленях. Перезагружались через каждые 5-10 минут. Пока херь эту не скачал с заплатками не хера не че не получалось. Червь бил по Lsass. Он к ниму приклееваеться и начинает пинговать тачки в сети на наличие дыр, как только находит тутже капирует себя туда и т.д. Если по какойто причине (загрузка сети или отсутствее пинга) он не может сканить сеть, он сука пытаеться ее разгрузить и по этому перезагружает тачку. Это все что я смог понять лазия по дебрям инета.