Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними. - Страница 6

4x · 01.05.2004, 22:13

Vovka
А ты уверен что избвился от лавсана? Он ведь файлы по разному называет. Заплатку ставил? Утилитами удалял?

vitruvian · 02.05.2004, 04:03

Теперь я об этом же

Заплатка от мсбласта стоит, антивирусные базы новейшие, проверял все диски, утилита от касперского тоже ничего не нашла....

Очень похоже не ловсан, но не он это....

Пока что спасаюсь firewall'ом, пока он работает все путем...

Может есть еще какие-то заплатки для ХРюши?

SWAT · 02.05.2004, 06:11

В папке system 32 не нашел ни одного подозрительного файла. Могут ли они быть скрытыми?

Ну занято так занято... · 02.05.2004, 11:15

SWAT
Как два пальца об асфальт.
А у вас что, стоит крыжик "Не отображать скрытые файлы и папки"?

KpeHgeJIb · 02.05.2004, 11:23

Итак, этот вирус называется W32.Sasser.Worm
Его действие похоже на MSBlast он тоже перегружает комп за 60 сек.
Опять подвержены системы Windows 2000, Windows NT, Windows Server 2003, Windows XP.
Для знающих инглиш, читайте тут http://www.microsoft.com/security/incident/sasser.asp
Заплатки можно скачать тут
Утилиту для поиска и уничтожения вируса, качать тут

asp!smtu · 02.05.2004, 12:10

Может я повторюсь:
Сервант под 2k+3.
В нормальном режиме - не грузится, БСОД и ребут.
В сафе режиме - грузится, перед вводом логина - окно с какой-то ошибкой у lsass.exe. После закрытия окна - ребут... =(
Это то, что описано выше?
PS ошибку конкретнее скажу в среду-четверг, когда появлюсь на работе. =) Тогда же будет и конфа.

vitruvian · 02.05.2004, 14:52

KpeHgeJIb
Оно

Сегодня и каспер начал его опознавать
Worm.Win.Sasser.a

а то я уже запарился отсылать им avserve2.exe на исследование

4x · 02.05.2004, 17:48

Я тут потерял ссылку,где было написано какую службу надо перезапустить чтобы комп не перезагружался от lovesun'a. Кто нибудь знает какую? Может и от энтого поможет...

KpeHgeJIb · 02.05.2004, 18:33

4x
Чтобы комп не перезагружался достаточно при появлении окна с ошибкой
Start>Run и там написать shutdown -a

Либо в сервисах для "Локалный вызов процедур (RPC)" (aka Remote Procedure Call) на закладке "Востановление" в графах "Первый сбой", "Второй сбой" и "Последующие сбои" выставить "Не выполнять ни каких действий" или "Перезапуск службы"

Правда от перезапуска RPC комп работать лучше не станет, после ее падения падают все зависящие от нее службы, а их не мало.

4x · 02.05.2004, 22:36

KpeHgeJIb
Thaks!

ZVER3 · 03.05.2004, 15:49

через некоторое время пребывания в интернете винда выдаёт табличку:
неожиданно был завршённ процесс Isass,перезагрузка произайдёт через 60сек.
подскажите решение этой проблемы!

З.Ы.если это вирус(что более вероятно)подкинте пожалуйста ссылку на лечилку......

_mistako · 03.05.2004, 16:18

....лечиться это одним из WindowsXP-KB82XXXX-x86-ENG/RUS.EXE , есть точьно на FTP://FTP.IWT.RU .......

ZVER3 · 03.05.2004, 16:52

спасибо конечно...но...там же куча этих КВ82ХХХХ-х86,мне что все качать?а можно ли поподробней?

asp!smtu · 03.05.2004, 16:57

Похоже на семейство Sasser.
http://securityresponse.symantec.com...oval.tool.html
Потом патчи
http://www.microsoft.com/technet/sec.../MS04-011.mspx
http://www.microsoft.com/technet/sec.../MS04-012.mspx
http://www.microsoft.com/technet/sec.../MS04-013.mspx
http://www.microsoft.com/technet/sec.../MS04-014.mspx
И обнови систему через WindowsUpdate

Unlock · 04.05.2004, 09:35

Народ, когда появляется такое окно, то избежать перезагрузки помогает перевод времени назад. Т.е. хотя бы на день назад. И тогда будет время зайти на форум и посмотреть что и как лечить

Вот блин гадость

Я думал Нортон никакая зараза не возьмет

Еще вчера слушал по радио про эпидемию этого вируса и подумал, но вот, опять куча ламерских компов падет и тут прихожу на работу и на тебе

Но спасибо этому форуму и все Ok

Unlock добавил :

Нифига себе... Утилита Нортоновская не нашла вируса, а ведь все признаки есть... Что бы это значало?

vitruvian · 04.05.2004, 11:20

Unlock

Цитата

Что бы это значало?

Возможно утиль лечит только модификацию .а, а к тебе залезла .b (сейчас уже не слежу за ними, может и другие появились).

Может быть вирус висит в памяти (имена процессов в библиотеке касперского)...

asp!smtu · 04.05.2004, 13:36

Unlock Может у тебя в Винде TimeBomb сработал? пуск - выполнить winver.

ZVER3 · 04.05.2004, 14:33

вот это я понимаю....
в следующий раз буду внимательнее..

Unlock · 04.05.2004, 18:57

asp!smtu
Не, у меня корпоративка

Fil · 04.05.2004, 21:54

Рискну вызвать в свой адрес не сколько усталых вздохов у местных старожилов, но я всё с той же проблемой что и все. То есть симптомы полностью аналогичны msblaster. Только с ним всё было просто и понятно: поставил заплатку, удалил автозапуск, перезапустился и снёс сам файл. Теперь видно появилось что то новое, а здесь я не чего не нашёл кроме -

Цитата

Набираешь в командной строке
dcomcnfg
Затем на закладку Default Properties
Enable Distributed COM on this computer снимаешь чекбокс

я не силён в данных тонкостях, тем более настройки службы компонентов у меня, почему на русском. Но если имелось виду отключить «разрешить использование DCOM на данном компьютере» то это не помогло.
может плохо искал, но копаться долго в форуме, когда идут сплошные перезапуски…

На windows update есть три заплаты не установленных на моей машине (XP home edition), но поставить их не получается так как они требуют подключения к сети (даже при установки с винта) а это приводит к перезапуску. Да и заплаты как я понимаю сам комп не вылечат.
Если кто напишет, то пожалуйста по проще и поподробней, что бы было понятно даже такой тумбочке вроде меня.

01.05.2004, 22:13	Вверх #101
4x Экс-модератор Регистрация: 16.02.2003 Адрес: Novosibirsk	Vovka А ты уверен что избвился от лавсана? Он ведь файлы по разному называет. Заплатку ставил? Утилитами удалял? __________________ Стучитесь!!! И Вас откопают.

02.05.2004, 04:03	Вверх #102
vitruvian Бывалый Регистрация: 03.01.2004 Адрес: Киев	Теперь я об этом же Заплатка от мсбласта стоит, антивирусные базы новейшие, проверял все диски, утилита от касперского тоже ничего не нашла.... Очень похоже не ловсан, но не он это.... Пока что спасаюсь firewall'ом, пока он работает все путем... Может есть еще какие-то заплатки для ХРюши? __________________ Nulla dies sine linea

02.05.2004, 06:11	Вверх #103
SWAT Экс-модератор Регистрация: 06.01.2004	В папке system 32 не нашел ни одного подозрительного файла. Могут ли они быть скрытыми? __________________ Just have a little patience!

02.05.2004, 11:23	Вверх #105
KpeHgeJIb Экс-модератор Автор темы Регистрация: 10.02.2003 Адрес: Израиль	Итак, этот вирус называется W32.Sasser.Worm Его действие похоже на MSBlast он тоже перегружает комп за 60 сек. Опять подвержены системы Windows 2000, Windows NT, Windows Server 2003, Windows XP. Для знающих инглиш, читайте тут http://www.microsoft.com/security/incident/sasser.asp Заплатки можно скачать тут Утилиту для поиска и уничтожения вируса, качать тут Последний раз редактировалось KpeHgeJIb; 02.05.2004 в 14:19.

02.05.2004, 12:10	Вверх #106
asp!smtu Бывалый Регистрация: 12.12.2003 Адрес: Санкт-Петербург	Может я повторюсь: Сервант под 2k+3. В нормальном режиме - не грузится, БСОД и ребут. В сафе режиме - грузится, перед вводом логина - окно с какой-то ошибкой у lsass.exe. После закрытия окна - ребут... =( Это то, что описано выше? PS ошибку конкретнее скажу в среду-четверг, когда появлюсь на работе. =) Тогда же будет и конфа. __________________ Если вы не поняли человека, вы не имеете права ругать его, а если поняли,то, вполне возможно, не захотите этого делать.

02.05.2004, 11:15	Вверх #104
Ну занято так занято... Заслуженный Регистрация: 19.12.2003	SWAT Как два пальца об асфальт. А у вас что, стоит крыжик "Не отображать скрытые файлы и папки"?

02.05.2004, 14:52	Вверх #107
vitruvian Бывалый Регистрация: 03.01.2004 Адрес: Киев	KpeHgeJIb Оно Сегодня и каспер начал его опознавать Worm.Win.Sasser.a а то я уже запарился отсылать им avserve2.exe на исследование __________________ Nulla dies sine linea

02.05.2004, 17:48	Вверх #108
4x Экс-модератор Регистрация: 16.02.2003 Адрес: Novosibirsk	Я тут потерял ссылку,где было написано какую службу надо перезапустить чтобы комп не перезагружался от lovesun'a. Кто нибудь знает какую? Может и от энтого поможет... __________________ Стучитесь!!! И Вас откопают.

02.05.2004, 18:33	Вверх #109
KpeHgeJIb Экс-модератор Автор темы Регистрация: 10.02.2003 Адрес: Израиль	4x Чтобы комп не перезагружался достаточно при появлении окна с ошибкой Start>Run и там написать shutdown -a Либо в сервисах для "Локалный вызов процедур (RPC)" (aka Remote Procedure Call) на закладке "Востановление" в графах "Первый сбой", "Второй сбой" и "Последующие сбои" выставить "Не выполнять ни каких действий" или "Перезапуск службы" Правда от перезапуска RPC комп работать лучше не станет, после ее падения падают все зависящие от нее службы, а их не мало.

02.05.2004, 22:36	Вверх #110
4x Экс-модератор Регистрация: 16.02.2003 Адрес: Novosibirsk	KpeHgeJIb Thaks! __________________ Стучитесь!!! И Вас откопают.

03.05.2004, 15:49	Вверх #111
ZVER3 Опытный Регистрация: 11.01.2004 Адрес: Краснодар	помощь.... через некоторое время пребывания в интернете винда выдаёт табличку: неожиданно был завршённ процесс Isass,перезагрузка произайдёт через 60сек. подскажите решение этой проблемы! З.Ы.если это вирус(что более вероятно)подкинте пожалуйста ссылку на лечилку......

03.05.2004, 16:18	Вверх #112
_mistako Бывалый Регистрация: 01.04.2004 Адрес: Makhachkala City	....лечиться это одним из WindowsXP-KB82XXXX-x86-ENG/RUS.EXE , есть точьно на FTP://FTP.IWT.RU .......

03.05.2004, 16:52	Вверх #113
ZVER3 Опытный Регистрация: 11.01.2004 Адрес: Краснодар	спасибо конечно...но...там же куча этих КВ82ХХХХ-х86,мне что все качать?а можно ли поподробней?

03.05.2004, 16:57	Вверх #114
asp!smtu Бывалый Регистрация: 12.12.2003 Адрес: Санкт-Петербург	Похоже на семейство Sasser. http://securityresponse.symantec.com...oval.tool.html Потом патчи http://www.microsoft.com/technet/sec.../MS04-011.mspx http://www.microsoft.com/technet/sec.../MS04-012.mspx http://www.microsoft.com/technet/sec.../MS04-013.mspx http://www.microsoft.com/technet/sec.../MS04-014.mspx И обнови систему через WindowsUpdate __________________ Если вы не поняли человека, вы не имеете права ругать его, а если поняли,то, вполне возможно, не захотите этого делать. Последний раз редактировалось asp!smtu; 03.05.2004 в 17:03.

04.05.2004, 09:35	Вверх #115
Unlock Продвинутый Регистрация: 27.03.2003	Народ, когда появляется такое окно, то избежать перезагрузки помогает перевод времени назад. Т.е. хотя бы на день назад. И тогда будет время зайти на форум и посмотреть что и как лечить Вот блин гадость Я думал Нортон никакая зараза не возьмет Еще вчера слушал по радио про эпидемию этого вируса и подумал, но вот, опять куча ламерских компов падет и тут прихожу на работу и на тебе Но спасибо этому форуму и все Ok Unlock добавил : Нифига себе... Утилита Нортоновская не нашла вируса, а ведь все признаки есть... Что бы это значало?

04.05.2004, 11:20	Вверх #116
vitruvian Бывалый Регистрация: 03.01.2004 Адрес: Киев	Unlock Цитата Что бы это значало? Возможно утиль лечит только модификацию .а, а к тебе залезла .b (сейчас уже не слежу за ними, может и другие появились). Может быть вирус висит в памяти (имена процессов в библиотеке касперского)... __________________ Nulla dies sine linea

04.05.2004, 13:36	Вверх #117
asp!smtu Бывалый Регистрация: 12.12.2003 Адрес: Санкт-Петербург	Unlock Может у тебя в Винде TimeBomb сработал? пуск - выполнить winver. __________________ Если вы не поняли человека, вы не имеете права ругать его, а если поняли,то, вполне возможно, не захотите этого делать.

04.05.2004, 14:33	Вверх #118
ZVER3 Опытный Регистрация: 11.01.2004 Адрес: Краснодар	спасибо вот это я понимаю.... в следующий раз буду внимательнее..

04.05.2004, 18:57	Вверх #119
Unlock Продвинутый Регистрация: 27.03.2003	asp!smtu Не, у меня корпоративка

04.05.2004, 21:54	Вверх #120
Fil Новенький Регистрация: 04.05.2004	Рискну вызвать в свой адрес не сколько усталых вздохов у местных старожилов, но я всё с той же проблемой что и все. То есть симптомы полностью аналогичны msblaster. Только с ним всё было просто и понятно: поставил заплатку, удалил автозапуск, перезапустился и снёс сам файл. Теперь видно появилось что то новое, а здесь я не чего не нашёл кроме - Цитата Набираешь в командной строке dcomcnfg Затем на закладку Default Properties Enable Distributed COM on this computer снимаешь чекбокс я не силён в данных тонкостях, тем более настройки службы компонентов у меня, почему на русском. Но если имелось виду отключить «разрешить использование DCOM на данном компьютере» то это не помогло. может плохо искал, но копаться долго в форуме, когда идут сплошные перезапуски… На windows update есть три заплаты не установленных на моей машине (XP home edition), но поставить их не получается так как они требуют подключения к сети (даже при установки с винта) а это приводит к перезапуску. Да и заплаты как я понимаю сам комп не вылечат. Если кто напишет, то пожалуйста по проще и поподробней, что бы было понятно даже такой тумбочке вроде меня.