Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними.

[Lamo]

Fil
Я только одного не пойму, ведь загрузку с флопов/сд/флешей никто еще не отменял...
далее запускаешь консольный/досковый вариант любого антивиря с последними апдейтоми,
например тогоже Веба или Каспера, и лечишь комп...

З.Ы. чистое ИМХО - все эти эпидемии доставляют неприятности
только корпоративным пользователям, а хомякам это даже типа
развлечения (извращенного правда).
Вобщем-то все это упирается в болезни "грязных рук" - следить надо за тем, что в рот тащишь

Lamo добавил :

Fil
вот еще Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)

[Wertiks]

Всем добрый день!
Поймал этот новый вирус - выходит окно с обратным отчетом времени до перезагрузки.
Проверил вебом - не нашел.
скачал патч, запустил - не помогло, все равно идет перезагруз...
Что можно сделать-то?
искал msblast - нигде нет

[Wertiks]

переустановил винду, пропатчил, искал везде
ничего не помогает...............

[Rackot]

Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)

[Alexandra]

Как оно уже достало,кто-нить знает откуда полезла ета сволоч порядочная? Заспамила ба гада.....

[LOAD]

здесь почитайте - http://www.viruslist.com/alert.html?id=145080269

[Lamo]

Обращение ко всем кто уже имел дело с Sasser
очень нужно поиметь этого червя, кто его лакализовал
прошу бросить его на allshares(dog)mail.ru
архив запаковать винраром с шифрацией имен файлов, пароль на архив - мой ник
(это чтобы мыло не прибили антивири почтовиков)

З.Ы. подцепить в нете !_НЕ ПРЕДЛАГАТЬ_!, мне нужно устроить контролируемое размножение
на локализованных машинах, типа маленькой локали для проверки некоторых червоклюев.

Lamo добавил :

интересует также msblast

[SWAT]

Alexandra
Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM. Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили. В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря… И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается. В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети). Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun". Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:
"Система завершает работу. Пожалуйста, сохраните все несохраненные данные. Отключение вызванно
NT AUTORITY\SYSTEM. Сообщение: Windows будет перезагружен из за внезапного отключения удаленного вызова поцедур (RPC)"
Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.
"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.
Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово. После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер ) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен.
Мой компьютер исключением не стал. Все прелести нового червячка я успел попробовать на себе.

[Alexandra]

SWAT
Спасибо,конечно,за ликбез,но я постила про другой вирь-Sasser

[siBEERian]

Арестован школьник, создавший вирус Sasser

у меня проблема с Isase.exe а также постоянно вывалевается
что Wind. блокирует direct CD
помогите пожалуйста с этим справиться

[SS20]

Была такая проблема. Симптомы: самопроизвольная перезагрузка компа, использование процессора на 100% при полном бездействии. Устранил прогоном AVP 5.0 (пробная версия, взял на сайте AVP.ru, он обнаружил 527!!! вирусов sasser), после чего поставил заплатку от Microsoft. Если не устанавливать заплатку от Гейтса, то этот вирус будет валится из инета, даже если ничего не делаешь.

[Lamo]

Млин пол Инета заражено и никто намылить его не может
народ ну вы че ?
Jon
Хоть ты пульни его

[deman]

К счастью я отношусь к другой половине

[Rockman5]

Прикольно Сейчас его видно в "Диспетчере задач Windows". Занимает окло метра. Вроде немного, может оставить
 5А;8 А5@Л57=>, Б> =>@Б>= 53> =5 =0H5;
Tolko chto takim stal moj russkij shrift A napisal Ja, chto Norton s nim ne spravilsja

Rockman5 добавил :

И это не спасло http://downloads1.kaspersky-labs.com...lrav/clrav.zip
Хм... а с русским шрифтом временный глюк...

Rockman5 добавил :

Значит так. У меня это было вчера всего один раз. Но ЭТО БЫЛО! Две утилиты ничего не нашли... Должен ли в винде вообще сидеть процесс LSASS.EXE?

Блин, ну комп ведь один раз перезапускался и это был не msblast.

Rockman5 добавил :

А эти процессы должны быть или нет: CSRSS.EXE и SMSS.EXE?

Rockman5 добавил :

Причем диспетчер не может их завершить. Так и должно быть?

Rockman5 добавил :

Еще вопрос: что нужно сделать, чтобы комп перезагрузился?

Rockman5 добавил :

Вот

Цитата ([b) »

Rockman5[/b] ]А эти процессы должны быть или нет: CSRSS.EXE и SMSS.EXE?

http://www.viruslist.com/viruslist.html?id=480301

Цитата

С помощью дополнительных компонент SMSS.EXE и CSRSS.EXE червь пытается замаскироваться в системе. Оба файла обеспечивают работу основного модуля LMHSVC.EXE, если по каким-то причинам он оказался выгруженным из памяти. Кроме того, эти компоненты следят за запуском REGEDIT, и, если REGEDIT запущен, временно стирают свои ключи в реестре и восстанавливают их при закрытии приложения REGEDIT. Таким образом, червь реализует механизм невидимости в системном реестре.

Елы-палы...

Rockman5 добавил :

Я так понимаю его лучше удалить из ДОСа, только чем?
И че делать с LSASS

[Lamo]

Rockman5

Цитата

И че делать с LSASS

Да ничего с ним не делать !
это как раз та служба Вина
на которую червь виснет
Если прибьешь ее, то половина служб сразу рухнет

[Rimlyanin]

Закрой фаирволом 135-139 и 445 порты и будет тебе счастье, Agnitum Outpost Firewall Free искореняет это безобразие на корню даже в "режиме разрешения", Pro тем более , но он платный.

[gromikk]

Дык у меня ни чего не качается.
Чего делать ни знаю.

[Ober]

И до меня добралась эта зараза
что самое интересное
жег DVDшку , смотрю у меня буфер освобождается , один потом вторй , медленно так кубики убывает , а потом все проги нежно-плавно закрываются и камп перезагружается, блин испорчен!
Каспер 5.0 стоит две недели назад поставил , обновляю почти кажндень и все равно пролез су№%%

[Rackot]

Цитата

Каспер 5.0

От этого не поможет, только FireWall и/или patch