Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними.

[Remore]

Цитата

ладно надо попробувать патч может поможет?

В первую очередь...

Ха смешно мне я пока эта все читал и извучал на работе сам подцепил этот вирус.
А дома все супер вылечил очень благодарен Вам всем

[c@ts]

У меня этот червь прошел после форматирования!

[4x]

Цитата

У меня этот червь прошел после форматирования!

Что? Несколко раз форматил?

[Sl@sh/]

Я тоже два раза цапанул эту гадость,когда главный компутер отключён был по причине поломки монитора,то забрал у детёныша ноут,вечерком полазить в инете.Так придурок забыл,что этот ноут даже без антивиря,инет через мой.Как только вошёл,сразу бац!Башка пивом залита,растерялся поначалу,в процессах ничего не вижу...и когда после третьей перезагрузки быстро набрал msblast в поиске нашёл эту дрянь,начал удалять,не идёт...первое,что пришло в голову:переименовать,прошло!Дальше времени хватило,чтоб установить и обновить антивирь,всё,хапанул по новой,только программа орёт:ВИРУС!Зараза,в карантин не хочет,исправлятся тоже,переименовыватся тоже...название новое приняла,не помню точно,но кажись mslayout...но не перезагружает и то слава богу.Корректно повыкидывал из регистра ихние записи,удалил и всё...а "главный" ни разу не хапанул(3 раза тьфу) ничего подобного.Стоит Нортон интернет секюрити...каждый день обновляются и антивирь и ОС.

[c@ts]

Цитата

Что? Несколко раз форматил?

Нет! Форматировал только 1 раз! А осле форматирования поставил заплатку! Иусё конец червю!

[KpeHgeJIb]

c@ts
А форматить то заче надо было? Этот вирь ручками то несложно убить.

[stellls]

Blaster Worm: Critical Security Patch for Windows XP
Была обнаружена проблема безопасности, позволяющая злоумышленнику поставить под угрозу безопасность компьютера с системой Microsoft® Windows® и получить возможность удаленного управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера. Патчить и Патчить господа !

[stellls]

Червь получает управление, только если пользователь самостоятельно откроет вложенный файл. При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство". Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil] "KAVUtil" = "kavutil.exe".

Червь также ищет в системном реестре ключ:
[Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.

[BoS]

Я конечно в вирусах ничего не понимаю, но думаю достаточно поставить фаервол - и все проблемы решаться, без вашего ведома никто никуда не закачается. у нас в общаге вся сеть (500 компов) пострадала, гигабитный канал в инет засран - вирус закачивает в инет чего-то и оттуда выкачивает что-то. до сих пор ламеры жалуются на перезагрузки и пропажу денег со счёта, притом что всем было сказано 10 раз что это за фигня... вот такая фигняЖ

[Xternal]

RPC, RPC, RPC - страшное для многих слово. Ребята, ну что ж это такое? Вам что, трудно поставить файрволл и уделить 2-3 часа чтению мануала и грамотной настройки? Это очень важно. Разве так сложно подписаться на newsletter, ну, или просто следить за лентой на www.microsoft.com....

Лично я поставил заплатку за неделю до выхода вируса и поставил соотв. конфигу файрволлу. Также немного поспамил по своему контакту в аське, хотя, уверен, никто плохим словом не вспомнит ;]

Вообще, в проблеме с Lovesan, я бы посоветовал не только поставить заплатку, но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

http://www.grc.com/dcom/

[Rackot]

Цитата

но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

Нафига утилиты то?
В командной строке набираешь dcomcnfg и отключаешь, что надо

[Mike Goldwasher]

Не мог установить SP и HF после лечения. После замены svchost.exe и svcpack.dll на версии взятые с неповрежденных компов проблема была решена.

[hunter]

Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?

[alex123456]

вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

[докторишка]

Цитата (alex123456) »

вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

нажимай три волшебные клавиши и посмотри в диспетчере задач есть ли у тебя msblast.exe в сервисах если есть то простой касперский непростой panda легко находит и лечит эту хрень далее ставишь outpost файрвол любой версии и отсекаешь порт . после чего эта срань к тебе не проникает . однако есть модификация nvsc32.exe та же срань но немного другая до Примоья уже дошла. вот ее не видит никакой антивирь пока

[тэка]

Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) sales@ectaco.de
инфицировано и не было доставлено.

--- Dr.Web report ---
Найден(ы) следующий(е) вирус(ы):
infected with Win32.HLLM.MyDoom.32768


Детализированный отчет Dr.Web:
drweb.tmp_kE13p9 - archive MAIL
drweb.tmp_kE13p9/[textlain] - Ok
drweb.tmp_kE13p9/test.zip infected with Win32.HLLM.MyDoom.32768


Статистика сканирования Dr.Web:
Infected : 1

--- Dr.Web report ---

Ваше сообщение сохранено в карантине под именем:
drweb.quarantined_flm3IS

Чтобы получить это сообщение, обратитесь к администратору
по адресу <postmaster@kenga.net>, указав имя, под которым
Ваше сообщение сохранено в карантине.

---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru )
---------------------
Воттакое, якобы возвратное, письмо я получила(уже не первое).В принципе файлы из неизвестных писем я не открывала.Комп работает исправно.Может бытьтакое,что пользуется вирус моим почтовым адресом, а я незаражена? Или надо поискать те самые файлы nvsc32.exe и msblast.exe .Но мой МсАфи ничего не нашёл,да и фаервул где-то был.

тэка добавил :

тем более,что я точно на эти адреса ничего не посылала..

[Ну занято так занято...]

тэка
Мнэ... В связи с незащищённостью SMTP протокола и безалаберностью некоторых провайдеров, не составляет никакого труда подставить в поле "Обратный адрес\Отправитель" всё, что угодно. Если хотите, я могу вам выслать письмо от billgates@redmond.com
Этим и пользуются, пишут в качестве обратного адреса один из адресов, находящихся в спам-листе и Mail-Daemon возвращает письмо не отправителю, а совершенно непричастному человеку.

[Ramec]

Цитата

Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?

hunter, зайди в администрирование и включи службу криптографии.
А вообще, ребят, самый сволочной вирус какой я когда либо видел, все мои знакомые, которые сидят в инете, ВСЕ подцепили енту хрень.

[Farmpak]

Цитата (N-Forse2) »

Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.
З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета
2)Зупустил прогу антибласт которая удалила червь
3)уставновил заплату
4)настроил файрвол
5)и радуюсь

Проблема: похоже заражен svchost.exe т.к. outpost 2.0 стал предлагать разрешить или нет ему доступ в интерен, если разрешаю то через некоторое время ошибка и перезагрузка через минуту... Запрещаю и ничего не грузится tcp и udp deny установил непомагает т.к. вирус похоже уже сидит или идет через svcost... пробовал заменить на svcost и svcpack.dll из дестрибутива win не помогло... msblast teekids и tftp удалил... патч стоит (sp2)