Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
 
Опции темы Опции просмотра
Непрочитано 12.08.2003, 13:30   [включить плавающее окно]   #1
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Дикий вирус в сети.

На данный момент, это не шутка, уже 10 моих знакомых на это пожаловались. Даже по радио передовали (в израиле).
Еще никто толком не понял как эта штука работает, и как ее лечить, но выглядит это приблезительно так: в ключам комп и через некоторое время появляется окошко с ошибкой svchost.exe Через некоторе время после этого появляется окошко (такое как в VoptXP) с обьямлением что система будет перегруженя через 60 секунд. Шквал наступил вчера после 21:00. Ни один антивирус (включая касперского) ничего не обнаружил.
Покачто у всх кто мне сообшил об этом стояла WinXP Pro/Home если у когото теже пролеммы в других ОС просьба сообщить. Хотя это только плохие новости для владельцев компьютеров
Меня слава богу пронесло, меня вчера в сети небыло. И зашел я только сегодня утром. Пока все нормально.
Далее:
Полная переустановка системы НЕ помогает. Значит эта сволоч сидит гдето и на других партициях (или физ дисках). А может и гденибуть в железе. У меня кончились варианты.

Если кто знает как победить эту сволоч, поделитесь знаниями.



Сейчас пойду к подруге форматить все разделы и физ диски. О результатах сообщу поже.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 13:50   [включить плавающее окно]   #2
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Файл msblast.exe в директории windows есть?
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 13:55   [включить плавающее окно]   #3
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
НЕ имею не малейшего представления, у меня все нормально. Доберусь до больного компа проверю, и скажу. А что в нем такого? Лично у меня его нет.

Последний раз редактировалось KpeHgeJIb; 12.08.2003 в 14:00.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:04   [включить плавающее окно]   #4
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
KpeHgeJIb

Это признак нового вируса которой использует брешь в RPC, вообщем если это файл есть значит машина заражена.
Патч закрывающий эту уязвимость есть на сайте мелкомягких:
http://microsoft.com/technet/treevie...n/MS03-026.asp

ЗЫ
Закрывать, закрывает, но не лечит, зато другие вири, с похожей системой распространения, не пролезут!
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:09   [включить плавающее окно]   #5
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Ха,а ко мне подходил сегодня один знакомый с похожим описанием,включает комп,и через пару минут выскакивает какое-то окошко,что комп будет перезагружен через минуту...так значит это вирус...что-то я не слышал по радио никаких предостережений начсёт вируса,радио весь день балакает на работе.У меня дома ХР и я был весь вечер в инете,вроде ничего такого не наблюдал.(3 раза тьфу)
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:14   [включить плавающее окно]   #6
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Sl@sh/
При чем здесь радио?! Ты еще в газетах потребуй опубликоать!
Читайте BugTraq!

PS
А если серьезно, то такая информация попадает в средства массовой информации спустя неделю, а то и две после появления
__________________
2501

Последний раз редактировалось Rackot; 21.01.2004 в 11:26.
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:18   [включить плавающее окно]   #7
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Да человек говорит,что по радио передавали,читай выше.У нас это немного оперативней передают.Может я пропустил это дело,спрошу нашего сисадмина,слышал ли он что нибудь.
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:19   [включить плавающее окно]   #8
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Называется он W32/Blaster...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:19   [включить плавающее окно]   #9
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Вот и моя очередь пришла:
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO на форуме  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:24   [включить плавающее окно]   #10
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Господа патчить, патчить и еще раз патчить!
Ссылку я дал выше.
Файл меньше мегабайта.
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:26   [включить плавающее окно]   #11
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
А как лечить уже зараженное?Может обновления базы данных вирусов появились уже у хозяев антивирей?
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:27   [включить плавающее окно]   #12
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Я тоже заражен, сил уже нет...
AVP и Panda его не видят, что делать я не знаю...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:31   [включить плавающее окно]   #13
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Повыкидывал из реестра, автозагрузки, катологов. Скорее всего безтолку... а вдруг!
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO на форуме  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:31   [включить плавающее окно]   #14
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Рекомендации по защите и удалению

* Загрузить последнее обновление для Антивирус Stop! для детектирования и удаления червя.
* Провести сканирование и удалить все обнаруженные файлы.
* Установить обновление для Windows (патч).

Источник:
http://www.proantivirus.com/info/1/180_1.html
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:36   [включить плавающее окно]   #15
LOAD
Мужской Умудрённый
 
Аватар для LOAD
 
Регистрация: 14.02.2003
Адрес: Саратов
Вот тут про ето написано: http://www.cnews.ru/newtop/index.sht...3/08/12/147298
__________________
Say your prayers little one...
LOAD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:51   [включить плавающее окно]   #16
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Мать-перемать: заплатка не устанавливается, говорит язык системы отличается от языка программы. Бред.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO на форуме  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:54   [включить плавающее окно]   #17
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Да что ты ругаешся,запусти windowsudate из своей операционки и сними,он сразу выскочит у тебя как критическое обновление.
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:56   [включить плавающее окно]   #18
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
У меня вроде все стало...
Сделал все и пока ТФУ-ТФУ не перегружается...
SOlO
Тут...
http://microsoft.com/downloads/detai...displaylang=en
Только справа скачай русскую версию файла...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:58   [включить плавающее окно]   #19
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Цитата
Да что ты ругаешся,запусти windowsudate из своей операционки и сними,он сразу выскочит у тебя как критическое обновление.
Дело в том что вирус как-то не дает обнавлять систему через windowsudate...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 15:04   [включить плавающее окно]   #20
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Нашел: http://download.microsoft.com/downlo...80-x86-RUS.exe прямой линк на русский файл.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO на форуме  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:56. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey