Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними. - Страница 4

Remore · 15.09.2003, 09:27

Цитата

ладно надо попробувать патч может поможет?

В первую очередь...

16.09.2003, 04:40

Ха смешно мне я пока эта все читал и извучал на работе сам подцепил этот вирус.
А дома все супер вылечил очень благодарен Вам всем

c@ts · 01.10.2003, 19:49

У меня этот червь прошел после форматирования!

4x · 01.10.2003, 20:16

Цитата

У меня этот червь прошел после форматирования!

Что? Несколко раз форматил?

Sl@sh/ · 01.10.2003, 21:40

Я тоже два раза цапанул эту гадость,когда главный компутер отключён был по причине поломки монитора,то забрал у детёныша ноут,вечерком полазить в инете.Так придурок забыл,что этот ноут даже без антивиря,инет через мой.Как только вошёл,сразу бац!Башка пивом залита,растерялся поначалу,в процессах ничего не вижу...и когда после третьей перезагрузки быстро набрал msblast в поиске нашёл эту дрянь,начал удалять,не идёт...первое,что пришло в голову:переименовать,прошло!Дальше времени хватило,чтоб установить и обновить антивирь,всё,хапанул по новой,только программа орёт:ВИРУС!Зараза,в карантин не хочет,исправлятся тоже,переименовыватся тоже...название новое приняла,не помню точно,но кажись mslayout...но не перезагружает и то слава богу.Корректно повыкидывал из регистра ихние записи,удалил и всё...а "главный" ни разу не хапанул(3 раза тьфу) ничего подобного.Стоит Нортон интернет секюрити...каждый день обновляются и антивирь и ОС.

c@ts · 25.10.2003, 13:17

Цитата

Что? Несколко раз форматил?

Нет! Форматировал только 1 раз! А осле форматирования поставил заплатку! Иусё конец червю!

KpeHgeJIb · 25.10.2003, 13:29

c@ts
А форматить то заче надо было? Этот вирь ручками то несложно убить.

stellls · 29.10.2003, 18:10

Blaster Worm: Critical Security Patch for Windows XP
Была обнаружена проблема безопасности, позволяющая злоумышленнику поставить под угрозу безопасность компьютера с системой Microsoft® Windows® и получить возможность удаленного управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера. Патчить и Патчить господа !

stellls · 29.10.2003, 23:48

Червь получает управление, только если пользователь самостоятельно откроет вложенный файл. При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство". Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil] "KAVUtil" = "kavutil.exe".

Червь также ищет в системном реестре ключ:
[Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.

BoS · 13.11.2003, 19:22

Я конечно в вирусах ничего не понимаю, но думаю достаточно поставить фаервол - и все проблемы решаться, без вашего ведома никто никуда не закачается. у нас в общаге вся сеть (500 компов) пострадала, гигабитный канал в инет засран - вирус закачивает в инет чего-то и оттуда выкачивает что-то. до сих пор ламеры жалуются на перезагрузки и пропажу денег со счёта, притом что всем было сказано 10 раз что это за фигня... вот такая фигняЖ

Xternal · 22.12.2003, 18:43

RPC, RPC, RPC - страшное для многих слово. Ребята, ну что ж это такое? Вам что, трудно поставить файрволл и уделить 2-3 часа чтению мануала и грамотной настройки?

Это очень важно. Разве так сложно подписаться на newsletter, ну, или просто следить за лентой на www.microsoft.com....

Лично я поставил заплатку за неделю до выхода вируса и поставил соотв. конфигу файрволлу. Также немного поспамил по своему контакту в аське, хотя, уверен, никто плохим словом не вспомнит ;]

Вообще, в проблеме с Lovesan, я бы посоветовал не только поставить заплатку, но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

http://www.grc.com/dcom/

Rackot · 23.12.2003, 15:26

Цитата

но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

Нафига утилиты то?
В командной строке набираешь dcomcnfg и отключаешь, что надо

Mike Goldwasher · 29.12.2003, 15:22

Не мог установить SP и HF после лечения. После замены svchost.exe и svcpack.dll на версии взятые с неповрежденных компов проблема была решена.

hunter · 24.01.2004, 16:42

Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?

alex123456 · 31.01.2004, 01:06

вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

докторишка · 31.01.2004, 13:12

Цитата (alex123456) »

вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

нажимай три волшебные клавиши и посмотри в диспетчере задач есть ли у тебя msblast.exe в сервисах если есть то простой касперский непростой panda легко находит и лечит эту хрень далее ставишь outpost файрвол любой версии и отсекаешь порт . после чего эта срань к тебе не проникает . однако есть модификация nvsc32.exe та же срань но немного другая до Примоья уже дошла. вот ее не видит никакой антивирь пока

тэка · 01.02.2004, 22:15

Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) sales@ectaco.de
инфицировано и не было доставлено.

--- Dr.Web report ---
Найден(ы) следующий(е) вирус(ы):
infected with Win32.HLLM.MyDoom.32768

Детализированный отчет Dr.Web:
drweb.tmp_kE13p9 - archive MAIL
drweb.tmp_kE13p9/[text

lain] - Ok
drweb.tmp_kE13p9/test.zip infected with Win32.HLLM.MyDoom.32768

Статистика сканирования Dr.Web:
Infected : 1

--- Dr.Web report ---

Ваше сообщение сохранено в карантине под именем:
drweb.quarantined_flm3IS

Чтобы получить это сообщение, обратитесь к администратору
по адресу <postmaster@kenga.net>, указав имя, под которым
Ваше сообщение сохранено в карантине.

---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru )
---------------------
Воттакое, якобы возвратное, письмо я получила(уже не первое).В принципе файлы из неизвестных писем я не открывала.Комп работает исправно.Может бытьтакое,что пользуется вирус моим почтовым адресом, а я незаражена? Или надо поискать те самые файлы nvsc32.exe и msblast.exe .Но мой МсАфи ничего не нашёл,да и фаервул где-то был.

тэка добавил :

тем более,что я точно на эти адреса ничего не посылала..

Ну занято так занято... · 01.02.2004, 22:26

тэка
Мнэ... В связи с незащищённостью SMTP протокола и безалаберностью некоторых провайдеров, не составляет никакого труда подставить в поле "Обратный адрес\Отправитель" всё, что угодно. Если хотите, я могу вам выслать письмо от billgates@redmond.com
Этим и пользуются, пишут в качестве обратного адреса один из адресов, находящихся в спам-листе и Mail-Daemon возвращает письмо не отправителю, а совершенно непричастному человеку.

Ramec · 04.02.2004, 05:06

Цитата

Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?

hunter, зайди в администрирование и включи службу криптографии.
А вообще, ребят, самый сволочной вирус какой я когда либо видел, все мои знакомые, которые сидят в инете, ВСЕ подцепили енту хрень.

Farmpak · 06.02.2004, 20:09

Цитата (N-Forse2) »

Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.
З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета
2)Зупустил прогу антибласт которая удалила червь
3)уставновил заплату
4)настроил файрвол
5)и радуюсь

Проблема: похоже заражен svchost.exe т.к. outpost 2.0 стал предлагать разрешить или нет ему доступ в интерен, если разрешаю то через некоторое время ошибка и перезагрузка через минуту... Запрещаю и ничего не грузится

tcp и udp deny установил непомагает т.к. вирус похоже уже сидит или идет через svcost... пробовал заменить на svcost и svcpack.dll из дестрибутива win не помогло... msblast teekids и tftp удалил... патч стоит (sp2)

01.10.2003, 19:49	Вверх #63
c@ts Экс-модератор Регистрация: 17.06.2003 Адрес: Орск	У меня этот червь прошел после форматирования! __________________ Ищу выход из интернета...

01.10.2003, 20:16	Вверх #64
4x Экс-модератор Регистрация: 16.02.2003 Адрес: Novosibirsk	Цитата У меня этот червь прошел после форматирования! Что? Несколко раз форматил? __________________ Стучитесь!!! И Вас откопают.

01.10.2003, 21:40	Вверх #65
Sl@sh/ Заслуженный Регистрация: 30.07.2003 Адрес: 3DNClan,Israel	Я тоже два раза цапанул эту гадость,когда главный компутер отключён был по причине поломки монитора,то забрал у детёныша ноут,вечерком полазить в инете.Так придурок забыл,что этот ноут даже без антивиря,инет через мой.Как только вошёл,сразу бац!Башка пивом залита,растерялся поначалу,в процессах ничего не вижу...и когда после третьей перезагрузки быстро набрал msblast в поиске нашёл эту дрянь,начал удалять,не идёт...первое,что пришло в голову:переименовать,прошло!Дальше времени хватило,чтоб установить и обновить антивирь,всё,хапанул по новой,только программа орёт:ВИРУС!Зараза,в карантин не хочет,исправлятся тоже,переименовыватся тоже...название новое приняла,не помню точно,но кажись mslayout...но не перезагружает и то слава богу.Корректно повыкидывал из регистра ихние записи,удалил и всё...а "главный" ни разу не хапанул(3 раза тьфу) ничего подобного.Стоит Нортон интернет секюрити...каждый день обновляются и антивирь и ОС. __________________ "-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."

25.10.2003, 13:17	Вверх #66
c@ts Экс-модератор Регистрация: 17.06.2003 Адрес: Орск	Цитата Что? Несколко раз форматил? Нет! Форматировал только 1 раз! А осле форматирования поставил заплатку! Иусё конец червю! __________________ Ищу выход из интернета...

29.10.2003, 18:10	Вверх #68
stellls Интересующийся Регистрация: 22.10.2003 Адрес: Санкт-Петербург	Blaster Worm: Critical Security Patch for Windows XP Была обнаружена проблема безопасности, позволяющая злоумышленнику поставить под угрозу безопасность компьютера с системой Microsoft® Windows® и получить возможность удаленного управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера. Патчить и Патчить господа ! __________________ Первое что ты говоришь, когда ты псих: «Я не псих!», Первое что ты говоришь, когда ты истеричка: «Я не истеричка!»,...

15.09.2003, 09:27	Вверх #61
Remore Экс-модератор Регистрация: 06.02.2003 Адрес: Israel	Цитата ладно надо попробувать патч может поможет? В первую очередь...

16.09.2003, 04:40	Вверх #62
Petrovich Guest	Ха смешно мне я пока эта все читал и извучал на работе сам подцепил этот вирус. А дома все супер вылечил очень благодарен Вам всем

25.10.2003, 13:29	Вверх #67
KpeHgeJIb Экс-модератор Автор темы Регистрация: 10.02.2003 Адрес: Израиль	c@ts А форматить то заче надо было? Этот вирь ручками то несложно убить.

29.10.2003, 23:48	Вверх #69
stellls Интересующийся Регистрация: 22.10.2003 Адрес: Санкт-Петербург	Червь получает управление, только если пользователь самостоятельно откроет вложенный файл. При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство". Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil] "KAVUtil" = "kavutil.exe". Червь также ищет в системном реестре ключ: [Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу. __________________ Первое что ты говоришь, когда ты псих: «Я не псих!», Первое что ты говоришь, когда ты истеричка: «Я не истеричка!»,...

13.11.2003, 19:22	Вверх #70
BoS Начинающий Регистрация: 11.11.2003 Адрес: Великий Устюг	Я конечно в вирусах ничего не понимаю, но думаю достаточно поставить фаервол - и все проблемы решаться, без вашего ведома никто никуда не закачается. у нас в общаге вся сеть (500 компов) пострадала, гигабитный канал в инет засран - вирус закачивает в инет чего-то и оттуда выкачивает что-то. до сих пор ламеры жалуются на перезагрузки и пропажу денег со счёта, притом что всем было сказано 10 раз что это за фигня... вот такая фигняЖ __________________ СПбГПУ - best

22.12.2003, 18:43	Вверх #71
Xternal Начинающий Регистрация: 22.12.2003 Адрес: Москва	RPC, RPC, RPC - страшное для многих слово. Ребята, ну что ж это такое? Вам что, трудно поставить файрволл и уделить 2-3 часа чтению мануала и грамотной настройки? Это очень важно. Разве так сложно подписаться на newsletter, ну, или просто следить за лентой на www.microsoft.com.... Лично я поставил заплатку за неделю до выхода вируса и поставил соотв. конфигу файрволлу. Также немного поспамил по своему контакту в аське, хотя, уверен, никто плохим словом не вспомнит ;] Вообще, в проблеме с Lovesan, я бы посоветовал не только поставить заплатку, но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =) http://www.grc.com/dcom/ __________________ icq 648900

23.12.2003, 15:26	Вверх #72
Rackot Администратор Регистрация: 06.02.2003 Адрес: Moscow	Цитата но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =) Нафига утилиты то? В командной строке набираешь dcomcnfg и отключаешь, что надо

29.12.2003, 15:22	Вверх #73
Mike Goldwasher Новенький Регистрация: 29.12.2003	Не мог установить SP и HF после лечения. После замены svchost.exe и svcpack.dll на версии взятые с неповрежденных компов проблема была решена.

24.01.2004, 16:42	Вверх #74
hunter Опытный Регистрация: 07.12.2003 Адрес: г.Саранск	Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать? __________________ CorvettE

31.01.2004, 01:06	Вверх #75
alex123456 Новенький Регистрация: 22.01.2004 Адрес: Эстония	вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

31.01.2004, 13:12	Вверх #76
докторишка Бывалый Регистрация: 04.03.2003 Адрес: Санктъ- Петербурх	короче так... Цитата (alex123456) » вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru нажимай три волшебные клавиши и посмотри в диспетчере задач есть ли у тебя msblast.exe в сервисах если есть то простой касперский непростой panda легко находит и лечит эту хрень далее ставишь outpost файрвол любой версии и отсекаешь порт . после чего эта срань к тебе не проникает . однако есть модификация nvsc32.exe та же срань но немного другая до Примоья уже дошла. вот ее не видит никакой антивирь пока __________________ Что то мне перестал нравиться коньяк.....

01.02.2004, 22:15	Вверх #77
тэка Опытный Регистрация: 13.01.2004 Адрес: latvia	Сообщение, отправленное с Вашего адреса (возможно вирусом с другого компьютера) по адресу(ам) sales@ectaco.de инфицировано и не было доставлено. --- Dr.Web report --- Найден(ы) следующий(е) вирус(ы): infected with Win32.HLLM.MyDoom.32768 Детализированный отчет Dr.Web: drweb.tmp_kE13p9 - archive MAIL drweb.tmp_kE13p9/[textlain] - Ok drweb.tmp_kE13p9/test.zip infected with Win32.HLLM.MyDoom.32768 Статистика сканирования Dr.Web: Infected : 1 --- Dr.Web report --- Ваше сообщение сохранено в карантине под именем: drweb.quarantined_flm3IS Чтобы получить это сообщение, обратитесь к администратору по адресу <postmaster@kenga.net>, указав имя, под которым Ваше сообщение сохранено в карантине. --- Антивирусная защита почтовых серверов Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs) (http://www.drweb.ru, http://www.DialogNauka.ru ) --------------------- Воттакое, якобы возвратное, письмо я получила(уже не первое).В принципе файлы из неизвестных писем я не открывала.Комп работает исправно.Может бытьтакое,что пользуется вирус моим почтовым адресом, а я незаражена? Или надо поискать те самые файлы nvsc32.exe и msblast.exe .Но мой МсАфи ничего не нашёл,да и фаервул где-то был. тэка добавил : тем более,что я точно на эти адреса ничего не посылала.. __________________ ЛЕЧУ от алкоголизма, ТОРЧУ от наpкомании. А еще СHИМАЮ, ПОРЧУ

01.02.2004, 22:26	Вверх #78
Ну занято так занято... Заслуженный Регистрация: 19.12.2003	тэка Мнэ... В связи с незащищённостью SMTP протокола и безалаберностью некоторых провайдеров, не составляет никакого труда подставить в поле "Обратный адрес\Отправитель" всё, что угодно. Если хотите, я могу вам выслать письмо от billgates@redmond.com Этим и пользуются, пишут в качестве обратного адреса один из адресов, находящихся в спам-листе и Mail-Daemon возвращает письмо не отправителю, а совершенно непричастному человеку.

04.02.2004, 05:06	Вверх #79
Ramec Registered User Регистрация: 23.12.2003 Адрес: Москва	Цитата Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать? hunter, зайди в администрирование и включи службу криптографии. А вообще, ребят, самый сволочной вирус какой я когда либо видел, все мои знакомые, которые сидят в инете, ВСЕ подцепили енту хрень.

06.02.2004, 20:09	Вверх #80
Farmpak Начинающий Регистрация: 26.12.2003 Адрес: Казань	Цитата (N-Forse2) » Agnitum Outpost Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System.. Надо лишь его расширить на порты 139, 445, 593 для TCP. Если его нет - создать : TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it. UDP; Inbound; Local Ports: 135, 137,138; Deny it. З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета 2)Зупустил прогу антибласт которая удалила червь 3)уставновил заплату 4)настроил файрвол 5)и радуюсь Проблема: похоже заражен svchost.exe т.к. outpost 2.0 стал предлагать разрешить или нет ему доступ в интерен, если разрешаю то через некоторое время ошибка и перезагрузка через минуту... Запрещаю и ничего не грузится tcp и udp deny установил непомагает т.к. вирус похоже уже сидит или идет через svcost... пробовал заменить на svcost и svcpack.dll из дестрибутива win не помогло... msblast teekids и tftp удалил... патч стоит (sp2) __________________ COOL!