Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними.

[KpeHgeJIb]

Цитата (Объявление) »

LSAS Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними.#186474
RPC Дикий вирус в сети!!! (Проблемы с RPC)

На данный момент, это не шутка, уже 10 моих знакомых на это пожаловались. Даже по радио передовали (в израиле).
Еще никто толком не понял как эта штука работает, и как ее лечить, но выглядит это приблезительно так: в ключам комп и через некоторое время появляется окошко с ошибкой svchost.exe Через некоторе время после этого появляется окошко (такое как в VoptXP) с обьямлением что система будет перегруженя через 60 секунд. Шквал наступил вчера после 21:00. Ни один антивирус (включая касперского) ничего не обнаружил.
Покачто у всх кто мне сообшил об этом стояла WinXP Pro/Home если у когото теже пролеммы в других ОС просьба сообщить. Хотя это только плохие новости для владельцев компьютеров
Меня слава богу пронесло, меня вчера в сети небыло. И зашел я только сегодня утром. Пока все нормально.
Далее:
Полная переустановка системы НЕ помогает. Значит эта сволоч сидит гдето и на других партициях (или физ дисках). А может и гденибуть в железе. У меня кончились варианты.

Если кто знает как победить эту сволоч, поделитесь знаниями.



Сейчас пойду к подруге форматить все разделы и физ диски. О результатах сообщу поже.

[Rackot]

Файл msblast.exe в директории windows есть?

[KpeHgeJIb]

НЕ имею не малейшего представления, у меня все нормально. Доберусь до больного компа проверю, и скажу. А что в нем такого? Лично у меня его нет.

[Rackot]

KpeHgeJIb

Это признак нового вируса которой использует брешь в RPC, вообщем если это файл есть значит машина заражена.
Патч закрывающий эту уязвимость есть на сайте мелкомягких:
http://microsoft.com/technet/treevie...n/MS03-026.asp

ЗЫ
Закрывать, закрывает, но не лечит, зато другие вири, с похожей системой распространения, не пролезут!

[Sl@sh/]

Ха,а ко мне подходил сегодня один знакомый с похожим описанием,включает комп,и через пару минут выскакивает какое-то окошко,что комп будет перезагружен через минуту...так значит это вирус...что-то я не слышал по радио никаких предостережений начсёт вируса,радио весь день балакает на работе.У меня дома ХР и я был весь вечер в инете,вроде ничего такого не наблюдал.(3 раза тьфу)

[Rackot]

Sl@sh/
При чем здесь радио?! Ты еще в газетах потребуй опубликоать!
Читайте BugTraq!

PS
А если серьезно, то такая информация попадает в средства массовой информации спустя неделю, а то и две после появления

[Sl@sh/]

Да человек говорит,что по радио передавали,читай выше.У нас это немного оперативней передают.Может я пропустил это дело,спрошу нашего сисадмина,слышал ли он что нибудь.

[Remore]

Называется он W32/Blaster...

[SOLO]

Вот и моя очередь пришла:

[Rackot]

Господа патчить, патчить и еще раз патчить!
Ссылку я дал выше.
Файл меньше мегабайта.

[Sl@sh/]

А как лечить уже зараженное?Может обновления базы данных вирусов появились уже у хозяев антивирей?

[Remore]

Я тоже заражен, сил уже нет...
AVP и Panda его не видят, что делать я не знаю...

[SOLO]

Повыкидывал из реестра, автозагрузки, катологов. Скорее всего безтолку... а вдруг!

[Rackot]

Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Рекомендации по защите и удалению

* Загрузить последнее обновление для Антивирус Stop! для детектирования и удаления червя.
* Провести сканирование и удалить все обнаруженные файлы.
* Установить обновление для Windows (патч).

Источник:
http://www.proantivirus.com/info/1/180_1.html

[LOAD]

Вот тут про ето написано: http://www.cnews.ru/newtop/index.sht...3/08/12/147298

[SOLO]

Мать-перемать: заплатка не устанавливается, говорит язык системы отличается от языка программы. Бред.

[Sl@sh/]

Да что ты ругаешся,запусти windowsudate из своей операционки и сними,он сразу выскочит у тебя как критическое обновление.

[Remore]

У меня вроде все стало...
Сделал все и пока ТФУ-ТФУ не перегружается...
SOlO
Тут...
http://microsoft.com/downloads/detai...displaylang=en
Только справа скачай русскую версию файла...

[Remore]

Цитата

Да что ты ругаешся,запусти windowsudate из своей операционки и сними,он сразу выскочит у тебя как критическое обновление.

Дело в том что вирус как-то не дает обнавлять систему через windowsudate...

[SOLO]

Нашел: http://download.microsoft.com/downlo...80-x86-RUS.exe прямой линк на русский файл.

[Sl@sh/]

Цитата

Дело в том что вирус как-то не дает обнавлять систему через windowsudate

Да,прочитал в статье,видели какой ключь в регистре он создаёт.Приду домой,боязно запускать систему...

[KpeHgeJIb]

Я добрался до больного компа.
Вообшем так. Мной бали призведены следующие действия:
1 Был установлен вышеописаный пач
2 Был найдкн и удален из риестра ключ автозагрузки этого самого msblast.exe
3 перезагрузка
4 Найден и удален сам msblast.exe (как уже говорил Rackot, %WINDIR%\System32\msblast.exe)

Вот уже 20 мин сижу в инете, никакого напоминания, о злосчастном вирусе. ))))

[DDV]

Вот у Касперского прочитал http://www.kaspersky.ru/news.html?id=1317864

[SOLO]

KpeHgeJIb
Вроде тоже прошло: откатил винду на 2 дня.

[Rackot]

Цитата

Вроде тоже прошло: откатил винду на 2 дня.

Если заплатку не поставишь, то опять подхватишь

[Sanya]

вот и по радио о нем сказали... На Юности только что в новостях было

[SOLO]

Rackot
Уже поставил.

[SOLO]

Так, за компанию: Firewall посоветуйте плз.

[Rackot]

SOlO

Мне нравится NIS от Symantec, но и Kerio не плохой

[KpeHgeJIb]

Лично мне нравится Outpost Firewall. Довольно таки простой, и удобный в использовании.

[Remore]

Мне уже человек 10 звонили с этим вирусом, раздал всем ссылки на патч...
После установки патча, все проходит...
P.S. Люди и реестр не трогали...

[SOLO]

Remore
После ручной чистки системы проверил касперским - нашел, зараза.

[KpeHgeJIb]

Вирус поменял название, теперь он называется tftp2416.exe. находится тамже где и находился system32
если ктото неможет найти msblast.exe ищите tftp2416.exe

[KpeHgeJIb]

Также вирус имент привычку менять цифры в окончании файла, что создает проблемы с его познаванием
и больще он не прописывается в втозагрузке

[Dr.Razor]

Ять! у меня 22 машины заражены!

[artifex]

Вчера ночью ещё домашний комп заразился и случайно допёр что надо msblast вычистить из registry и удалить с диска...
Но проблемы - остаются! Система инициирует автоматическую перезагрузку по ошибке RPC

кто первый скажет почему? Везде пишут что дело только в msblast!

(NB: заплатку вытащил но не поставил ещё - до дома не дошёл ) )

[drzen]

KpeHgeJIb
смотри msblast.exe тему в этой эхе
или массовое падение ХР,-(

[artifex]

есть такая фигня: tftpXXX. без расширения. и процессах она похоже как dllhost висит(т.е. запускается с помощью dllhost)
а в registry уже похоже в другом где то месте прописано... параметры у dllhost указывали на некий идентификатор(вида {XXX-XXX-XXX-...})... не нашёл...
перед эти msblast удалил руками.. Это что - уже новая модификация?

Да, заплатку устраняющую DCOM vulnerability поставил и пока жив... но ясно же что в registry ещё какая то хрень осталась...

[Tommy]

В Windows 2000 появляется такой глюк: в какой то момент времени, выскакивает ошибка "svchost.exe выполнила недопустимую операцию". После этого всё работает дальше, за исключением того, что нельзя больше запустить ни одну программу (не считая новых окон IE). Может кто с чем-то таким сталкивался? Заранее спасибо!

ГЫ: У меня то что? Вирус чтоль? Тут у друга, такая ж фигня появилась. Что то плохое творится...

[Remore]

На изральском сайте мелкософтных написано...
Когда выскакивает окно с отчетом времени перед перезагрузкой...
Зайдите в RUN и напишите (Shutdown -a)... (Это отменит перезагрузку...)

А после качай обнавление...

[_ИЛЬЯ_]

для надежности можно было бы еще и этот рег-файл добавить

[LOAD]

Вот вам прога от симантек для удаления этого вируса...

[KpeHgeJIb]

LOAD
А вот это очень полезная тулза

[alexa]

у нас тут у многих эта проблема - вот нам что прислали для помощи



Установите обновление
http://www.microsoft.com/downloads/d...displaylang=en для английского XP
http://www.microsoft.com/downloads/d...2-3de40f69c074 для русского
и прогоните AVP с новым обновлениемм

[Rogi]

Чё за шум ,а драки нету !!? Ну выкатил мне он вчера два раза перезагрузку как только в сеть заходил, а доктыр веб молчит как в рот воды набрал . Плюнул я и отпрыгнул на один день назад (думаю о реставрации все слышали)И все прекрасно Правда кое что потерял, но не смертельно. Еще нет такой заразы которую убить нельзя, единственное что мене смущает это нежная и не защищенная BIOS. На остальное я на все положил . Ценные вещи архивирую чтоб если че всегда можно было пойти на крайние меры. Хотя предохранятся конечно надо!

[Rackot]

Rogi
Если патч не ставил схватишь по новой...

[Rogi]

Сейчас только мой Касперский(фаервол) отбил атаку на 137 порт от какойто хренотени, радостно сообщив мне об этом.

[Rogi]

Пошел за патчем !!

[Remore]

По каким портам он, Blaster конектится...?

[siBEERian]

Тут почитай: http://www.3dnews.ru/editorial/lovsan/

[4x]

А уже поставил патч,не успел меня вирь сожрать...

[N-Forse2]

Если вы не нашли у себя процесс/файл msblast.exe , а система все равно перегружается и/или выдает сообщения о сбое svchost.exe - см выше. В обязательном порядке патч и настоятельно рекомендуется firewall. В WindowsXP/2003 есть встроенный Internet Connection Firewall, который вполне должен справляться.
Дело в том, что отсутствие у вас на компьютере файла - значит лишь, что он пе пролез (в этот раз). Однако зачастую перезагрузки компьютера, происходят именно при НЕУДАЧНОЙ попытке. Существует новая модификация эксплоита, который может в УЖЕ ПРОПАТЧЕННОЙ винде вызывать сбои svchost.exe, перезагрузки и прочие неприятности. Спасение - опять же firewall.

Firewall, которые можно довольно легко настроить :

Internet Connection Firewall (встроенный в windows XP/2003, Где его найти. По умолчанию сам должен блокировать входящие RPC. "Должен" - потому что не пробовал).

AtGuard - древний, но имхо непревзойденный =)
Создать правила :
TCP; Inbound; Local List of services: 135, 139, 445, 593; Block.
UDP; Inbound; Local List of services: 135, 137,138; Block.

Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.
З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета
2)Зупустил прогу антибласт которая удалила червь
3)уставновил заплату
4)настроил файрвол
5)и радуюсь

[Sl@sh/]

Цитата

Internet Connection Firewall (встроенный в windows XP/2003, Где его найти.

Находится в сосавляющих твоего инет соединения,язычёк advance,но активизировать у себя не могу,почему-то потом выбивает из инета,а потом при попытке дозвона выкидывает ошибки(номера уже не помню),ну и не пользую ету функцию.Ну а если хотите почитать мануал как его активизировать и пользоватся,качайте отсюда: http://pcforum.ru/showthread.php?s=&threadid=75

[докторишка]

....... на моих машинах. На одной Касперский на другой F Secure для серваков. но прикол то не в этом файерволл родного WinXP видимо просто не видит эту дрянь ибо только после установки BLACK ICE DEFENDERa эта срань перестала появляться. (машины естественно пропатчены). или же всё таки можно настроить родной ХР файр.или нет

[Guru]

Какая то зараза добавила к файлам после расширения следущее: .XYU и это не смешно, когда все файлы за исключением *.dll, *.exe, *.ini, *.setup- стали с таковым дополнительным расширением...Что это! Касперский 4.5 ничего не нашел. Винды переставил, но на будущее хотелось бы знать!

[Rackot]

Guru
Не думаю что это был msblast или lovesun, посоветовать можно только обновлять антивирус почаще

[was]

у меня тоже был такой гаденыш! ползал по system32 спокойненько и глючил машинку но перезагруза небыло...

[was]

По этому линку можно скачать заплатку на русский WIn 2000

http://www.microsoft.com/downloads/d...displaylang=ru

Ну вот и я подцепил эту дрянь сегодня....бл.......
Винду пропачил ,вроде молчит пока, но интересно то сто не в системе ни где быто нибыло никакого -msblast*а - я не накопал, в реестре тоже чисто, ....

Патч для XP-Pro-English: http://www.microsoft.com/downloads/d...displaylang=en

а я уже неделю мучую не могу понят что за ХР а это вот что ладно надо попробувать патч может поможет?

[Remore]

Цитата

ладно надо попробувать патч может поможет?

В первую очередь...

Ха смешно мне я пока эта все читал и извучал на работе сам подцепил этот вирус.
А дома все супер вылечил очень благодарен Вам всем

[c@ts]

У меня этот червь прошел после форматирования!

[4x]

Цитата

У меня этот червь прошел после форматирования!

Что? Несколко раз форматил?

[Sl@sh/]

Я тоже два раза цапанул эту гадость,когда главный компутер отключён был по причине поломки монитора,то забрал у детёныша ноут,вечерком полазить в инете.Так придурок забыл,что этот ноут даже без антивиря,инет через мой.Как только вошёл,сразу бац!Башка пивом залита,растерялся поначалу,в процессах ничего не вижу...и когда после третьей перезагрузки быстро набрал msblast в поиске нашёл эту дрянь,начал удалять,не идёт...первое,что пришло в голову:переименовать,прошло!Дальше времени хватило,чтоб установить и обновить антивирь,всё,хапанул по новой,только программа орёт:ВИРУС!Зараза,в карантин не хочет,исправлятся тоже,переименовыватся тоже...название новое приняла,не помню точно,но кажись mslayout...но не перезагружает и то слава богу.Корректно повыкидывал из регистра ихние записи,удалил и всё...а "главный" ни разу не хапанул(3 раза тьфу) ничего подобного.Стоит Нортон интернет секюрити...каждый день обновляются и антивирь и ОС.

[c@ts]

Цитата

Что? Несколко раз форматил?

Нет! Форматировал только 1 раз! А осле форматирования поставил заплатку! Иусё конец червю!

[KpeHgeJIb]

c@ts
А форматить то заче надо было? Этот вирь ручками то несложно убить.

[stellls]

Blaster Worm: Critical Security Patch for Windows XP
Была обнаружена проблема безопасности, позволяющая злоумышленнику поставить под угрозу безопасность компьютера с системой Microsoft® Windows® и получить возможность удаленного управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера. Патчить и Патчить господа !

[stellls]

Червь получает управление, только если пользователь самостоятельно откроет вложенный файл. При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство". Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil] "KAVUtil" = "kavutil.exe".

Червь также ищет в системном реестре ключ:
[Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.

[BoS]

Я конечно в вирусах ничего не понимаю, но думаю достаточно поставить фаервол - и все проблемы решаться, без вашего ведома никто никуда не закачается. у нас в общаге вся сеть (500 компов) пострадала, гигабитный канал в инет засран - вирус закачивает в инет чего-то и оттуда выкачивает что-то. до сих пор ламеры жалуются на перезагрузки и пропажу денег со счёта, притом что всем было сказано 10 раз что это за фигня... вот такая фигняЖ

[Xternal]

RPC, RPC, RPC - страшное для многих слово. Ребята, ну что ж это такое? Вам что, трудно поставить файрволл и уделить 2-3 часа чтению мануала и грамотной настройки? Это очень важно. Разве так сложно подписаться на newsletter, ну, или просто следить за лентой на www.microsoft.com....

Лично я поставил заплатку за неделю до выхода вируса и поставил соотв. конфигу файрволлу. Также немного поспамил по своему контакту в аське, хотя, уверен, никто плохим словом не вспомнит ;]

Вообще, в проблеме с Lovesan, я бы посоветовал не только поставить заплатку, но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

http://www.grc.com/dcom/

[Rackot]

Цитата

но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

Нафига утилиты то?
В командной строке набираешь dcomcnfg и отключаешь, что надо

[Mike Goldwasher]

Не мог установить SP и HF после лечения. После замены svchost.exe и svcpack.dll на версии взятые с неповрежденных компов проблема была решена.

[hunter]

Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?

[alex123456]

вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

[докторишка]

Цитата (alex123456) »

вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru

нажимай три волшебные клавиши и посмотри в диспетчере задач есть ли у тебя msblast.exe в сервисах если есть то простой касперский непростой panda легко находит и лечит эту хрень далее ставишь outpost файрвол любой версии и отсекаешь порт . после чего эта срань к тебе не проникает . однако есть модификация nvsc32.exe та же срань но немного другая до Примоья уже дошла. вот ее не видит никакой антивирь пока

[тэка]

Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) sales@ectaco.de
инфицировано и не было доставлено.

--- Dr.Web report ---
Найден(ы) следующий(е) вирус(ы):
infected with Win32.HLLM.MyDoom.32768


Детализированный отчет Dr.Web:
drweb.tmp_kE13p9 - archive MAIL
drweb.tmp_kE13p9/[textlain] - Ok
drweb.tmp_kE13p9/test.zip infected with Win32.HLLM.MyDoom.32768


Статистика сканирования Dr.Web:
Infected : 1

--- Dr.Web report ---

Ваше сообщение сохранено в карантине под именем:
drweb.quarantined_flm3IS

Чтобы получить это сообщение, обратитесь к администратору
по адресу <postmaster@kenga.net>, указав имя, под которым
Ваше сообщение сохранено в карантине.

---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru )
---------------------
Воттакое, якобы возвратное, письмо я получила(уже не первое).В принципе файлы из неизвестных писем я не открывала.Комп работает исправно.Может бытьтакое,что пользуется вирус моим почтовым адресом, а я незаражена? Или надо поискать те самые файлы nvsc32.exe и msblast.exe .Но мой МсАфи ничего не нашёл,да и фаервул где-то был.

тэка добавил :

тем более,что я точно на эти адреса ничего не посылала..

[Ну занято так занято...]

тэка
Мнэ... В связи с незащищённостью SMTP протокола и безалаберностью некоторых провайдеров, не составляет никакого труда подставить в поле "Обратный адрес\Отправитель" всё, что угодно. Если хотите, я могу вам выслать письмо от billgates@redmond.com
Этим и пользуются, пишут в качестве обратного адреса один из адресов, находящихся в спам-листе и Mail-Daemon возвращает письмо не отправителю, а совершенно непричастному человеку.

[Ramec]

Цитата

Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?

hunter, зайди в администрирование и включи службу криптографии.
А вообще, ребят, самый сволочной вирус какой я когда либо видел, все мои знакомые, которые сидят в инете, ВСЕ подцепили енту хрень.

[Farmpak]

Цитата (N-Forse2) »

Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.
З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета
2)Зупустил прогу антибласт которая удалила червь
3)уставновил заплату
4)настроил файрвол
5)и радуюсь

Проблема: похоже заражен svchost.exe т.к. outpost 2.0 стал предлагать разрешить или нет ему доступ в интерен, если разрешаю то через некоторое время ошибка и перезагрузка через минуту... Запрещаю и ничего не грузится tcp и udp deny установил непомагает т.к. вирус похоже уже сидит или идет через svcost... пробовал заменить на svcost и svcpack.dll из дестрибутива win не помогло... msblast teekids и tftp удалил... патч стоит (sp2)

[huziev]

Это тварь перекачевала ко мне с винта друга но через неделю самоликвидировалась

[Xen]

Вобщем та-же хренотень, с начала пошли перизагрузки, потом зависания експлорера и тормоза всей системы. Но каспер после обновления баз и сканирования системного диска обнаружил енту дрянь в папке system32 под безликими файлами ТFFP1204 и.т.д , всю енту хрень удалил потом проверил защищённую карзину в ней они то-же были очистил всё. Но система всё глючила, тогда разархивировал системные файлы(создал сразу после установки операционки) и сравнил оказалось некоторых файлов нет, в том числе и Експлорера. Скопировал недостающие файлы - пока вроде всё нормально.

[mousee]

Привет!
У меня были такие проблемы. Форматнула хард - не успела винда "очнуться" - тут же опять RPC рестарт. Даже сеть не успела настроить и в интернет выйти.
Не поняла, что произошло, и как такое возможно. Я вобще в этих делах не особо понимаю. Накопала в Administative Tool этот RPC и сделала просто, если обрубается, чтоб не рестартил.
Жила с этим неделю и не думала, что это вирус - я ведь форматнула! RPC периодически обрубало - но мне это особо не мешало (при наборе текста).
По этой проблеме инфу в FAQ нашла только сегодня. Скачала все, что нужно, проверила на наличие этого самого Ловсана - ничего не нашлось. Просто все чисто. Заплатку на всякий случай поставила..
и так и не поняла, что ЭТО было? Почему ловсан не пойман?

mousee добавил :

ЕКЛМН!!!! RPC все равно обрубается периодически. Касперски ничего кроме каких-то backdoor-ов не находит.
Как с этим бороться?

[Rackot]

Набираешь в командной строке
dcomcnfg
Затем на закладку Default Properties
Enable Distributed COM on this computer снимаешь чекбокс

[mousee]

не вижу закладку Default Properties

[Rackot]

mousee
Свойства по умолчанию (если по русски)

[mousee]

Нет, у меня engl. Дело не в этом. Набираю dcomcnfg - открывается component sevices.
там есть:
Console root
+Component Services
+Event Viewer (Local)
+Services (Local)

[Rackot]

Операционка какая?
Скриншот дай.

[mousee]

XP

картинка тут - http://www.mousee.nm.ru/scr_mousee.bmp

[Rackot]

Переформатируй в JPG
и запости прямо в форум
ХР под рукой нет

[mousee]

dcomcnfg >>>>>

[Rackot]

Отлично
Раскрывай
Component services
Computers
жми правой кнопкой мыши на
my computers
и дальше как я писал выше

[mousee]

ООО! Спасибки большие! Все нашла, сделала как написал.
Только зачем это надо было?

[Rackot]

Ну патч уже ставила, а это тогда как дополнительная защита...
Пегрузиться не забудь...

[mousee]

перезагрузилась... RPC вроде пока не вышибает...

[EsTaF]

Странно. Вон я читал про безопасность когда устанавливалась Винда XP.
Что за бред?...

[Rackot]

Цитата

Странно. Вон я читал про безопасность когда устанавливалась Винда XP.
Что за бред?...

Это ты о чем?

[Ну занято так занято...]

Это он о "С Windows XP вы всё сможете делать быстрее и безопаснее. Теперь нет нужды бегать в аптеку при выходе в интернет! Необходимые средства прилагаются."

[Ainu]

Угу, факт.

Но если о сабжекте - активный на компе вирус обходит антивирусы (во всякос случае известные). Т.е. если касперский постоянно находит трояны - значит есть троян дроппер - и он его не видит - в этом случае надо на другом компе создать загрузочный набор из 4-х дискеток касперского с последними обновлениями баз естественно и с него загрузиться на зараженном компе. Если на нем NTFS5 - тады ой... дискетка касперского использует какой-то линукс - т.е. ровной поддержки NTFS5 там нет. Да - если это все в локалке - то процедуру провести с отключением компов (всех) от нее, на всех по очереди - иначе музыка будет вечной )кажется это было (с) SONY

[Vovka]

Такая проблема запускаю Xp вылетает окно как при том, когда был вирус BLAST но тама совсем другое ошибка связана с филом lsass.exe и комп через 1 мин перегружается что делать ???

Vovka, я немного подправил заголвок чтоб в глаза бросалось.
[KpeHgeJIb]

[4x]

Vovka
А ты уверен что избвился от лавсана? Он ведь файлы по разному называет. Заплатку ставил? Утилитами удалял?

[vitruvian]

Теперь я об этом же

Заплатка от мсбласта стоит, антивирусные базы новейшие, проверял все диски, утилита от касперского тоже ничего не нашла....

Очень похоже не ловсан, но не он это....

Пока что спасаюсь firewall'ом, пока он работает все путем...


Может есть еще какие-то заплатки для ХРюши?

[SWAT]

В папке system 32 не нашел ни одного подозрительного файла. Могут ли они быть скрытыми?

[Ну занято так занято...]

SWAT
Как два пальца об асфальт.
А у вас что, стоит крыжик "Не отображать скрытые файлы и папки"?

[KpeHgeJIb]

Итак, этот вирус называется W32.Sasser.Worm
Его действие похоже на MSBlast он тоже перегружает комп за 60 сек.
Опять подвержены системы Windows 2000, Windows NT, Windows Server 2003, Windows XP.
Для знающих инглиш, читайте тут http://www.microsoft.com/security/incident/sasser.asp
Заплатки можно скачать тут
Утилиту для поиска и уничтожения вируса, качать тут

[asp!smtu]

Может я повторюсь:
Сервант под 2k+3.
В нормальном режиме - не грузится, БСОД и ребут.
В сафе режиме - грузится, перед вводом логина - окно с какой-то ошибкой у lsass.exe. После закрытия окна - ребут... =(
Это то, что описано выше?
PS ошибку конкретнее скажу в среду-четверг, когда появлюсь на работе. =) Тогда же будет и конфа.

[vitruvian]

KpeHgeJIb
Оно

Сегодня и каспер начал его опознавать
Worm.Win.Sasser.a

а то я уже запарился отсылать им avserve2.exe на исследование

[4x]

Я тут потерял ссылку,где было написано какую службу надо перезапустить чтобы комп не перезагружался от lovesun'a. Кто нибудь знает какую? Может и от энтого поможет...

[KpeHgeJIb]

4x
Чтобы комп не перезагружался достаточно при появлении окна с ошибкой
Start>Run и там написать shutdown -a

Либо в сервисах для "Локалный вызов процедур (RPC)" (aka Remote Procedure Call) на закладке "Востановление" в графах "Первый сбой", "Второй сбой" и "Последующие сбои" выставить "Не выполнять ни каких действий" или "Перезапуск службы"

Правда от перезапуска RPC комп работать лучше не станет, после ее падения падают все зависящие от нее службы, а их не мало.

[4x]

KpeHgeJIb
Thaks!

[ZVER3]

через некоторое время пребывания в интернете винда выдаёт табличку:
неожиданно был завршённ процесс Isass,перезагрузка произайдёт через 60сек.
подскажите решение этой проблемы!

З.Ы.если это вирус(что более вероятно)подкинте пожалуйста ссылку на лечилку......

[_mistako]

....лечиться это одним из WindowsXP-KB82XXXX-x86-ENG/RUS.EXE , есть точьно на FTP://FTP.IWT.RU .......

[ZVER3]

спасибо конечно...но...там же куча этих КВ82ХХХХ-х86,мне что все качать?а можно ли поподробней?

[asp!smtu]

Похоже на семейство Sasser.
http://securityresponse.symantec.com...oval.tool.html
Потом патчи
http://www.microsoft.com/technet/sec.../MS04-011.mspx
http://www.microsoft.com/technet/sec.../MS04-012.mspx
http://www.microsoft.com/technet/sec.../MS04-013.mspx
http://www.microsoft.com/technet/sec.../MS04-014.mspx
И обнови систему через WindowsUpdate

[Unlock]

Народ, когда появляется такое окно, то избежать перезагрузки помогает перевод времени назад. Т.е. хотя бы на день назад. И тогда будет время зайти на форум и посмотреть что и как лечить
Вот блин гадость Я думал Нортон никакая зараза не возьмет Еще вчера слушал по радио про эпидемию этого вируса и подумал, но вот, опять куча ламерских компов падет и тут прихожу на работу и на тебе Но спасибо этому форуму и все Ok

Unlock добавил :

Нифига себе... Утилита Нортоновская не нашла вируса, а ведь все признаки есть... Что бы это значало?

[vitruvian]

Unlock

Цитата

Что бы это значало?

Возможно утиль лечит только модификацию .а, а к тебе залезла .b (сейчас уже не слежу за ними, может и другие появились).

Может быть вирус висит в памяти (имена процессов в библиотеке касперского)...

[asp!smtu]

Unlock Может у тебя в Винде TimeBomb сработал? пуск - выполнить winver.

[ZVER3]

вот это я понимаю....
в следующий раз буду внимательнее..

[Unlock]

asp!smtu
Не, у меня корпоративка

[Fil]

Рискну вызвать в свой адрес не сколько усталых вздохов у местных старожилов, но я всё с той же проблемой что и все. То есть симптомы полностью аналогичны msblaster. Только с ним всё было просто и понятно: поставил заплатку, удалил автозапуск, перезапустился и снёс сам файл. Теперь видно появилось что то новое, а здесь я не чего не нашёл кроме -

Цитата

Набираешь в командной строке
dcomcnfg
Затем на закладку Default Properties
Enable Distributed COM on this computer снимаешь чекбокс

я не силён в данных тонкостях, тем более настройки службы компонентов у меня, почему на русском. Но если имелось виду отключить «разрешить использование DCOM на данном компьютере» то это не помогло.
может плохо искал, но копаться долго в форуме, когда идут сплошные перезапуски…

На windows update есть три заплаты не установленных на моей машине (XP home edition), но поставить их не получается так как они требуют подключения к сети (даже при установки с винта) а это приводит к перезапуску. Да и заплаты как я понимаю сам комп не вылечат.
Если кто напишет, то пожалуйста по проще и поподробней, что бы было понятно даже такой тумбочке вроде меня.

[Lamo]

Fil
Я только одного не пойму, ведь загрузку с флопов/сд/флешей никто еще не отменял...
далее запускаешь консольный/досковый вариант любого антивиря с последними апдейтоми,
например тогоже Веба или Каспера, и лечишь комп...

З.Ы. чистое ИМХО - все эти эпидемии доставляют неприятности
только корпоративным пользователям, а хомякам это даже типа
развлечения (извращенного правда).
Вобщем-то все это упирается в болезни "грязных рук" - следить надо за тем, что в рот тащишь

Lamo добавил :

Fil
вот еще Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)

[Wertiks]

Всем добрый день!
Поймал этот новый вирус - выходит окно с обратным отчетом времени до перезагрузки.
Проверил вебом - не нашел.
скачал патч, запустил - не помогло, все равно идет перезагруз...
Что можно сделать-то?
искал msblast - нигде нет

[Wertiks]

переустановил винду, пропатчил, искал везде
ничего не помогает...............

[Rackot]

Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)

[Alexandra]

Как оно уже достало,кто-нить знает откуда полезла ета сволоч порядочная? Заспамила ба гада.....

[LOAD]

здесь почитайте - http://www.viruslist.com/alert.html?id=145080269

[Lamo]

Обращение ко всем кто уже имел дело с Sasser
очень нужно поиметь этого червя, кто его лакализовал
прошу бросить его на allshares(dog)mail.ru
архив запаковать винраром с шифрацией имен файлов, пароль на архив - мой ник
(это чтобы мыло не прибили антивири почтовиков)

З.Ы. подцепить в нете !_НЕ ПРЕДЛАГАТЬ_!, мне нужно устроить контролируемое размножение
на локализованных машинах, типа маленькой локали для проверки некоторых червоклюев.

Lamo добавил :

интересует также msblast

[SWAT]

Alexandra
Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM. Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили. В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря… И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается. В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети). Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun". Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:
"Система завершает работу. Пожалуйста, сохраните все несохраненные данные. Отключение вызванно
NT AUTORITY\SYSTEM. Сообщение: Windows будет перезагружен из за внезапного отключения удаленного вызова поцедур (RPC)"
Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.
"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.
Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово. После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер ) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен.
Мой компьютер исключением не стал. Все прелести нового червячка я успел попробовать на себе.

[Alexandra]

SWAT
Спасибо,конечно,за ликбез,но я постила про другой вирь-Sasser

[siBEERian]

Арестован школьник, создавший вирус Sasser

у меня проблема с Isase.exe а также постоянно вывалевается
что Wind. блокирует direct CD
помогите пожалуйста с этим справиться

[SS20]

Была такая проблема. Симптомы: самопроизвольная перезагрузка компа, использование процессора на 100% при полном бездействии. Устранил прогоном AVP 5.0 (пробная версия, взял на сайте AVP.ru, он обнаружил 527!!! вирусов sasser), после чего поставил заплатку от Microsoft. Если не устанавливать заплатку от Гейтса, то этот вирус будет валится из инета, даже если ничего не делаешь.

[Lamo]

Млин пол Инета заражено и никто намылить его не может
народ ну вы че ?
Jon
Хоть ты пульни его

[deman]

К счастью я отношусь к другой половине

[Rockman5]

Прикольно Сейчас его видно в "Диспетчере задач Windows". Занимает окло метра. Вроде немного, может оставить
 5А;8 А5@Л57=>, Б> =>@Б>= 53> =5 =0H5;
Tolko chto takim stal moj russkij shrift A napisal Ja, chto Norton s nim ne spravilsja

Rockman5 добавил :

И это не спасло http://downloads1.kaspersky-labs.com...lrav/clrav.zip
Хм... а с русским шрифтом временный глюк...

Rockman5 добавил :

Значит так. У меня это было вчера всего один раз. Но ЭТО БЫЛО! Две утилиты ничего не нашли... Должен ли в винде вообще сидеть процесс LSASS.EXE?

Блин, ну комп ведь один раз перезапускался и это был не msblast.

Rockman5 добавил :

А эти процессы должны быть или нет: CSRSS.EXE и SMSS.EXE?

Rockman5 добавил :

Причем диспетчер не может их завершить. Так и должно быть?

Rockman5 добавил :

Еще вопрос: что нужно сделать, чтобы комп перезагрузился?

Rockman5 добавил :

Вот

Цитата ([b) »

Rockman5[/b] ]А эти процессы должны быть или нет: CSRSS.EXE и SMSS.EXE?

http://www.viruslist.com/viruslist.html?id=480301

Цитата

С помощью дополнительных компонент SMSS.EXE и CSRSS.EXE червь пытается замаскироваться в системе. Оба файла обеспечивают работу основного модуля LMHSVC.EXE, если по каким-то причинам он оказался выгруженным из памяти. Кроме того, эти компоненты следят за запуском REGEDIT, и, если REGEDIT запущен, временно стирают свои ключи в реестре и восстанавливают их при закрытии приложения REGEDIT. Таким образом, червь реализует механизм невидимости в системном реестре.

Елы-палы...

Rockman5 добавил :

Я так понимаю его лучше удалить из ДОСа, только чем?
И че делать с LSASS

[Lamo]

Rockman5

Цитата

И че делать с LSASS

Да ничего с ним не делать !
это как раз та служба Вина
на которую червь виснет
Если прибьешь ее, то половина служб сразу рухнет

[Rimlyanin]

Закрой фаирволом 135-139 и 445 порты и будет тебе счастье, Agnitum Outpost Firewall Free искореняет это безобразие на корню даже в "режиме разрешения", Pro тем более , но он платный.

[gromikk]

Дык у меня ни чего не качается.
Чего делать ни знаю.

[Ober]

И до меня добралась эта зараза
что самое интересное
жег DVDшку , смотрю у меня буфер освобождается , один потом вторй , медленно так кубики убывает , а потом все проги нежно-плавно закрываются и камп перезагружается, блин испорчен!
Каспер 5.0 стоит две недели назад поставил , обновляю почти кажндень и все равно пролез су№%%

[Rackot]

Цитата

Каспер 5.0

От этого не поможет, только FireWall и/или patch

[Rimlyanin]

Цитата

Закрой фаирволом 135-139 и 445 порты и будет тебе счастье, Agnitum Outpost Firewall Free искореняет это безобразие на корню даже в "режиме разрешения", Pro тем более , но он платный.

[Marvel_new]

Люди помогите, подцепил вирус,он редко вызывает перезагрузку, балуется с интернетом, то дает трафик то до нуля глушит. Поиск в виндуосе не работает - просто черная полоса где должно быть окошко поиска. В папках на глаз вроде не нашел ни бласт ни фтп, в реесте поиск работает тоже не нашел. Скачал фикс бласт - пишет не обнаружен вирус. Видно этокакой-то новый. Еще он знаете че делает, после непродолжительной работы в интернет, как то заглючает всю систему, я даже не знаю как объяснить, ярлыки нажимаешь они гаснут и не откликаются, в меню пуск перестает работать всплывающие меню и тд.
ЧТО ДЕЛАТЬ??? УМОЛЯЮ ПОМОГИТЕ!!

[4x]

Marvel_new

Цитата

ЧТО ДЕЛАТЬ??? УМОЛЯЮ ПОМОГИТЕ!!

Поставь Firewall и проскань антивирусом, зайди на WindowsUpdate и поставь заплатки.

[SnooP]

2 ALL
Народ не поверите, знаете я свой мс бласт откуда подцепил.... с диска с игрой!!!!! После установке игры в автозагрузке появился фаил nvsc32.dll, именно после установки, т.к. за автозагрузкой у меня следит WatchDog.
Вот так вот

[Xen]

Ну в принцепе ничего удивительного нет особенно если диск пиратский.

[Avatar]

Привет. Подскажите че за ерунда ломится ко мне на компьютер? Kaspersky: Anti-Hacker постоянно выкидывает атаку типа "Helkern". Что это и как лечить?

[Rackot]

Читай:
http://www.viruslist.com/viruslist.html?id=1701882

[Avatar]

Spasibo. A to poisk po forumu nichego ne dal. Sorry za translit - naklejki posletali. Eshe raz spasibo.

Avatar добавил :

Ja tol'ko tak i ne pon'al kak izbavitsa ot atak ne zakryvaja port. Ja SQL Server ne ispolzuju, po krajnej mere soznatel'no. A dl'a ustanovki fixa ot MS nado kakie-to updates kachat' dla etogo Servera...

[Rackot]

Цитата

kak izbavitsa ot atak ne zakryvaja port

От аттак и не избавишся, он так и будет ломиться, вирь же не знает если у тебя SQL или нет...

[Nirvana]

Цитата (Rackot) »

От этого не поможет, только FireWall и/или patch

Мнге патч не помогает. Поставила, 5 минут работы в инете и снова больна!
А вот FireWall помогает. Месяц спокойно жила. Потом вклчила режим бездействия на пару минут и снова лечиться пришлось.
АВП и DrWeb кстати кричит когда он проникает на комп, но пускает его без проблем.
Во зараза какая и лечится плохо.
Я уж подумываю о переходе на Вин 98 для работы в инете.С ней таких проблем не было.

[Rackot]

Цитата

Поставила, 5 минут работы в инете и снова больна!

Их надо все ставить...

Цитата

АВП и DrWeb кстати кричит когда он проникает на комп, но пускает его без проблем.

У них нет возможности противостоять такому способу заражения, это прерoгатива FW

[Nirvana]

Цитата (Rackot) »

Их надо все ставить...

Так все вроди бы и ставила.
Запускала Windows Update и он автоматом все ставил. 60 или 80 мб, если не ошибаюсь.
А вобще говорят FW что идет с Вин ХПи тоже помогает. Только я не знаю как его настроить.
Использую Outpost Firewall Pro 2.1

[Rimlyanin]

Цитата

А вобще говорят FW что идет с Вин ХПи тоже помогает. Только я не знаю как его настроить.

посмотри на этом сайте "Организация IP брандмауэра встроенными средствами Windows 2000 и XP"

[#GRADER#]

После того как я установил вот эту заплатку WindowsXP-KB823980-x86-RUS.exe - ни одна хрень ловсановская и мсбластовская не пролазит ко мне заплата закрывает порты нужные и всё в порядке становится... вот уже как 4 месяца ничего нет ни в диспетчере задач , ни в реестре в автозагрузке... Касперский тоже не находит ничего...
В общем в яндэксе поищите WindowsXP-KB823980-x86-RUS.exe - там легко найти, и установите...

[MannyC]

Загруж винду скоренько давишь 3 волш конпки летишь в таскменеджер и убиваешь сервисы lsass.exe и его проявления затем поиском файлов нах данный файлик делет его и перегр должно все быть ОК потом пачи и все прочее

[Rackot]

lsass не вирус, это служба

[alex 2000]

товарищи уменя схожая проблема только сообщение появляется в начале загр. винды пишу дословно: "isass.exe-системная ошибка. Неустранимый сбой операции ввод и вывода, запущенной из реестра. Не удалось выполнить чтение, запись или запись буфера для одного из файлов, содерж. образ сист. реестра." далее следует перезагруз, и все начинается заново, но раза через три загружается. Винду переставлял, весь диск форматировал
, ЕСТЬ ли лекарство???

[Rackot]

Цитата

ЕСТЬ ли лекарство???

Патчить!

[alex 2000]

я уже так все запатчил, что дальше ехать некуда. Уже винду с SP 2 поставил, все обновления скачал

[Rimlyanin]

А вот SP2 ещё не выщел, не спеши...
Антивирус стоит? базам меньше недели?
А про фаирволл не забыл?

[Rackot]

Цитата

ЕСТЬ ли лекарство???

Забыл добавить: ХВАТИТ ОТКРЫВАТЬ ИСПОЛНЯЕМЫЕ ВЛОЖЕННЫЕ ФАЙЛЫ ПО EMAIL!

[Kosh_w]

Парни одна прикалюха кто незнает насчет этих червей с щетчиком в минуту, когда появится отчет о выключении через минуту, просто время переведите на год назад, и у вас в распоряжении будет не минута а целый год, Червь пользуется щетчиком системы

[Kroshka.Ru]

Спасите-помогите! У меня постоянно вылезает окно с надписью "Система завершает работу. Сохраните документы и выйдите из системы. Необходимо пергрузить винду. Произошла непредвиденная остановка удаленного вызова процедур. (RPC)" И счетчик на 1 минуту. Что это??!!

[Rackot]

Цитата

Спасите-помогите! У меня постоянно вылезает окно с надписью "Система завершает работу

Вирь!
FireWall блокируй порты 137, 138, 139, 445 И патчить!!!!

[Rimlyanin]

Цитата

FireWall блокируй порты 137, 138, 139, 445 И патчить!!!!

А я кажется об этом уже писал....

[Kroshka.Ru]

Rimlyanin Да я даже прочитать не успевала как эта гадость выползала на экран.

Rackot Говорил ты мне, W2k ставить... Эх ладно. Будем чинить.

[snakehunter]

иди ПУСК > АДМИНИСТРИРОВАНИЕ > СЛУЖБЫ > Удаленный вызов процедур (RPC)
во вкладке восстановление ставь действия ПЕРЕЗАПУСК СЛУЖБЫ мне это много раз помогало ,

а еще лучше поставь Касперского и обнови его , затем запусти сканер и он сам все найдет и обезвредит.

[Starley]

Сегодня в свежем номере газеты "Компьютерра+", Новосибирск, №35 прочитал статью про новый троян "Togfer", обнаруженный лабораторией Касперского. Ну, не знаю, новый он или не новый, но, по-моему, у меня он сидит уже минимум месяц. Там написано, что троян записывает свой основной файл в каталог Windows (в папку System32) под именем svchost.exe и регистрирует его в ключе автозапуска реестра.
Когда я открываю диспетчер задач, то в списке процессов этот файл у меня фигурирует аж 5 раз. И что самое интересное, когда я завершаю процесс с этим файлом, то появляется табличка, примерно такая-же, какая почти у всех у нас когда-то появлялась, когда мы ловили Blaster Worm, что, типа, система завершает свою работу, и компьютер перезагружается через минуту.
Может, кто знает, как избавиться от этого файла, не навредив системе.
Касперский у меня не установлен, т.к тормозит страшно (у меня Windows XP), а Dr.Web пока ничего не видит, обновляю ежедневно.

[raze]

прикол в том что svchost.exe эт и есть часть сервиса RPC, при вырубание это сервиса вылетает окошко(т. е. такая вот защита), и червь тоже закрывал его (вообще по задумке не должен был - ошибка в программе вируса)

[Xen]

Starley Поставь 5ого Каспера, он совсем систему негрузит и в настройках у него всё просто и функционально!!!

[Doxlii]

после загрузки винды lsass.exe грузит процессор на 87% кто нибудь знает как с этим бороться.

[Doxlii]

всем спас я выше уже прочел обовсем

[тэка]

при включении ПК звук пропал(при выключении вчера всё было нормально).Однажды (5 дней назад )такое было:тоже не включался.Установила заново(инсталлировала)какой-то аудио драйвер с диска(при покупке мат платы прилагался).Помогло.А почему пропадают? У меня стоит VirusScan On-Acces Scan.Показывает 5 заражённых файлов..Чувствую,что собака может быть в этом.А как мне от этих 5 избавиться

[Xen]

Ну так надо эти зараженные файлы отправить куда подальше, желательно в безопасном режиме. А вобще лучше поставить антивирь получше, что то типа пятого каспера!

[Lamo]

Xen
Каспер - не панацея от всех бед, это так "мираж защиты"
Если у тебя он систему не грузит значит и не все проверяет.

Нужно толково настроить фаер-прокси, желательно с возможностью
скана всего входящего трафика на предмет червивости.
И повесить резидента с высоким уровнем эвристики (например Веба),
пусть даже "эврист" и лечит хуже - главное вовремя найти.

Или применить комплексное решение - "тяжелый" фаер-прокся,
типа Чека или Исы с подвесом СурфКонтрола и пакета НетСюит -
вот через "это" пролезть - очень вы№;ся надо.
Но это не для простых смертных юзеров, бобла на такое не хватит и руки прямые иметь надо.
(если не варез, то в общей сложности около 7 тонн стреляных енотов)

[Xen]

Для дома енто совсем ненужно, на протяжении 3х с гаком лет пользую исключительно каспера и никаких проблем по причине вирей небыло. Я не предлогаю преходить всем на каспера, просто лишь констатирую факт из личного опыта.

[тэка]

Lamo Xen Я с трудом понимаю всё.что вы здесь натёрли...(чайник.понимаете ли).Что сейчас мне можно сделать(2 месяцаназад уже переустанавливала винду-больше не хочется,так как потом неделю доводила до ума).как убить то.что уже у меня сидит..с моим вирус сканом я не смогу?Что тогда записать,чтобы просканировать и убить?а как вручную?

[t0p_VD]

тэка

Цитата

а как вручную?

Узнать имена файлов и Shift+Del..

[Rackot]

тэка Загрузка в сейф моде, проходись антивирусом с последним обновлением. Больной винт загрузить слейвом и проверить из здоровой винды. Что бы впредь такого не случалось, ОСь пропатчить до последнего обновления, поставить и настроить FW и антивирь, не пользоваться IE и MO, OE, а другие почтовики настроить на просмотр сообщений по умолчанию в plain text и не открывть первые попавшиеся файлы с разрешением exe, et cetera даже если есть подпись кликни меня и будет тебе счастье

[тэка]

Цитата (Rackot) »

Загрузка в сейф моде, проходись антивирусом с последним обновлением

у меня естьVirus scan On-Access Scan
to` Outpost Firewall Pro(русский),а ещё сам записался(хе-хе)Spy Ware Stone-всё что-то мне хочет сделать ( а я не догадываюсь..)просканировала..так он выдал мне 148 файлов подпорченных и предлагает помощь для уничожения за 29 $ кажется..Я уже согласна на переустановку,но потеряла загрузочную дискету(сам диск с ХР есть).

тэка добавил :

каким антивирусом пройтись?и куда загрузить больной винт?

[Xen]

Ну так если есть установочый диск в чем проблема? Можно переустановить или установить "поверх" чтоб все порченные файлы заменились или форматнуть и ставить чистую винду! А антивирь всётаки замени!

[Rackot]

Цитата

Можно переустановить или установить "поверх" чтоб все порченные файлы заменились или форматнуть и ставить чистую винду!

Сначала пролечить. Поставь антивирь Касперского только ключик к нему для лечения все равно понадобиться

[тэка]

NA2004 пробовала поставить-записался,сделала unzip to folder-(303 failes unzipped succesfully).. А дальше мне не сдвинуться.Как открыть его?Бред какой-то..

тэка добавил :

У меня нет WinZip может быть?поэтому не открыть?

тэка добавил :

WinZip 0.9 как понимаю,стоит 29$Круговая порука вокруг чайников..

тэка добавил :

ладно,докопалась до winzip 90...

тэка добавил :

так для него ещё и ключ нужен!!!!Где взять его???

[Rackot]

тэка Для NAV ключ не нужен, там активация. А вообще антивири проги платные и что бы они что-то делали, нужно им сказать, что они куплены, для этого используют ключи, активации и серийные нромера, et cetera. Нет WinZIP - используй WinRAR они понимают алгоритмы друг друга.

Цитата

Где взять его?

Купить или найти в инете, больше нигде. И да, здесь взлом обсуждать нельзя.

[Ну занято так занято...]

Может всё-же тэка радмин поставить? А то ещё 200 лет объяснять будете.

[Lamo]

Ну занято так занято...
Тут ИМХО чатовку к форуму прикрутить для таких случаев надо...

[Ну занято так занято...]

Очень даже.

[Xen]

Цитата

так для него ещё и ключ нужен!!!!Где взять его???

Ну енто совсем вопрос т.с. некоректный! Есть такая вещь как поиск в инете, им можно воспользоваться! Если применить старинную пословицу: " Язык до Киева доведет", так что всё в наших руках(и голове)

[3acmoJIbe]

тэка

У тебя DC++ есть?! Можешь оттуда скачать.

[Rackot]

Lamo Ну занято так занято... Ася рулит

[t0p_VD]

Rackot

Цитата

Ася рулит

Это у кого есть...

[Lamo]

Аллергия у меня на эту тупую тетку

[Домовой]

У меня червь прописался в дистрибутивах на диске d и оттуда при установке после форматирования спокойно запускался сам при установке программ.нашел случайно просто эта-ЖА программа была на CD и чисто визуально ее увидел а касперский с ежедневным обновлением тихо молчал

[gautama]

У меня тоже подобная проблема- в смысле win XP пререзагружается когда хочет. Ошибка мне не понятна, что делать???????

[ka81]

Цитата (Rackot) »

Цитата

Спасите-помогите! У меня постоянно вылезает окно с надписью "Система завершает работу

Вирь!
FireWall блокируй порты 137, 138, 139, 445 И патчить!!!!

Где именно в ауте прописывается блокировка портам (этим)?

[Rackot]

ka81 Тут почитай и в фак там же загляни Настройка Agnitum Outpost Pro 2.хх

[SLavOS]

Чего вы так парились с этим вирусом...У нас в сетке он тоже гулял...ставите заплатку, захожите в Диспетчер задач--->Процессы ищите mslaug
завершаете его работу, заходите в windows/system32 ищите этот файлик с расширением exe и удаляете! И больше, по идее он вас не должен беспокоить! Что произошло и со мной =)
Извените если повторяюсь! Так на всякий пожарный написал.

[KEHT]

у меня тоже zonealarm стоит и касперский, но иногда такая табличка вылетает, систему тестил на вири и заплатка стоит, но что вызывает эту ошибку...

[Sco®pion]

Блин, та же проблема. У касперского лежит линк на лечилку - хрен, ноль-эффект. Спасаюсь Outpost'ом, с выставленным запретом на соединения для "LSA Shell (Export Version)"

[Gelid]

Привет!
А я похоже, совсем дурак!
У меня эта надпись выскакивала, выскакивала и надоела мне!
Я полазил где надо и поставил значения RPC "не делать ничего".
Теперь все нормально, и антивирь молчит!
А вируса как небыло так и нет!
Скорее всего это глюк в winде...

[Rackot]

Sco®pion Ссылочку из подписи я бы попросил убрать.

[Sco®pion]

ненавижу подобные запреты, но в чужой храм, как говорится....

[Gelid]

Цитата

Спасите-помогите! У меня постоянно вылезает окно с надписью "Система завершает работу. Сохраните документы и выйдите из системы. Необходимо пергрузить винду. Произошла непредвиденная остановка удаленного вызова процедур. (RPC)

Привет!
Не знаю чилали ли вы, но я уже кажется писал что в меню службы надо найти
пункт "Удаленный вызов процедур RPC" и поставить значения "ничего не делать " после 1,2 и последующих сбоев!
У меня теперь ничего не выскакивает и вирусов нет!

KpeHgeJIb -спасибо за спасение жизни моего лучшего друга! А то я(обливаясь слезами )собрался сносить ХРюшу....Это просто праздник какой-то !

[MFractal]

а вообше когда прыгает "60 секунд-окошко" можно его сразу-же снести.
Start->Run->cmd
shutdown -a - ето отменит перезагрузку. (Win2000/XP/2003)

p.s
Может уже писалось но я не нашел.

[SnooP]

Не... дурак не ты, дурак твой антивирь, если он молчит когда тебя сношают через все порты. А у тебя всего лишь Head.dll слетел.

[Alexandra]

2 All
В пятницу началось................,какой-то гад открыл почту,чтоб он зззззздох,и все 2000 & ХР рухнули как подкошенные,вроде и ругались со всеми чёб почту не гоняли мимо нашэго сервака,ан нет,мы круче всей планеты.Ну естесственно SP ни кто не ставил,зря конечно ,щя дрюкаемся,но собственно вопрос-как в сетке гада найти а......?

[Lamo]

Alexandra
Разверни OfficeScan,
глушила все это дело на раз.

Или ты этого

Цитата

какой-то гад открыл почту,чтоб он зззззздох

гада найти хочешь

Тогда гляди кто поп3 на проксю гнал... хотя вебфейс... ндя...
Маил сервера из логов выбери если очень хочешь достать его...
Ну еще шанс по дате создания модулей виря... один хер вам по конторе бегать...
Ну базы почтовиков проверь если эта сука письмо не удалила и пак базе не сделала...
Ну сузишь зону до десятка другого зверей, а там уже проще будет

[Rackot]

Alexandra Если есть FW на шлюзе, смотри какие машины стучаться в инет постоянно

[t0p_VD]

Lamo

Цитата

Разверни OfficeScan

Что это есть?

[Alexandra]

t0p_VD
А это решение от тренд-микро,оч понравилось,щя пойду боссов душить на деньги.
Rackot
Фаер стоит ,логи погляжу.
Lamo
Найду гада,на могилке спляшу.

[Lamo]

Rackot

Цитата

Если есть FW на шлюзе, смотри какие машины стучаться в инет постоянно

да у нее сейчас все подряд стучатся

Вопрос кто раньше начал

[Alexandra]

Сёдни одного ,из 470,вычислили,завтра у него визит к проктологу.

[Lamo]

Alexandra
Лошадиному

[Rackot]

Цитата

Вопрос кто раньше начал

логи решают все!

[Alexandra]

Rackot
Да не по логам нашли,просто этот дурень на перезагрузку пожаловался,и тачку принёс,а вот по дате,что Lamo вещала,его и прищучили.
А вот в логах просто кошмар.
Lamo
По лошадиному ему не больно будет,я ему слона заказала.

[Lamo]

Alexandra
Well Done.
У меня примерно тоже было... тоже на дате попался...

Цитата

я ему слона заказала.

И по больше

[Rackot]

Все равно (надуваясь), первая запись в логах и есть первое заражение с 80% вероятностью

[Alexandra]

Rackot У нас детки некоторых родителей,по вечёрам,по инету сёрфят,я думаю ты понял по каким адресам.На пол шестого (времени)их всех порубили.

[Гхост-цзы]

Цитата (Alexandra) »

А вот в логах просто кошмар.

Не знаю как в винде, а в *nix-системах есть отличные проги по автоматической обработке логов прокси. С их помощью можно легко, не роясь в логах, узнать - кто, когда, куда и сколько.

[Lamo]

Гхост-цзы
Не нужно говорить какие классны никсы:
при 470 машинах, даже если это не эпидемия,
а нормальная работа +

Цитата

У нас детки некоторых родителей,по вечёрам,по инету сёрфят,
я думаю ты понял по каким адресам

там не кошмар, а просто писец будет. (извините, но это именно так и называется)
А в разгар эпидемии и говорить нечего...
это все уже проходили... и разницы нет АБСОЛЮТНО никакой никс это или виндовс,
все одинаково прекрасны и черт в их логах ногу сломит.

[Гхост-цзы]

Вообще-то смысл моего поста был не в том, что никсы рулят, а винда - отстой. Каждому - своё.
Речь шла об использовании прог, позволяющих автоматизировать обработку логов прокси. Ибо самый верный способ поймать за руку нашкодившего юзера - это ткнуть его моськой в дисплей с логом. Далеко не каждый зверь сам прийдёт и скажет:"Это я нагадил и готов кровью искупить свои деяния."
А спорить с тем, что

Цитата (Lamo) »

там не кошмар, а просто писец будет. (извините, но это именно так и называется)
А в разгар эпидемии и говорить нечего...
это все уже проходили... и разницы нет АБСОЛЮТНО никакой никс это или виндовс,
все одинаково прекрасны и черт в их логах ногу сломит.

бессмысленно, копать логи вручную и с десятком зверей - удавиться можно.

[Lamo]

Гхост-цзы
У уважаемой Alexandra вопрос стоит несколько иначе, чем

Цитата

это ткнуть его моськой в дисплей с логом

Почему? А потому, что
1.

Цитата

У нас детки некоторых родителей,по вечёрам,по инету сёрфят

Ну пусть "некоторые" это число = 15 (а может и более, я свечку не держала)
и они на протяжении N-времени там безнаказанно сёрфят
на псевдозаконных основаниях.
Соответственно качают всякую муть, тогда как узнать по логам
кто из них это сделал, а именно стартанул вирь?
Если все были и там и там, и качали туеву хучу бинаров... никак,
хоть за сортируйся их.
2. Они там сёрфят полюбому не без ведома Alexandra
или кого-то из ее бойцов. Что конечно недопустимо какой-нидь инструкцией.
Но на это просто закрывали глаза... Т.е. было "негласное добро" на сёрф -
это ессно ее компроментирует и она НЕ может повязать всех кто ходил "налево"
и отвести к слоновьему проктологу.
Ей нужен ИМЕННО ТОТ ЕДИНСТВЕННЫЙ! И логи тут не помогут.


Хотя я тоже предпочитаю работать по VPN через свои рабочие прокси,
т.к. они более защищены, а подставлять свой нотик мне не очень хочется.
Вот не канает меня, лежа в больничке, еще и гонять червей по машинке - и все тут.


3. Если БЫ соблюдалась инструкция и были закрыты все сайты кроме рабочих,
+ на проксе/шлюзе висел червоклюй сканящий ВЕСЬ входящий трафик,
а некоторые умники просто обошли это дело и ограничения -
тогда без "Б" - ВСЕХ на сеанс к проктологу...

Alexandra поправь если не так, но думаю ситуация сводиться к этому,
ессно конкретные вариации "на тему" уже Ваши

Так, что не так все просто это...
Интрижки надо _уметь_ плести...

[Alexandra]

Lamo
Всё вышесказанное-обсалютно в точку,а что касается никс али вынь,то у нас и то и то и базы по сайтам иксовым ведём да что толку ,плодятся как кроли.
Да и крайним должон быть тот ,каторый может им быть.

[Alexandra]

2All
Вытрясли,под шумок, NeaTSuite Enterprise Edition на 500 лицензий,придёт отпишу результаты.

[PIO]

Ребята я скажу одно, Dr. Web не лечит этот злючий вирусяку и обзывает его
W32.HLL.Alaxala. Что скажете на это в TaskManager грузится какая то хрень
вот такая DLLhost.exe и когда пытаешься открыть браузер, например mail.ru идет переадрессация на какой то сайт nav.startnow.com

PS: Кстати в процессах висит это каляка __ r.exe, прописывает себя в реестре и дело в том, что пока сетевой шнурок в сетевухе эта хрень лезет и лезет удалишь все левые процессы, выдернишь шнурок и все в порядке.
Я уже услышал ответ от ребят, что нужно гнездить заплатку и это я думаю должно помочь

[t0p_VD]

PIO

Цитата

Я уже услышал ответ от ребят, что нужно гнездить заплатку

Правильно услышал.

Цитата

Что скажете на это в TaskManager грузится какая то хрень
вот такая DLLhost.exe

Убить.

Цитата

__ r.exe

Тоже убить.

Цитата

Кстати в процессах висит это каляка __ r.exe, прописывает себя в реестре и дело в том, что пока сетевой шнурок в сетевухе эта хрень лезет и лезет удалишь все левые процессы, выдернишь шнурок и все в порядке.

Отключай сеть, убивай вирь, ставь заплатку, включай сеть.

[YORRIK]

Всем привет ..... честно оворя к форуму обращаюсь первый раз в жизни (обычно находил все в инете ... или решал сам ... или по знакомым)... т.к. возникла проблемка ... как раз по теме ....
Значится так ... комп ... 3200 бартон...256.... 80 ... Нфорс2 .... и.т.д. Софт ХР+СП2+5й касперычь....вирусами в жизни не страдал .. сразу прибивал ... как мог ... но вот сдесь ....
На диске С-Вынь 98... на Д-вышеописанная ХР....работаю везде и всегда в ХР... после очередной ночи в инете... перезагрузил комп... и ХР.. пишет lsass.exe обьект не найден..... вот в принципе и весь рассказ ... винда .. стоит уже х..н знает сколько .. там все пароли .. и т.д. (ну сами знаете как не хочется её терять)... короче бородой обросла от старости...... Из безопасного режима тоже самое .. обьект не найден .... при нажатии ОК .. комп перегруается во всех режимах....
Я недолго думая .. ставлю ... ХР .. на диск .. С.... (т.к. Д под НТФС ... 98я не видела...)... и лажу и касперычем ... и нортоном ... и САССЕР ремуверами ... и не фига .... вирусов нет .... все .. ок ... весь прикол в том . что ..ЛСАСС то . есть ... и не один , а в папке систем 32 ... их аж 2 , т.е lsass.exe и lsass.exe(2).. я уже все перепробовал ... оставлять то один то другой ... то с новой винды с диска С .... копировать его ... ничего ... Обьект не найден .. хоть застрелись ...
Весь инет облазил .. все советуют заплатки .. апдейты .... это чудно .. но никто нигде ни разу .. не сказал чего делать если комп не загружается совсем никак... есть доступ к ВИН ХР .... только сс другой вин ХР (с другой партиции...)
Последняя надежда на ВАС всех ... всех . .кто чего нить знает .. админит ... и т.д.... жду вопросов и предложений

С ув. YORRIK

[Nirvana]

Предупреждение!!!!

[Rackot]

YORRIK Предупреждение!!!!

[Nirvana]

Во попала!
А что запрещено из Винды что просит активации делать карпоративную?
Такие версии ведь продают. Корпоративные.

[Rackot]

Nirvana А ты купила?

[Nirvana]

Цитата (Rackot) »

Nirvana А ты купила?

Закачала с сайта Мелкософта Вин ХП проф. и Мне прислали СП 2 Заказывала на сайте Мелкософт. А корпоративную сама создала и пропатчила СП2 дистрибютив сама.

[Rackot]

Nirvana А лицензию за пару килобаксов на корпоративную лицензию покупала?

[Alexandra]

2 All
Софт приехал,разбераемся.

[Lamo]

Alexandra
Должно все гуд быть

[Volkod]

Этот вирусняк неприятный, безспорно

У меня другая проблема Xp постоянно винет, помагает тока резет
авп ничего не видит, форматирование дисков не помагает
обновление виндовз тоже

комп подключен к сети. через нее к инету

проблем с железом нету


кто-нибудь знает как это лечиться ?

[t0p_VD]

Volkod

Цитата

обновление виндовз тоже

Какие обновления? SP2 стоит хоть?
P.S. За последний год-полтора прошло вроде две крупных эпидемии вирей. Так вот, винду я начал обновлять только месяца четыре назад.. А на необновленной пользовался лишь антивирем и файерволом. Причем к услугам первого прибегал крайне редко, да и то неприменительно к сети. А файервол все время блокировал попытки коннекта через 445-й порт и иже с ними. Это я к тому говорю, что прежде чем лезть в сеть, надо хоть немного предохраняться. (И обновления скачивать тоже надо..)

[Alexandra]

Lamo
Скан запустили,правда ещё не у всех,Хрюшный брандмауэр гад не пускает,и спайдер определяется как вирь с фаером,пока бьёмся.

[Lamo]

Alexandra
Эвристику и глубину скана подкрути ему
Хрюше разреши пущать скан

[Alexandra]

Цитата (Lamo) »

Хрюше разреши пущать скан

Дык ето понятно,бегунов уже настропалила.

[Lamo]

Цитата

бегунов уже настропалила

повезло им

[Alexandra]

Цитата

повезло им

Мля,матюкаются,но..........,деваться им не куда

[Lamo]

Alexandra
Зато потом пучком будет, перекрывать кислород с сервера... удобно

[Alexandra]

Lamo
Ну не совсем

Цитата

с сервера... удобно

[Lamo]

Alexandra
Эт почему? разжувывай

[Alexandra]

Lamo
А как жа я ,красивая,в серверной усё разруливать то буду?,я с краюшку, от себя и усех и уся.

[Lamo]

Alexandra

Цитата

я с краюшку, от себя и усех и уся

Шутница однако!

[Hevstag]

Если ребутит часто то пиши в командной строке shutdown -a - окошко перезагрузки упадёт сразу... вот только один минус есть. Вырубать комп только отключением питания можно.... а так урчит аки зваерь несмотря на вирусы

[Яков Висеро]

sasser мочить надо запретом его сетевой активности+патчи+постоянная защита в Касперском.
сейчас толькол видел его табличку об атаке слокального прота 192,168ххххх lsass hel export9или что-то в этом роде). Таким способом он наверно и распространяеться.

[MMDS]

А если стоит Win. XP SP 2, то патч WindowsXP-KB823980-x86-RUS.exe ставить надо?

[ДИМ-ДИМЫЧ]

Цитата (MMDS) »

А если стоит Win. XP SP 2, то патч WindowsXP-KB823980-x86-RUS.exe ставить надо?

Нет

[Destruction]

Блин, у меня тоже что-то похожее, но никаких сообщений RPC - просто ребут или BSOD.
Вот что Винда пишет в Событиях.

Код:

Дата: 24.04.2005     Источник: System Error
Время: ЧЧ:ММ:СС     Категория: (102)
Тип: Ошибка            ID: 1003
Код ошибки 00000076, параметр1 00000000, параметр2 81ee6da8, параметр3 00000002, параметр4 00000000.

Пока проявлялось только, когда я подключен к Интернету.

[Lamo]

Destruction
hттp://search.microsoft.com/search/results.aspx?View=ru-ru&p=1&c=3&st=b&qu=1003&swc=3&na=33&cm=512

[Destruction]

Lamo
Спасибо, но к сожалению, единственная причина, которая описана у мелкомягких - драйвер usb от Lexar, но я про него даже не слышал и файла sausb.sys у меня нет.

[Lamo]

Destruction
Дай коды бсода

[BadBlok]

я бы посоветовал не паритца, а поставить ХР с паком вторым... там все заплаты уже стоять ;-)
сам уже не один месяц на ней работаю и усё нормально ГЫ....

[ALEX...EAM]

Вчера вот заценил эту фигню: винду СП1 поставил и она через 1 мин. перезагружается. Поставил все патчики, вроде все ОК стало, кстати Симантековская софтина не нашла никаких следов вируса.

[ka81]

Цитата (ALEX...EAM) »

Поставил все патчики

какие????

[ALEX...EAM]

Цитата (asp!smtu) »

Похоже на семейство Sasser.
http://securityresponse.symantec.co...moval.tool.html
Потом патчи
http://www.microsoft.com/technet/se...n/MS04-011.mspx
http://www.microsoft.com/technet/se...n/MS04-012.mspx
http://www.microsoft.com/technet/se...n/MS04-013.mspx
http://www.microsoft.com/technet/se...n/MS04-014.mspx
И обнови систему через WindowsUpdate

Вот эти

[Rackot]

Цитата

Симантековская софтина не нашла никаких следов вируса.

и не должна, винда уходит в даун из-за ошибке в реализации механизма заражения, фактически вируса нет в системе поэтому симина тулза и не видит его

[ka81]

Цитата (ALEX...EAM) »

Цитата (asp!smtu) »

Похоже на семейство Sasser.
http://securityresponse.symantec.co...moval.tool.html
Потом патчи
http://www.microsoft.com/technet/se...n/MS04-011.mspx
http://www.microsoft.com/technet/se...n/MS04-012.mspx
http://www.microsoft.com/technet/se...n/MS04-013.mspx
http://www.microsoft.com/technet/se...n/MS04-014.mspx
И обнови систему через WindowsUpdate

Вот эти

гм ....
точек много.

[ALEX...EAM]

Цитата (ka81) »

точек много.

Что есть то есть

[Exelero]

Может это смешно звучит, но......мне нужен вирус. Да, мне нужен вирус самопризводящий перегрузку ПК. Ни у кого нет? Если есть, то выложите плз в архиве или на мыло: tomson-tomson@yandex.ru
Зарание благодарен.

[Lamo]

Exelero
есть прога, совсем не вирус - ребутит, бсодит и т.п.
в поиск по кейворду "выкинуть стерву в бсод по расписанию"

[Exelero]

крутняк, а де достать?

[Lamo]

Exelero
читать умеешь?

Цитата

в поиск по кейворду "выкинуть стерву в бсод по расписанию"

http://forum.3dnews.tech/search.php?s=

[Exelero]

Извеняй, просто не понял. Не люблю я слэнг....

[andr001]

Цитата (Exelero) »

Может это смешно звучит, но......мне нужен вирус. Да, мне нужен вирус самопризводящий перегрузку ПК. Ни у кого нет? Если есть, то выложите плз в архиве или на мыло: tomson-tomson@yandex.ru
Зарание благодарен.

"создание, распротранение и использование вредоносных программ для ЭВМ" стать 273 УК РФ
модеры куда вы смотрите???
а если серьезно, то вот: start->run->"shutdown -r -t 00" (без кавычек конечноже)

[rusinkms]

Привет всем
У меня таже проблема, неустанавливается заплатка.
Пробывал и на русском и на ашглийском неидёт ничего, пишет что язык несоответствует языку винды

[Rackot]

rusinkms какая заплатка на какую ось? можешь нормально проблему описать или нам к медиумам обращаться?

[-|Maugli|-]

Так а я нашёл немного иной способ решения данной проблемы:

Проблема, как мне, наконец-то, удалось установить, была связана с несколькими уязвимостями системной службы 'Server' при работе в сети под системами Windows XP SP1/SP2. Для устранения данной проблемы пользователям одиночных машин (т.е. компьютеры которых не связаны с др. машинами локальной сеткой) необходимо проделать следующее: нажимаете комбинацию клавиш Microsoft+R (пояснение: 'Microsoft' - клавиша с изображением фирменного значка Микрософт); в появившемся окошке с командной строкой набираете текст msconfig и жмете 'ОК'; в открывшемся окне заходите в закладку 'Службы' и убираете галочки с пунктов 'Сервер' и 'Рабочая станция'; перезагружаете компьютер и в появившемся окне с сообщением ставите галочку и жмете 'ОК'. Произведенные изменения никак не скажутся на работоспособности Интернет-коннекта или чего-либо др. Внимание! Важно! Если Ваш компьютер связан с др. машинами локальной сетью и содержит общие папки и файлы, к которым должны иметь доступ остальные участники локальной группы, или же Ваш компьютер выполняет роль сервера-маршрутизатора для подключения др. машин к Интернет-сети, то указанные службы отключать нельзя, т.к. это приведет к неработоспособности локальных соединений. В этом случае для устранения вышеописанной проблемы Вам необходимо скачать с сайта Микрософт и установить у себя на компьютере патчи с номерами KB921883 и KB923414. Их можно скачать здесь: для русскоязычной версии Виндовс (если Вы использовали руссификатор системного интерфейса, то данная ссылка Вам не подойдет; см. ссылку ниже для англ. интерфейса): http://www.microsoft.com/downloads/...?displaylang=ru для англоязычной версии Виндовс (с оригинальным английским интерфейсом или с русским, установленным при помощи руссификатора): http://www.microsoft.com/downloads/...?displaylang=en

[Bandos]

Товарисчи! У меня какая то хрень, похоже червячёк забрался, пишет что-то про "Generic host..."
Появляется после какого то времени сёрфа по нету, после чего соединение и не работает и не разорвать, приходится перегружать систему...
Позавчера фотматнул комп, но сегодня ОНО опять вылезло...

[Rackot]

Установи патчи, поставь FireWall и Антивирус

[Bandos]

Патчи какие-то конкретные, или всё подряд?

[Rackot]

Желательно все поставить, но конкретно тебя должны интересовать те, что латают ошибки в сетевых приложениях.

[Bandos]

Понял...
Вот, вчера поставил каспера, обновил, проверил комп.......
Короче то, что я ставил до етого -- ФФФсё - вирусы!!! на D ваще сплошняком, по его рекомендациям, так вообще можно всей инфы лишиться... это не приемлемо в данной ситуации! ( там у меня всё!!! )...

[Rackot]

Дай команду лечить, а не удалять и учти, что Каспер нервно реагирует на кряки и утилиты для взлома.
Дай скрин каспера.

[siBEERian]

Bandos Вот хорошая утилита, дырки закрывает http://www.firewallleaktester.com/wwdc.htm
а также ноябрьский сборник всех патчей после выхода SP2 - http://poleznosti.ru/soft/file_catal...20060821091454

[Ramec]

Есть подозрения на вирус - проверил "Пандой" ничего не нашла, решил поставить AVP Internet Security - во время установки комп перезагружается - приходится восстанавливать систему. Автоперезагрузку отключил - тоже самое:ни синих экранов, ничего - комп просто во время установки перезагружается.
Что можно попробовать сделать?
Панду перед установкой AVP ессно удалил.

[Rackot]

Ramec DrWeb попробуй

[Presto]

Может, речь о Kaspersky Internet Security? Стоит попробовать найти друга со свежими базами, скачать их на флешку, при установке СРАЗУ обновить базы из локального каталога и не забыть включить функцию самозащиты перед установкой (там будет предложено программой установки)...

[Bandos]

Ни как!!!
Единственное чего я добился, это изменение надписи:
"Исключение неизвестное программное исключение (0хс0000409) в приложении по адресу 0х5bd5a3c0."

А в остальном ни каких изменений...
Так же после ошибки многое не работает и не отключается модем! Только ребут помогает...
Ставил три варианта винды (с трёх разных дисков) ни каких изменений...
Где эта ... засела?

[Rackot]

Если винду не патчил и c помощью FW не защищал, то толку то антивируса никакого у тебя заражение происходит извне.

[Bandos]

Я ставил винду с кучей разнообразных заплаток, но деллу это никак не помогло, при первом выходе в интернет, через какое-то время, вылетает это окошко с ошибкой...

[Rackot]

Bandos значит не все патчил. Вот универсальная формула от всех напастей: WinXP+SP2+ALL Patches+FW+Antivirus

[Bandos]

Буду пробовать, что же делать, только диалапом мне не скачать все обновления, если последние ( типа СП3) весят 40 с лишним МБ...

Антивирь у меня Касперского 6, как он?
Меня вроде устраивает пока...

А фаервол какой посоветуешь?

[Bandos]

Outpost Firewall Pro ver. 4.0.971.7030 и Касперский....

Они что, совсем не дружат?!?

Фаервол Каспера задушил напрочь, сразу после инсталляции!!!

Так и должно быть?

[t0p_VD]

Bandos

Цитата

Outpost Firewall Pro ver. 4.0.971.7030 и Касперский....
Они что, совсем не дружат?!?
Фаервол Каспера задушил напрочь, сразу после инсталляции!!!

Дружат они, и причем нормально. Вы разрешения для приложения впишите.
P.S. Речь про 6-го Касперского. Некоторые версии 5-го в себе антихакер содержали. Вот такой тандем вполне может быть неработоспособным.

[Olorin.first]

[QUOTE=Bandos]Ни как!!!
Единственное чего я добился, это изменение надписи:
"Исключение неизвестное программное исключение (0хс0000409) в приложении по адресу 0х5bd5a3c0."

Советую заглянуть сюда:
http://subscribe.ru/archive/comp.sof...128.html#61047

[Oper]

Мне вас искренне жаль, леди и джентельмены. И так же искренне советую поставить что-нить типа Ubuntu-7.10. Сразу все проблемы исчезнут. Я в Инете сижу только на Убунту. А если в Венде - то стоит ZoneAlarm (файер) и Avast. Так уже 2 года ОС без переустановки, и пока, тьфу-тьфу-тьфу, Бог милует.

Oper добавил :

Bandos У тебя похоже эта хрень сидит в одной из прог которые ты устанавливаешь. Наверняка все твои дистрибутивы где-то на диске D. Возможно эта х...ь там засела где-то. Самый паршивый вариант, что это в загрузочном секторе харда. Я не гуру, не утверждаю, но про такой случай тоже слыхал (прошу ногами не пинать )

[Werter123]

Цитата

прошу ногами не пинать

А тут 50 летних ногами не пинают Oper

[Ерофеич]

А Брандмайэр Виндовс вроде же должен блокировать такие вирусы?

[beamer]

Ерофеич, по моему брандмауэр виндус создаёт эффект защищённости, а не саму защищённость. Да и каспер уже давно бластера ловит, по моему в первые часы его в апдейты включили. Как только появился это чудо. У меня то же пол сети схватило этого поганца, но у всех был нод32, а они блин, только через сутки или двое добавили этого червя в базы... нехорошо... А так ещё комп ребутать могут программы шутки как вариант.

[r4et]

Каждый раз при загрузки Виндос антивирус обнаруживает троянские программы . Доходит до того что комп постоянно перезагружаеться - антивирус требует перезагрузку после нахождения вирусов. Исходящий траффик превышает все разумные пределы
подскажите как отключить не нужные порты

[yO_yOgka]

Тоже самое...после того,как поймала вирус Трояна(вроде Агента), попроверяла и выключила комп. На следующий день включила его,а он загружается,не заходит в винду и перезагружается, и так постоянно перезагруз, перезагруз, перезагруз без остановки выключать приходиться из тока... что теперь делать? подскажите плиз?

[Bazel]

r4et , yO_yOgka ищем AVZ - можно у соседа скачать и на флешке принести. грузимся в безопасном режиме. ставим драйвер AVZPM перезагружаемся опять в безопасном режиме. авз файл - стандартные скрипты - скрипт сбора для раздела Помогите заходим в папку logs там лежит зип-архив, кладем его сюда.
не выходя из безопасного режима создаем в корне Ц папку save1 и переносим из папки windows/system32 все неподписанные производителем .EXE .DLL
создаем save2 и проделываем ту же операцию с папкой windows/sytem32/drivers в поисках неподписанных .SYS файлов.

если хоть что-то непонятно из вышенаписанного то лезем в кошелек и звоним в ближайшую компьютерную помощь

[yO_yOgka]

а переустановка xp не поможет?

[Bazel]

с форматированием диска однозначно поможет, хотя как показывает практика - лучше средство это замена юзера.
почему для того чтобы словить трояна мне приходится копаться по инету 10 минут, а некоторые с юзерскими правами при включеном антивирусе сидя за проксей умудряются нахвататься?
"я ничего не делал - оно само появилось" - научите меня так ничего не делать.

[Sil1coN]

Антивирус поставь. Вручную ты несправишся. А мелкософт прокт не используй НеЗаШтО. Ставь Касперского 7.

[Nick]

Такая проблема. После установки на компьютер Panda Titanium Antivirus 2005, перезагрузки и запуска резидентной защиты антивируса система выдает сообщение типа "компьютер будет перезагружен через минуту, перезагрузка была вызвана NT AUTHORITY\SYSTEM. Причина - неожиданное завершение службы lsass.exe с кодом таким-то" shutdown -a помогает, но после этого половина система работает коряво. Перезапуск lsass.exe тоже ничего, естественно, не дает ибо зависящие от него службы уже убиты. Если Панду удалить, то все начинает работать нормально. По всем признакам это либо blaster, либо sasser, однако утилиты от Symantec ничего не находят. Есть идеи как что это такое и как лечится?

[Rackot]

Nick вся тема посвящена этому, читай сначала. Или по ссылкам в шапке темы.

[KaZu0]

уже 5 лет прошло а вирус досих пор не уничтожили.
я не силён в компйютерах и с вирусом не справился пожалуйста помогите.
проверил реестр в HKY_Current_Machine/softrware/microsoft/windows/run или как там.. неважно здесь нечего не нашол.
все апгрэйды\патчи здесь, безполезны так как у меня service pack новея..
в window папки\файла msblast.exe нету.. в пойске тоже нечего не нашол.
каждый раз когда включаю комп выходит окошко с перезагрузкой.. и 60тю секундами.
сейчас сежу в "Safe Mode"-е.. думаю что делать.
а ну да когда окшоко выходит в диспечере задач\процессы поевляется msblast но отключить\завершить яя его не могу , отказ в доступе! также нашолся вирус Spools.exe в "Windows/system32/drivers/spools.exe" может подскажите как досуп получить потому как при попытке удаления отказывает в доступе..

[Rackot]

значит не все патчи стоят. смотри сначала темы там уже все сказано насчет патчей, фаерволов и антивирусов...

[KaZu0]

да не какой фаервалл не помогает мне вирус их спокойнно опходит.. а патчи мне отказываются качатся так как у меня слишком новый..
у меня стойт кроме обычного фаервалла AT Guard я попытался закрыть порты который нашол по теме на этот вирус но в пустую.
ищё странная вещь... вирус умудряется меня отключать даже если интернет отключён...

потом у меня стойт Symantec антивирус и я даже нашол FixBlast и FixSasser от симантека .. но они мне не помогли.

[Bazel]

KaZu0 скачай http://z-oleg.com/secur/avz/download.php запусти файл-стандартные скрипты-скрип сбора "помогите" после отработки в папке LOG найдешь свежесозданный зип-архив: приложи его сюда.

[sc00ter]

у меня вот на винде СП 3 проявился прикол с перезагрузкой через минуту. проверил касперским и НОДом.. ничего оба не нашли. AVZ так же ничего не нашел. вот приклеплен архив "помогите" из AVZ /
Есть какое средство от этого?
еще попутно заметил такую ерунду. в корзине постоянно имется папкак "Windows" и очищение корзины не помогает, т.е. папка опять там.

[Bazel]

свеженький засланец
файл - выполнить скрипт (комп удет на перезагрузку)
----------------
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\System32\gdimnt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-------------
после перезагрузки сделай еще раз исследование, на всякий случай.

[sc00ter]

попробовал твой скрипт.. в корзине вроде бы ничего не проявляется.. перезагрузк пока вроде сам не совершает

[Cnaugep]

Блин. Тоже видима поймал эту дрянь. вылазит ровно через час. Чем тольконе пробовал чистить. Каждый раз мимо. Вочередной раз при выходе предупреждения перевел календарь на день назад. теперь сижу пытаюсь разобраться где насранно.

Cnaugep добавил :

Нарыл некий ..\WINDOWS\system32\biosnt.dll
Висел на svchost.exe Нашел APM'ом им же отвязал длл от процесса и убил. 30 мин в эфире связь в порядке =)

[sc00ter]

в корзине опять появляется папка Windows и не удаляется оттуда при очищении..

[Bazel]

sc00ter :

Цитата (Bazel;1549851) »

после перезагрузки сделай еще раз исследование, на всякий случай.

Ыы ?
кстати я так и не поняп: комп сам перезагрузился вследствие выполнения скрипта или ты его вручную ребутил ?

[wise-wistful]

sc00ter
Обновите базы АВЗ
Отключите Восстановление системы, т.к. можно до Второго пришествия бороться с вирусами, а он будет восстанавливаться.
Выполните стандатртный скрипт 3 и выложите лог после него.

wise-wistful добавил :

Cnaugep вы тоже скачайте АВЗ, обновите базы, выполните стандартный скрипт 3 и выложите лог virusinfo_syscure.zip из папки АВЗ/LOG

[sc00ter]

восстановление отключил. базы обновил. Скрипт 3 в приложении

[wise-wistful]

В логе ничего крамольного не видно. Папка так и появляется?

[sc00ter]

нет.. теперь не появлсяется... после обновления АВЗ и составления лога папка пропала.... если не секрет почему она там появлялась?

[Донецк]

Товарищи, подскажите вот у меня выскакивает табло Ошибка NT AUTHORITY/SYSTEM и через минуту копм перезагружается, помогите решить проблемму раз и на всегда. Спасибо.

[Werter123]

Донецк
Не знаю так это или нет но дело может быть в следующем
Большинство служб в винде запускаются под именем NT AUTHORITY. Это одна из учетных системных записей. Может не правильно выразился но смысл такой. В том числе такие службы как RPC, DNS client и другие. То есть они запускаются не под именем пользователя или локальной системы. Варианты такие
1. Данная учетная запись была удалена или подменена (в результате вируса возможно)
2. Служба которая должна запускаться этой учетной записью также пришла в даун.
Одним из вариантов решений проблемы - попробовать с установочного диска Виндовс сделать восстановление системы

[Донецк]

А па проще информации нет. Программа, или что-то еще.

[Werter123]

Донецк Хочешь проще - не парься а сразу винду переустанови с форматированием системного раздела

[bie-pilot]

НАРОД, я ничего не понимаю... я перепробовал много способов но ничего не помогает.
NT AUTHORITY\SISTEM, ошибка и перезегрузка через минуту, и так по кругу...
ПОМОГИТЕ ПЛИЗ

[Valek]

Цитата (bie-pilot;1651182) »

НАРОД, я ничего не понимаю... я перепробовал много способов но ничего не помогает.
NT AUTHORITY\SISTEM, ошибка и перезегрузка через минуту, и так по кругу...
ПОМОГИТЕ ПЛИЗ

Я бы посоветовал обратиться на форум Каспера в раздел "Борьба с вирусами": http://forum.kaspersky.com/index.php?showforum=18
Там Вам скажут, какой скрипт нужно выполнить в бесплатной утилите, чтобы вылечить компьютер.
И не важно, какой антивирус у Вас стоит - там помогают абсолютно всем.

[Bazel]

bie-pilot сделать скрин ошибки, раз.
два, поставить все обновления для винды.
три, нужен фаер, например комодо.
четыре, загрузиться с ливСД и проверить на вирусы свежими куреитом и авп-тулом.
3 и 4 можно поменять местами, это не влияет.

ЗЫ. можно рассказать какие из "много способов" ты уже пробовал для исправления ошибки?

[yg3]

Попробуйте AVZ, сделайте и отправйте логи там все просто

[skAmZ2]

Что-то вы товарищи родные гемороем страдаете... вирусы, вирусы... пост про то что процесс завершить нельзя меня вообще рассмешил - было бы желание а завершить можно все. Самый простой способ:
-Топаем на сайт по информационной безопасноти
-там на главной до сих пор даже висит ссылка "Служба блокирования процессов"
- читаем статью, там все подробным образом описано, что да как работает.
В двух словах - висит процесс от SYSTEM и рубит что ВЫ захотите.

[Alexandra]

skAmZ2
Сдохни ,спамер. Ага.

[Gonz0]

устанавливаю его а оно:
Программа установки обнаружила, что версия установленного в системе
пакета обновлений віше, чем версия устанавливаемого пакета
Єто обновление может біть установлено только, если пакетіобновления не устанавливались в системе

[Voplexx]

что то мне кажется пора темы название исправить на "Вирусы приводящие к самопроизвольной перезагрузкЕ компьютера и методы борьбы с ними."

[il72]

вчера ходил к клиенту, он сидел на каком то сайте знакомств и что-то поймал, не стал вдаваться в подробности но у него файл userinit.exe стал userinit32.exe и пользователь не загружался.

[urmans]

проблема: захожу на порно сайт и через несколько минут вдруг вырубает страничку этого сайта!

Может мой, как его провайдер поставил какую-нибудь защиту?

У меня интернет через телефон кабель и стоит модем, тариф безлимит!

Ага и ещё комп пишет: Приложение умирает! Вы хотите записать диагностический файл для службы поддержки!

Я отвечают нет и сайт закрываеться!

А на этом сайте к примеру, ведь не вырубает!

Не знаю: вирус или провайдер!

[Smirnoff]

Цитата (urmans) »

А на этом сайте к примеру, ведь не вырубает!

Отличный повод перестать ходить на порносайты и читать/смотреть уже наш сайт...

[Antinomy]

Как я уже говорил своему другу в ответ на вопрос - откуда эти баннеры вылезают (у него коллега подхватил): "Нечего лазить по порносайтам". Потом поправился - "Нечего лазить по непроверенным порносайтам"

[qazijn]

вечер добр
праблема такова рода - на кампе ести вырус 1000%- действует по принципу
1. викидивает акошшка где одсчитывет 60 сек и вирубает комп (всьоровно что есет жмьош) сами знаете.
"пару раз гада славил за коуле дал отсканировать память когда он бил активный. MCafee сказал полная пабеда - теперь имею втарой пункт

2.теперь у нево новая фышка ребут без предупреждения мак 7.0 ету гадасть кагдато и излечил (каспер обасралса да ы ещьо тагда делов наделал-теперь не люблю его ) сщас стоит мак 8,5.

перелистал весь форум слал что смог с написаного

ето не железо глючит "я так мыслю" прасматрел внутри корпуса коэ-чо подправыл (старые термопаты удалыл и. т. д.)
P.S. при полной сканеровке всегда находит адин и тот вирус лечит. на следующый скан он апять эсть.
Брал от каспера програмулю находит толька на наилутшем анализе но лечить не умеэт отослать файлик тоже слабо.
П.С. сами мы не местные и без язика как вы дагадались
имхо за неимения имеемого имеем имеюещеся

[Smirnoff]

Цитата (qazijn) »

викидивает акошшка где одсчитывет 60 сек и вирубает комп

Какая версия Windows и какой сервис-пак установлены?

[qazijn]

SMIRNOFF
ХРеновый Професионал весия 2002 севис пак 2. к всему етому давал какието промежуточныэ обновления но не регулярно.
заплатку поставил. установил фаервол который досталса в комплекте с 7-мим маккафи. но беда в том что там откриты вопщем по разному порта которыэ нужно блокировать. шаманил и над ними но и ето не помогаэт. ребут со скидкой установленых правил.

начинаю пабаиватса за целосность харда

ещо может ЕТО глючить само железо

[Smirnoff]

Цитата (qazijn) »

севис пак 2

Почему не SP3?..

[qazijn]

Цитата (Smirnoff) »

Почему не SP3?..

СП3 пашол на пользу теперь работает без праблем. СПАСИБА.

Но осталса не решонным единствений вапрос что с етой заразой. Скарее всево ана осталась на винте а наносить знакомым нет желания ни архивировать на CD.

если у вас есть опыт по настройке фаерволов можна в личку

[Smirnoff]

Цитата (qazijn) »

что с етой заразой

Скачать Dr.Web CureIt и проверить систему?..

Цитата (qazijn) »

по настройке фаерволов

У тебя проблема была не в файрволле, а в дыре самой Оси; ты эту дыру закрыл SP3 (вообще, очень полезно ставить обновления - это же всё заплатки для разных уязвимостей ОСи).

[distempo]

Ошибка NT Authority\System при попытке поиграть в онлайн игру (Lineage). в остальном все работает нормально. все перепробовал. фиксбластом вирус не нашел (W32.Blaster.Worm has not been found on your computer.
). нодом не нашел. в диспетчере задач нету. в папке с виндой/system32 нету. в пуск/выполнить/regedit тоже ничего подозрительного. AVZ прогой тоже проверял, какие то скрипты вводил даже. Ничего. Стоит винда ХР СП3. что делать хз. кто может помогите!!!

[Bazel]

Цитата (distempo) »

AVZ прогой тоже проверял, какие то скрипты вводил даже.

если ты смог прочесть логи авз и разобраться в них настолько чтобы написать "какие то скрипты" и выполнить их, то полагаю вопросов про вирусы уже быть не должно. Ищи проблемы с железом/драйверами.

ЗЫ: в линейке любые мега-читы и стартеры в 90% случаев являются самописной тырилкой паролей. ничего подбного не ставил?

[kalim90]

Скачай утилиту от каспера с оф. сервера: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и выстави самый высокий уровень настроек и проверь комп. Этот троян уже давно известен, и то. что его нод не находит - меня только огорчает.

[Bazel]

Цитата (kalim90) »

Этот троян уже давно известен

если этот троян известен уже давно не подкинешь ссылку на его описание ?

kalim90 и еще подари мне свой хрустальный шар, а то мой совсем не пашет: по 2-м строкам текста так и не смог определить заразу *рыдает*

[SvetaBladly]

Надо лечить не вирус, а в первую очередь источник. Скачай AVZ с последними базами, просканируй машину на наличие руткитов, если найдешь какие - то ищи скрипты для их лечения, далее скачай CureIt свежий - просканируй им. Далее какой антивир используешь?

[kalim90]

Цитата (Bazel) »

если этот троян известен уже давно не подкинешь ссылку на его описание ?

kalim90 и еще подари мне свой хрустальный шар, а то мой совсем не пашет: по 2-м строкам текста так и не смог определить заразу *рыдает*

MSBlast это И каспер его знает ооочень давно Здесь помогут бесплатно вылечить комп: http://avptool.ru/forum/

[SvetaBladly]

Надо лечить не вирус, а в первую очередь источник. Скачай AVZ с последними базами, просканируй машину на наличие руткитов, если найдешь какие - то ищи скрипты для их лечения, далее скачай CureIt свежий - просканируй им. Далее какой антивир используешь?

[nadegda3]

у моего отца была как-то такая фигня,но помогло чистка и переустановка всей системы,может я путаю

[Innocence]

Я конечно в вирусах ничего не понимаю, но думаю достаточно поставить фаервол - и все проблемы решаться, без вашего ведома никто никуда не закачается. у нас в общаге вся сеть (500 компов) пострадала, гигабитный канал в инет засран - вирус закачивает в инет чего-то и оттуда выкачивает что-то. до сих пор ламеры жалуются на перезагрузки и пропажу денег со счёта, притом что всем было сказано 10 раз что это за фигня... вот такая фигняЖ

[Smirnoff]

Цитата (Innocence) »

в вирусах ничего не понимаю

Тогда тебе разумнее помолчать...

[Headman]

как то давно сталкивался с этим вирусом лет 5-6 назад точно не помню.
сидел в нете еще на диалапе
дак посидишь час-два в нете и вылазит эта фигня.
если в нет не выходить то все норм...

[Smirnoff]

Headman, тебе тоже разумнее помолчать...

P.S. А "сталкивался" ты либо с Sasser-ом, либо с Lovesan-ом - и было это до появления/установки SP2 для WinXP.

[Furious-cmexx]

пропатченный браузер и плагины - залог успеха в борьбе с эксплоитами и вирусняком

[Smirnoff]

Furious-cmexx, фигня этот SurfPatrol - он FireFox 18.0.1 определил как 18.0.0, и если он не понимает разницы в версиях - как ему вообще можно верить?..

[Furious-cmexx]

ммм, по-моему эта разница не сильно повлияет на результат проверки

[Smirnoff]

Цитата (Furious-cmexx) »

эта разница не сильно повлияет на результат проверки

Разве? Если "проверяющий" не в состоянии точно определить версию браузера - что этот "проверяющий" вообще в состоянии определить?

[Furious-cmexx]

самое главное в проверке - определить уязвимую версию и дать под нее патч
значит между версиями 18.0.0 и 18.0.1 нет разницы

[garniv]

Цитата (Smirnoff) »

SurfPatrol - он FireFox 18.0.1 определил как 18.0.0

сам FireFox 18.0.1 говорит в User-Agent о себе только это:

Цитата

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

Ресурс вообще полезный, он позволяет без установки чего-либо быстро показать любому пользователю что БЕДА! БЕДА! - его броузер/флеш/ява требуют обновления, иначе АЯЯЙ! ПРИДУТ ЗЛОБНЫЕ ВИРУСЫ И ВСЕ ПОЛОМАЮТ!
Автообновление включено далеко не у всех)

Добавлено через 19 минут

хотя вот https://browsercheck.qualys.com/?scan_type=js
предложил скачать 11.0.1 версию nppdf32.dll (Adobe Acrobat), а Surfpatrol'у было достаточно 10.1.5

[Smirnoff]

Цитата (garniv) »

а Surfpatrol'у было достаточно

Вот именно...

[Furious-cmexx]

значит surfpatrol посчитал, что в версии 10.1.5 нет уязвимостей
не знаю, так это или нет

[Smirnoff]

Цитата (Furious-cmexx) »

surfpatrol посчитал, что в версии 10.1.5 нет уязвимостей

Ага, а придурки в Adobe сдуру какие-то уязвимости ликвидировали в новой версии...

[Furious-cmexx]

в версии acrobat reader 10.1.5 нет известных уязвимостей, пользоваться ей безопасно
qualys говорит только то, что доступна более свежая версия этого плагина и уже на усмотрение пользователя устанавливать ее или нет
а про версию лисы 18.0.2 не верю - покажите скриншот

[Vladson]

Цитата (Furious-cmexx) »

посчитал, что в версии 10.1.5 нет уязвимостей

Они есть и будут даже в версии 99.9.9 вопрос лишь в том нашли ли их, и кто нашёл (тот кто будет использовать или кто лишь доложит производителю чтоб тот заделал)

[Furious-cmexx]

ну тут уже вопрос выбора - можно не пользоваться им совсем