Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 12.08.2003, 13:30   [включить плавающее окно]   #1
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Дикий вирус в сети.

На данный момент, это не шутка, уже 10 моих знакомых на это пожаловались. Даже по радио передовали (в израиле).
Еще никто толком не понял как эта штука работает, и как ее лечить, но выглядит это приблезительно так: в ключам комп и через некоторое время появляется окошко с ошибкой svchost.exe Через некоторе время после этого появляется окошко (такое как в VoptXP) с обьямлением что система будет перегруженя через 60 секунд. Шквал наступил вчера после 21:00. Ни один антивирус (включая касперского) ничего не обнаружил.
Покачто у всх кто мне сообшил об этом стояла WinXP Pro/Home если у когото теже пролеммы в других ОС просьба сообщить. Хотя это только плохие новости для владельцев компьютеров
Меня слава богу пронесло, меня вчера в сети небыло. И зашел я только сегодня утром. Пока все нормально.
Далее:
Полная переустановка системы НЕ помогает. Значит эта сволоч сидит гдето и на других партициях (или физ дисках). А может и гденибуть в железе. У меня кончились варианты.

Если кто знает как победить эту сволоч, поделитесь знаниями.



Сейчас пойду к подруге форматить все разделы и физ диски. О результатах сообщу поже.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 13:50   [включить плавающее окно]   #2
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Файл msblast.exe в директории windows есть?
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 13:55   [включить плавающее окно]   #3
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
НЕ имею не малейшего представления, у меня все нормально. Доберусь до больного компа проверю, и скажу. А что в нем такого? Лично у меня его нет.

Последний раз редактировалось KpeHgeJIb; 12.08.2003 в 14:00.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:04   [включить плавающее окно]   #4
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
KpeHgeJIb

Это признак нового вируса которой использует брешь в RPC, вообщем если это файл есть значит машина заражена.
Патч закрывающий эту уязвимость есть на сайте мелкомягких:
http://microsoft.com/technet/treevie...n/MS03-026.asp

ЗЫ
Закрывать, закрывает, но не лечит, зато другие вири, с похожей системой распространения, не пролезут!
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:09   [включить плавающее окно]   #5
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Ха,а ко мне подходил сегодня один знакомый с похожим описанием,включает комп,и через пару минут выскакивает какое-то окошко,что комп будет перезагружен через минуту...так значит это вирус...что-то я не слышал по радио никаких предостережений начсёт вируса,радио весь день балакает на работе.У меня дома ХР и я был весь вечер в инете,вроде ничего такого не наблюдал.(3 раза тьфу)
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:14   [включить плавающее окно]   #6
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Sl@sh/
При чем здесь радио?! Ты еще в газетах потребуй опубликоать!
Читайте BugTraq!

PS
А если серьезно, то такая информация попадает в средства массовой информации спустя неделю, а то и две после появления
__________________
2501

Последний раз редактировалось Rackot; 21.01.2004 в 11:26.
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:18   [включить плавающее окно]   #7
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Да человек говорит,что по радио передавали,читай выше.У нас это немного оперативней передают.Может я пропустил это дело,спрошу нашего сисадмина,слышал ли он что нибудь.
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:19   [включить плавающее окно]   #8
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Называется он W32/Blaster...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:19   [включить плавающее окно]   #9
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Вот и моя очередь пришла:
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:24   [включить плавающее окно]   #10
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Господа патчить, патчить и еще раз патчить!
Ссылку я дал выше.
Файл меньше мегабайта.
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:26   [включить плавающее окно]   #11
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
А как лечить уже зараженное?Может обновления базы данных вирусов появились уже у хозяев антивирей?
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:27   [включить плавающее окно]   #12
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Я тоже заражен, сил уже нет...
AVP и Panda его не видят, что делать я не знаю...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:31   [включить плавающее окно]   #13
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Повыкидывал из реестра, автозагрузки, катологов. Скорее всего безтолку... а вдруг!
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:31   [включить плавающее окно]   #14
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Рекомендации по защите и удалению

* Загрузить последнее обновление для Антивирус Stop! для детектирования и удаления червя.
* Провести сканирование и удалить все обнаруженные файлы.
* Установить обновление для Windows (патч).

Источник:
http://www.proantivirus.com/info/1/180_1.html
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 14:36   [включить плавающее окно]   #15
LOAD
Мужской Умудрённый
 
Аватар для LOAD
 
Регистрация: 14.02.2003
Адрес: Саратов
Вот тут про ето написано: http://www.cnews.ru/newtop/index.sht...3/08/12/147298
__________________
Say your prayers little one...
LOAD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:51   [включить плавающее окно]   #16
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Мать-перемать: заплатка не устанавливается, говорит язык системы отличается от языка программы. Бред.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:54   [включить плавающее окно]   #17
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Да что ты ругаешся,запусти windowsudate из своей операционки и сними,он сразу выскочит у тебя как критическое обновление.
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:56   [включить плавающее окно]   #18
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
У меня вроде все стало...
Сделал все и пока ТФУ-ТФУ не перегружается...
SOlO
Тут...
http://microsoft.com/downloads/detai...displaylang=en
Только справа скачай русскую версию файла...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 14:58   [включить плавающее окно]   #19
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Цитата
Да что ты ругаешся,запусти windowsudate из своей операционки и сними,он сразу выскочит у тебя как критическое обновление.
Дело в том что вирус как-то не дает обнавлять систему через windowsudate...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 15:04   [включить плавающее окно]   #20
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Нашел: http://download.microsoft.com/downlo...80-x86-RUS.exe прямой линк на русский файл.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 15:10   [включить плавающее окно]   #21
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Цитата
Дело в том что вирус как-то не дает обнавлять систему через windowsudate
Да,прочитал в статье,видели какой ключь в регистре он создаёт.Приду домой,боязно запускать систему...
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 15:26   [включить плавающее окно]   #22
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Я добрался до больного компа.
Вообшем так. Мной бали призведены следующие действия:
1 Был установлен вышеописаный пач
2 Был найдкн и удален из риестра ключ автозагрузки этого самого msblast.exe
3 перезагрузка
4 Найден и удален сам msblast.exe (как уже говорил Rackot, %WINDIR%\System32\msblast.exe)

Вот уже 20 мин сижу в инете, никакого напоминания, о злосчастном вирусе. ))))
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 15:47   [включить плавающее окно]   #23
DDV
Мужской Умудрённый
 
Аватар для DDV
 
Регистрация: 23.03.2003
Адрес: Московская обл.
Вот у Касперского прочитал http://www.kaspersky.ru/news.html?id=1317864
DDV вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 16:30   [включить плавающее окно]   #24
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
KpeHgeJIb
Вроде тоже прошло: откатил винду на 2 дня.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 16:55   [включить плавающее окно]   #25
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
Вроде тоже прошло: откатил винду на 2 дня.
Если заплатку не поставишь, то опять подхватишь
__________________
2501

Последний раз редактировалось Rackot; 21.01.2004 в 11:28.
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 17:09   [включить плавающее окно]   #26
Sanya
Мужской Опытный
 
Аватар для Sanya
 
Регистрация: 22.03.2003
Адрес: Апатиты
вот и по радио о нем сказали... На Юности только что в новостях было
__________________
Лечить и судить умеют и могут все, а вот рассчитать несущую балку?
Sanya вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 17:09   [включить плавающее окно]   #27
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Rackot
Уже поставил.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 17:11   [включить плавающее окно]   #28
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Так, за компанию: Firewall посоветуйте плз.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 17:18   [включить плавающее окно]   #29
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
SOlO

Мне нравится NIS от Symantec, но и Kerio не плохой
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.08.2003, 17:29   [включить плавающее окно]   #30
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Лично мне нравится Outpost Firewall. Довольно таки простой, и удобный в использовании.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 18:04   [включить плавающее окно]   #31
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Мне уже человек 10 звонили с этим вирусом, раздал всем ссылки на патч...
После установки патча, все проходит...
P.S. Люди и реестр не трогали...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 20:23   [включить плавающее окно]   #32
SOLO
Мужской Недосягаемый
 
Аватар для SOLO
 
Регистрация: 06.05.2003
Адрес: Иркутск
Remore
После ручной чистки системы проверил касперским - нашел, зараза.
__________________
Добро всегда побеждает зло, поэтому кто победил - тот и добро.
SOLO вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 20:30   [включить плавающее окно]   #33
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Вирус поменял название, теперь он называется tftp2416.exe. находится тамже где и находился system32
если ктото неможет найти msblast.exe ищите tftp2416.exe
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 20:38   [включить плавающее окно]   #34
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Также вирус имент привычку менять цифры в окончании файла, что создает проблемы с его познаванием
и больще он не прописывается в втозагрузке
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 21:00   [включить плавающее окно]   #35
Dr.Razor
Мужской Бывалый
 
Аватар для Dr.Razor
 
Регистрация: 10.02.2003
Адрес: Питер
Ять! у меня 22 машины заражены!
__________________
Save the planet - Kill yourself!
Dr.Razor вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 21:24   [включить плавающее окно]   #36
artifex
Новенький
 
Регистрация: 06.08.2003
Адрес: SPb
Вчера ночью ещё домашний комп заразился и случайно допёр что надо msblast вычистить из registry и удалить с диска...
Но проблемы - остаются! Система инициирует автоматическую перезагрузку по ошибке RPC

кто первый скажет почему? Везде пишут что дело только в msblast!

(NB: заплатку вытащил но не поставил ещё - до дома не дошёл ) )
artifex вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 22:18   [включить плавающее окно]   #37
drzen
Новенький
 
Регистрация: 10.08.2003
Адрес: lamerland
KpeHgeJIb
смотри msblast.exe тему в этой эхе
или массовое падение ХР,-(
__________________
стреляли?
drzen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 23:21   [включить плавающее окно]   #38
artifex
Новенький
 
Регистрация: 06.08.2003
Адрес: SPb
есть такая фигня: tftpXXX. без расширения. и процессах она похоже как dllhost висит(т.е. запускается с помощью dllhost)
а в registry уже похоже в другом где то месте прописано... параметры у dllhost указывали на некий идентификатор(вида {XXX-XXX-XXX-...})... не нашёл...
перед эти msblast удалил руками.. Это что - уже новая модификация?

Да, заплатку устраняющую DCOM vulnerability поставил и пока жив... но ясно же что в registry ещё какая то хрень осталась...
artifex вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.08.2003, 23:36   [включить плавающее окно]   #39
Tommy
Новенький
 
Регистрация: 11.08.2003
В Windows 2000 появляется такой глюк: в какой то момент времени, выскакивает ошибка "svchost.exe выполнила недопустимую операцию". После этого всё работает дальше, за исключением того, что нельзя больше запустить ни одну программу (не считая новых окон IE). Может кто с чем-то таким сталкивался? Заранее спасибо!

ГЫ: У меня то что? Вирус чтоль? Тут у друга, такая ж фигня появилась. Что то плохое творится...
Tommy вне форума  
Ответить с цитированием
Непрочитано 13.08.2003, 00:27   [включить плавающее окно]   #40
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
На изральском сайте мелкософтных написано...
Когда выскакивает окно с отчетом времени перед перезагрузкой...
Зайдите в RUN и напишите (Shutdown -a)... (Это отменит перезагрузку...)

А после качай обнавление...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 13.08.2003, 05:06   [включить плавающее окно]   #41
_ИЛЬЯ_
Общительный
 
Аватар для _ИЛЬЯ_
 
Регистрация: 17.06.2003
для надежности можно было бы еще и этот рег-файл добавить
_ИЛЬЯ_ вне форума  
Ответить с цитированием
Непрочитано 13.08.2003, 12:41   [включить плавающее окно]   #42
LOAD
Мужской Умудрённый
 
Аватар для LOAD
 
Регистрация: 14.02.2003
Адрес: Саратов
Прога для удаления вируса...

Вот вам прога от симантек для удаления этого вируса...
__________________
Say your prayers little one...
LOAD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 13.08.2003, 14:18   [включить плавающее окно]   #43
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
LOAD
А вот это очень полезная тулза
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 13.08.2003, 16:55   [включить плавающее окно]   #44
alexa
Женский Team 3DNews
 
Регистрация: 04.02.2003
Адрес: Москва
у нас тут у многих эта проблема - вот нам что прислали для помощи



Установите обновление
http://www.microsoft.com/downloads/d...displaylang=en для английского XP
http://www.microsoft.com/downloads/d...2-3de40f69c074 для русского
и прогоните AVP с новым обновлениемм
alexa вне форума  
Ответить с цитированием
Непрочитано 14.08.2003, 12:37   [включить плавающее окно]   #45
Rogi
Интересующийся
 
Аватар для Rogi
 
Регистрация: 06.08.2003
Адрес: France
Чё за шум ,а драки нету !!? Ну выкатил мне он вчера два раза перезагрузку как только в сеть заходил, а доктыр веб молчит как в рот воды набрал . Плюнул я и отпрыгнул на один день назад (думаю о реставрации все слышали)И все прекрасно Правда кое что потерял, но не смертельно. Еще нет такой заразы которую убить нельзя, единственное что мене смущает это нежная и не защищенная BIOS. На остальное я на все положил . Ценные вещи архивирую чтоб если че всегда можно было пойти на крайние меры. Хотя предохранятся конечно надо!
Rogi вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.08.2003, 13:57   [включить плавающее окно]   #46
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Rogi
Если патч не ставил схватишь по новой...
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 14.08.2003, 15:44   [включить плавающее окно]   #47
Rogi
Интересующийся
 
Аватар для Rogi
 
Регистрация: 06.08.2003
Адрес: France
Сейчас только мой Касперский(фаервол) отбил атаку на 137 порт от какойто хренотени, радостно сообщив мне об этом.
Rogi вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.08.2003, 15:45   [включить плавающее окно]   #48
Rogi
Интересующийся
 
Аватар для Rogi
 
Регистрация: 06.08.2003
Адрес: France
Пошел за патчем !!
Rogi вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.08.2003, 01:27   [включить плавающее окно]   #49
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
По каким портам он, Blaster конектится...?
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.08.2003, 04:23   [включить плавающее окно]   #50
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Тут почитай: http://www.3dnews.ru/editorial/lovsan/
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 19.08.2003, 06:58   [включить плавающее окно]   #51
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
А уже поставил патч,не успел меня вирь сожрать...
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 19.08.2003, 21:27   [включить плавающее окно]   #52
N-Forse2
Новенький
 
Аватар для N-Forse2
 
Регистрация: 19.08.2003
Адрес: Россия
Если вы не нашли у себя процесс/файл msblast.exe , а система все равно перегружается и/или выдает сообщения о сбое svchost.exe - см выше. В обязательном порядке патч и настоятельно рекомендуется firewall. В WindowsXP/2003 есть встроенный Internet Connection Firewall, который вполне должен справляться.
Дело в том, что отсутствие у вас на компьютере файла - значит лишь, что он пе пролез (в этот раз). Однако зачастую перезагрузки компьютера, происходят именно при НЕУДАЧНОЙ попытке. Существует новая модификация эксплоита, который может в УЖЕ ПРОПАТЧЕННОЙ винде вызывать сбои svchost.exe, перезагрузки и прочие неприятности. Спасение - опять же firewall.

Firewall, которые можно довольно легко настроить :

Internet Connection Firewall (встроенный в windows XP/2003, Где его найти. По умолчанию сам должен блокировать входящие RPC. "Должен" - потому что не пробовал).

AtGuard - древний, но имхо непревзойденный =)
Создать правила :
TCP; Inbound; Local List of services: 135, 139, 445, 593; Block.
UDP; Inbound; Local List of services: 135, 137,138; Block.

Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.
З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета
2)Зупустил прогу антибласт которая удалила червь
3)уставновил заплату
4)настроил файрвол
5)и радуюсь
__________________
Отец говорит сыну : сынок не повторяй моей ошибки пользуйся презервативом.

Последний раз редактировалось N-Forse2; 19.08.2003 в 21:30.
N-Forse2 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.08.2003, 00:01   [включить плавающее окно]   #53
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Цитата
Internet Connection Firewall (встроенный в windows XP/2003, Где его найти.
Находится в сосавляющих твоего инет соединения,язычёк advance,но активизировать у себя не могу,почему-то потом выбивает из инета,а потом при попытке дозвона выкидывает ошибки(номера уже не помню),ну и не пользую ету функцию.Ну а если хотите почитать мануал как его активизировать и пользоватся,качайте отсюда: http://pcforum.ru/showthread.php?s=&threadid=75
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.08.2003, 08:11   [включить плавающее окно]   #54
докторишка
Мужской Бывалый
 
Аватар для докторишка
 
Регистрация: 04.03.2003
Адрес: Санктъ- Петербурх
msblast умер

....... на моих машинах. На одной Касперский на другой F Secure для серваков. но прикол то не в этом файерволл родного WinXP видимо просто не видит эту дрянь ибо только после установки BLACK ICE DEFENDERa эта срань перестала появляться. (машины естественно пропатчены). или же всё таки можно настроить родной ХР файр.или нет
__________________
Что то мне перестал нравиться коньяк.....
докторишка вне форума  
Ответить с цитированием
Непрочитано 11.09.2003, 15:18   [включить плавающее окно]   #55
Guru
Мужской Умудрённый
 
Регистрация: 02.09.2003
Какая то зараза добавила к файлам после расширения следущее: .XYU и это не смешно, когда все файлы за исключением *.dll, *.exe, *.ini, *.setup- стали с таковым дополнительным расширением...Что это! Касперский 4.5 ничего не нашел. Винды переставил, но на будущее хотелось бы знать!
Guru вне форума  
Ответить с цитированием
Непрочитано 11.09.2003, 15:31   [включить плавающее окно]   #56
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Guru
Не думаю что это был msblast или lovesun, посоветовать можно только обновлять антивирус почаще
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 12.09.2003, 14:59   [включить плавающее окно]   #57
was
Новенький
 
Регистрация: 27.08.2003
Адрес: Kanevskaya
у меня тоже был такой гаденыш! ползал по system32 спокойненько и глючил машинку но перезагруза небыло...
was вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 12.09.2003, 16:42   [включить плавающее окно]   #58
was
Новенький
 
Регистрация: 27.08.2003
Адрес: Kanevskaya
По этому линку можно скачать заплатку на русский WIn 2000

http://www.microsoft.com/downloads/d...displaylang=ru
was вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.09.2003, 20:05   [включить плавающее окно]   #59
GAS
Guest
 
Ну вот и я подцепил эту дрянь сегодня....бл.......
Винду пропачил ,вроде молчит пока, но интересно то сто не в системе ни где быто нибыло никакого -msblast*а - я не накопал, в реестре тоже чисто, ....

Патч для XP-Pro-English: http://www.microsoft.com/downloads/d...displaylang=en
 
Ответить с цитированием
Непрочитано 15.09.2003, 08:41   [включить плавающее окно]   #60
Petrovich
Guest
 
а я уже неделю мучую не могу понят что за ХР а это вот что ладно надо попробувать патч может поможет?
 
Ответить с цитированием
Непрочитано 15.09.2003, 10:27   [включить плавающее окно]   #61
Remore
Мужской Заслуженный
 
Аватар для Remore
 
Регистрация: 06.02.2003
Адрес: Israel
Цитата
ладно надо попробувать патч может поможет?
В первую очередь...
Remore вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 16.09.2003, 05:40   [включить плавающее окно]   #62
Petrovich
Guest
 
Ха смешно мне я пока эта все читал и извучал на работе сам подцепил этот вирус.
А дома все супер вылечил очень благодарен Вам всем
 
Ответить с цитированием
Непрочитано 01.10.2003, 20:49   [включить плавающее окно]   #63
c@ts
Мужской Заслуженный
 
Аватар для c@ts
 
Регистрация: 17.06.2003
Адрес: Орск
У меня этот червь прошел после форматирования!
__________________
Ищу выход из интернета...
c@ts вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.10.2003, 21:16   [включить плавающее окно]   #64
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
Цитата
У меня этот червь прошел после форматирования!
Что? Несколко раз форматил?
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.10.2003, 22:40   [включить плавающее окно]   #65
Sl@sh/
Мужской Заслуженный
 
Аватар для Sl@sh/
 
Регистрация: 30.07.2003
Адрес: 3DNClan,Israel
Я тоже два раза цапанул эту гадость,когда главный компутер отключён был по причине поломки монитора,то забрал у детёныша ноут,вечерком полазить в инете.Так придурок забыл,что этот ноут даже без антивиря,инет через мой.Как только вошёл,сразу бац!Башка пивом залита,растерялся поначалу,в процессах ничего не вижу...и когда после третьей перезагрузки быстро набрал msblast в поиске нашёл эту дрянь,начал удалять,не идёт...первое,что пришло в голову:переименовать,прошло!Дальше времени хватило,чтоб установить и обновить антивирь,всё,хапанул по новой,только программа орёт:ВИРУС!Зараза,в карантин не хочет,исправлятся тоже,переименовыватся тоже...название новое приняла,не помню точно,но кажись mslayout...но не перезагружает и то слава богу.Корректно повыкидывал из регистра ихние записи,удалил и всё...а "главный" ни разу не хапанул(3 раза тьфу) ничего подобного.Стоит Нортон интернет секюрити...каждый день обновляются и антивирь и ОС.
__________________
"-Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа."
Sl@sh/ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.10.2003, 14:17   [включить плавающее окно]   #66
c@ts
Мужской Заслуженный
 
Аватар для c@ts
 
Регистрация: 17.06.2003
Адрес: Орск
Цитата
Что? Несколко раз форматил?
Нет! Форматировал только 1 раз! А осле форматирования поставил заплатку! Иусё конец червю!
__________________
Ищу выход из интернета...
c@ts вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.10.2003, 14:29   [включить плавающее окно]   #67
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
c@ts
А форматить то заче надо было? Этот вирь ручками то несложно убить.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.10.2003, 18:10   [включить плавающее окно]   #68
stellls
Интересующийся
 
Аватар для stellls
 
Регистрация: 22.10.2003
Адрес: Санкт-Петербург
Blaster Worm: Critical Security Patch for Windows XP
Была обнаружена проблема безопасности, позволяющая злоумышленнику поставить под угрозу безопасность компьютера с системой Microsoft® Windows® и получить возможность удаленного управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера. Патчить и Патчить господа !
__________________
Первое что ты говоришь, когда ты псих: «Я не псих!», Первое что ты говоришь, когда ты истеричка: «Я не истеричка!»,...
stellls вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.10.2003, 23:48   [включить плавающее окно]   #69
stellls
Интересующийся
 
Аватар для stellls
 
Регистрация: 22.10.2003
Адрес: Санкт-Петербург
Червь получает управление, только если пользователь самостоятельно откроет вложенный файл. При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство". Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil] "KAVUtil" = "kavutil.exe".

Червь также ищет в системном реестре ключ:
[Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.
__________________
Первое что ты говоришь, когда ты псих: «Я не псих!», Первое что ты говоришь, когда ты истеричка: «Я не истеричка!»,...
stellls вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 13.11.2003, 19:22   [включить плавающее окно]   #70
BoS
Мужской Начинающий
 
Регистрация: 11.11.2003
Адрес: Великий Устюг
Я конечно в вирусах ничего не понимаю, но думаю достаточно поставить фаервол - и все проблемы решаться, без вашего ведома никто никуда не закачается. у нас в общаге вся сеть (500 компов) пострадала, гигабитный канал в инет засран - вирус закачивает в инет чего-то и оттуда выкачивает что-то. до сих пор ламеры жалуются на перезагрузки и пропажу денег со счёта, притом что всем было сказано 10 раз что это за фигня... вот такая фигняЖ
__________________
СПбГПУ - best
BoS вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.12.2003, 18:43   [включить плавающее окно]   #71
Xternal
Мужской Начинающий
 
Аватар для Xternal
 
Регистрация: 22.12.2003
Адрес: Москва
RPC, RPC, RPC - страшное для многих слово. Ребята, ну что ж это такое? Вам что, трудно поставить файрволл и уделить 2-3 часа чтению мануала и грамотной настройки? Это очень важно. Разве так сложно подписаться на newsletter, ну, или просто следить за лентой на www.microsoft.com....

Лично я поставил заплатку за неделю до выхода вируса и поставил соотв. конфигу файрволлу. Также немного поспамил по своему контакту в аське, хотя, уверен, никто плохим словом не вспомнит ;]

Вообще, в проблеме с Lovesan, я бы посоветовал не только поставить заплатку, но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)

http://www.grc.com/dcom/
__________________
icq 648900
Xternal вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.12.2003, 15:26   [включить плавающее окно]   #72
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
но и напрочь отключить сервис DCOM с помощью замечательной мини утилиты DCOMbobulator. =)
Нафига утилиты то?
В командной строке набираешь dcomcnfg и отключаешь, что надо
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 29.12.2003, 15:22   [включить плавающее окно]   #73
Mike Goldwasher
Новенький
 
Регистрация: 29.12.2003
Не мог установить SP и HF после лечения. После замены svchost.exe и svcpack.dll на версии взятые с неповрежденных компов проблема была решена.
Mike Goldwasher вне форума  
Ответить с цитированием
Непрочитано 24.01.2004, 16:42   [включить плавающее окно]   #74
hunter
Мужской Опытный
 
Аватар для hunter
 
Регистрация: 07.12.2003
Адрес: г.Саранск
Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?
__________________
CorvettE
hunter вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 31.01.2004, 01:06   [включить плавающее окно]   #75
alex123456
Новенький
 
Регистрация: 22.01.2004
Адрес: Эстония
вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru
alex123456 вне форума  
Ответить с цитированием
Непрочитано 31.01.2004, 13:12   [включить плавающее окно]   #76
докторишка
Мужской Бывалый
 
Аватар для докторишка
 
Регистрация: 04.03.2003
Адрес: Санктъ- Петербурх
короче так...

Цитата (alex123456) »
вот вот все тока и говорят мол это легко да нечего тут делать я уже всё перечитал что говорили ни хрена не работает симптомы те а решения походу нет .... !!!! кто хочет поковыряться могу открыть удалённый доступ ... если что пиши те по майлу ritter-sport@inbox.ru
нажимай три волшебные клавиши и посмотри в диспетчере задач есть ли у тебя msblast.exe в сервисах если есть то простой касперский непростой panda легко находит и лечит эту хрень далее ставишь outpost файрвол любой версии и отсекаешь порт . после чего эта срань к тебе не проникает . однако есть модификация nvsc32.exe та же срань но немного другая до Примоья уже дошла. вот ее не видит никакой антивирь пока
__________________
Что то мне перестал нравиться коньяк.....
докторишка вне форума  
Ответить с цитированием
Непрочитано 01.02.2004, 22:15   [включить плавающее окно]   #77
тэка
Женский Опытный
 
Аватар для тэка
 
Регистрация: 13.01.2004
Адрес: latvia
Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) sales@ectaco.de
инфицировано и не было доставлено.

--- Dr.Web report ---
Найден(ы) следующий(е) вирус(ы):
infected with Win32.HLLM.MyDoom.32768


Детализированный отчет Dr.Web:
drweb.tmp_kE13p9 - archive MAIL
drweb.tmp_kE13p9/[textlain] - Ok
drweb.tmp_kE13p9/test.zip infected with Win32.HLLM.MyDoom.32768


Статистика сканирования Dr.Web:
Infected : 1

--- Dr.Web report ---

Ваше сообщение сохранено в карантине под именем:
drweb.quarantined_flm3IS

Чтобы получить это сообщение, обратитесь к администратору
по адресу <postmaster@kenga.net>, указав имя, под которым
Ваше сообщение сохранено в карантине.

---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru )
---------------------
Воттакое, якобы возвратное, письмо я получила(уже не первое).В принципе файлы из неизвестных писем я не открывала.Комп работает исправно.Может бытьтакое,что пользуется вирус моим почтовым адресом, а я незаражена? Или надо поискать те самые файлы nvsc32.exe и msblast.exe .Но мой МсАфи ничего не нашёл,да и фаервул где-то был.

тэка добавил :

тем более,что я точно на эти адреса ничего не посылала..
__________________
ЛЕЧУ от алкоголизма, ТОРЧУ от наpкомании. А еще СHИМАЮ, ПОРЧУ
тэка вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.02.2004, 22:26   [включить плавающее окно]   #78
Ну занято так занято...
Заслуженный
 
Аватар для Ну занято так занято...
 
Регистрация: 19.12.2003
тэка
Мнэ... В связи с незащищённостью SMTP протокола и безалаберностью некоторых провайдеров, не составляет никакого труда подставить в поле "Обратный адрес\Отправитель" всё, что угодно. Если хотите, я могу вам выслать письмо от billgates@redmond.com
Этим и пользуются, пишут в качестве обратного адреса один из адресов, находящихся в спам-листе и Mail-Daemon возвращает письмо не отправителю, а совершенно непричастному человеку.
Ну занято так занято... вне форума  
Ответить с цитированием
Непрочитано 04.02.2004, 05:06   [включить плавающее окно]   #79
Ramec
Мужской Registered User
 
Регистрация: 23.12.2003
Адрес: Москва
Цитата
Не устанавливается патч скачанный с сайта Microsoft. Ошибка - не удается инициализировать файл update.inf. Что делать?
hunter, зайди в администрирование и включи службу криптографии.
А вообще, ребят, самый сволочной вирус какой я когда либо видел, все мои знакомые, которые сидят в инете, ВСЕ подцепили енту хрень.
Ramec вне форума  
Ответить с цитированием
Непрочитано 06.02.2004, 20:09   [включить плавающее окно]   #80
Farmpak
Мужской Начинающий
 
Регистрация: 26.12.2003
Адрес: Казань
Цитата (N-Forse2) »
Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.
З.Ы тоже зацепил я этот вирус, что я сделал 1) вышел из инета
2)Зупустил прогу антибласт которая удалила червь
3)уставновил заплату
4)настроил файрвол
5)и радуюсь
Проблема: похоже заражен svchost.exe т.к. outpost 2.0 стал предлагать разрешить или нет ему доступ в интерен, если разрешаю то через некоторое время ошибка и перезагрузка через минуту... Запрещаю и ничего не грузится tcp и udp deny установил непомагает т.к. вирус похоже уже сидит или идет через svcost... пробовал заменить на svcost и svcpack.dll из дестрибутива win не помогло... msblast teekids и tftp удалил... патч стоит (sp2)
__________________
COOL!
Farmpak вне форума  
Ответить с цитированием
Непрочитано 08.02.2004, 11:11   [включить плавающее окно]   #81
huziev
Новенький
 
Регистрация: 24.07.2003
Это тварь перекачевала ко мне с винта друга но через неделю самоликвидировалась
huziev вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 18.02.2004, 19:58   [включить плавающее окно]   #82
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Вобщем та-же хренотень, с начала пошли перизагрузки, потом зависания експлорера и тормоза всей системы. Но каспер после обновления баз и сканирования системного диска обнаружил енту дрянь в папке system32 под безликими файлами ТFFP1204 и.т.д , всю енту хрень удалил потом проверил защищённую карзину в ней они то-же были очистил всё. Но система всё глючила, тогда разархивировал системные файлы(создал сразу после установки операционки) и сравнил оказалось некоторых файлов нет, в том числе и Експлорера. Скопировал недостающие файлы - пока вроде всё нормально.
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.02.2004, 15:50   [включить плавающее окно]   #83
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
Привет!
У меня были такие проблемы. Форматнула хард - не успела винда "очнуться" - тут же опять RPC рестарт. Даже сеть не успела настроить и в интернет выйти.
Не поняла, что произошло, и как такое возможно. Я вобще в этих делах не особо понимаю. Накопала в Administative Tool этот RPC и сделала просто, если обрубается, чтоб не рестартил.
Жила с этим неделю и не думала, что это вирус - я ведь форматнула! RPC периодически обрубало - но мне это особо не мешало (при наборе текста).
По этой проблеме инфу в FAQ нашла только сегодня. Скачала все, что нужно, проверила на наличие этого самого Ловсана - ничего не нашлось. Просто все чисто. Заплатку на всякий случай поставила..
и так и не поняла, что ЭТО было? Почему ловсан не пойман?

mousee добавил :

ЕКЛМН!!!! RPC все равно обрубается периодически. Касперски ничего кроме каких-то backdoor-ов не находит.
Как с этим бороться?
mousee вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 16:28   [включить плавающее окно]   #84
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Набираешь в командной строке
dcomcnfg
Затем на закладку Default Properties
Enable Distributed COM on this computer снимаешь чекбокс
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 16:49   [включить плавающее окно]   #85
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
не вижу закладку Default Properties
mousee вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:02   [включить плавающее окно]   #86
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
mousee
Свойства по умолчанию (если по русски)
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:07   [включить плавающее окно]   #87
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
Нет, у меня engl. Дело не в этом. Набираю dcomcnfg - открывается component sevices.
там есть:
Console root
+Component Services
+Event Viewer (Local)
+Services (Local)
mousee вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:12   [включить плавающее окно]   #88
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow

Операционка какая?
Скриншот дай.
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:31   [включить плавающее окно]   #89
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
XP

картинка тут - http://www.mousee.nm.ru/scr_mousee.bmp
mousee вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:34   [включить плавающее окно]   #90
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Переформатируй в JPG
и запости прямо в форум
ХР под рукой нет
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:36   [включить плавающее окно]   #91
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
dcomcnfg >>>>>
mousee вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:40   [включить плавающее окно]   #92
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Отлично
Раскрывай
Component services
Computers
жми правой кнопкой мыши на
my computers
и дальше как я писал выше
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:44   [включить плавающее окно]   #93
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
ООО! Спасибки большие! Все нашла, сделала как написал.
Только зачем это надо было?
mousee вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:53   [включить плавающее окно]   #94
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Ну патч уже ставила, а это тогда как дополнительная защита...
Пегрузиться не забудь...
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.02.2004, 17:57   [включить плавающее окно]   #95
mousee
Новенький
 
Регистрация: 25.02.2004
Адрес: Riga
перезагрузилась... RPC вроде пока не вышибает...
mousee вне форума  
Ответить с цитированием
Непрочитано 06.03.2004, 16:01   [включить плавающее окно]   #96
EsTaF
Мужской Бывалый
 
Аватар для EsTaF
 
Регистрация: 05.06.2003
Адрес: Огурцово
Странно. Вон я читал про безопасность когда устанавливалась Винда XP.
Что за бред?...
EsTaF вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.03.2004, 20:11   [включить плавающее окно]   #97
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
Странно. Вон я читал про безопасность когда устанавливалась Винда XP.
Что за бред?...
Это ты о чем?
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 07.03.2004, 03:57   [включить плавающее окно]   #98
Ну занято так занято...
Заслуженный
 
Аватар для Ну занято так занято...
 
Регистрация: 19.12.2003
Это он о "С Windows XP вы всё сможете делать быстрее и безопаснее. Теперь нет нужды бегать в аптеку при выходе в интернет! Необходимые средства прилагаются."
Ну занято так занято... вне форума  
Ответить с цитированием
Непрочитано 19.03.2004, 23:14   [включить плавающее окно]   #99
Ainu
Интересующийся
 
Регистрация: 26.12.2003
Угу, факт.

Но если о сабжекте - активный на компе вирус обходит антивирусы (во всякос случае известные). Т.е. если касперский постоянно находит трояны - значит есть троян дроппер - и он его не видит - в этом случае надо на другом компе создать загрузочный набор из 4-х дискеток касперского с последними обновлениями баз естественно и с него загрузиться на зараженном компе. Если на нем NTFS5 - тады ой... дискетка касперского использует какой-то линукс - т.е. ровной поддержки NTFS5 там нет. Да - если это все в локалке - то процедуру провести с отключением компов (всех) от нее, на всех по очереди - иначе музыка будет вечной )кажется это было (с) SONY
__________________
* blessing in free time
Ainu вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.05.2004, 21:31   [включить плавающее окно]   #100
Vovka
Начинающий
 
Регистрация: 04.03.2004
Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)

Такая проблема запускаю Xp вылетает окно как при том, когда был вирус BLAST но тама совсем другое ошибка связана с филом lsass.exe и комп через 1 мин перегружается что делать ???

Vovka, я немного подправил заголвок чтоб в глаза бросалось.
[KpeHgeJIb]

Последний раз редактировалось KpeHgeJIb; 02.05.2004 в 12:48.
Vovka вне форума  
Ответить с цитированием
Непрочитано 01.05.2004, 23:13   [включить плавающее окно]   #101
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
Vovka
А ты уверен что избвился от лавсана? Он ведь файлы по разному называет. Заплатку ставил? Утилитами удалял?
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 05:03   [включить плавающее окно]   #102
vitruvian
Мужской Бывалый
 
Аватар для vitruvian
 
Регистрация: 03.01.2004
Адрес: Киев
Теперь я об этом же

Заплатка от мсбласта стоит, антивирусные базы новейшие, проверял все диски, утилита от касперского тоже ничего не нашла....

Очень похоже не ловсан, но не он это....

Пока что спасаюсь firewall'ом, пока он работает все путем...


Может есть еще какие-то заплатки для ХРюши?
__________________
Nulla dies sine linea
vitruvian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 07:11   [включить плавающее окно]   #103
SWAT
Мужской Умудрённый
 
Аватар для SWAT
 
Регистрация: 06.01.2004
В папке system 32 не нашел ни одного подозрительного файла. Могут ли они быть скрытыми?
__________________
Just have a little patience!
SWAT вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 12:15   [включить плавающее окно]   #104
Ну занято так занято...
Заслуженный
 
Аватар для Ну занято так занято...
 
Регистрация: 19.12.2003
SWAT
Как два пальца об асфальт.
А у вас что, стоит крыжик "Не отображать скрытые файлы и папки"?
Ну занято так занято... вне форума  
Ответить с цитированием
Непрочитано 02.05.2004, 12:23   [включить плавающее окно]   #105
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Итак, этот вирус называется W32.Sasser.Worm
Его действие похоже на MSBlast он тоже перегружает комп за 60 сек.
Опять подвержены системы Windows 2000, Windows NT, Windows Server 2003, Windows XP.
Для знающих инглиш, читайте тут http://www.microsoft.com/security/incident/sasser.asp
Заплатки можно скачать тут
Утилиту для поиска и уничтожения вируса, качать тут

Последний раз редактировалось KpeHgeJIb; 02.05.2004 в 15:19.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 13:10   [включить плавающее окно]   #106
asp!smtu
Мужской Бывалый
 
Аватар для asp!smtu
 
Регистрация: 12.12.2003
Адрес: Санкт-Петербург
Может я повторюсь:
Сервант под 2k+3.
В нормальном режиме - не грузится, БСОД и ребут.
В сафе режиме - грузится, перед вводом логина - окно с какой-то ошибкой у lsass.exe. После закрытия окна - ребут... =(
Это то, что описано выше?
PS ошибку конкретнее скажу в среду-четверг, когда появлюсь на работе. =) Тогда же будет и конфа.
__________________
Если вы не поняли человека, вы не имеете права ругать его, а если поняли,то, вполне возможно, не захотите этого делать.
asp!smtu вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 15:52   [включить плавающее окно]   #107
vitruvian
Мужской Бывалый
 
Аватар для vitruvian
 
Регистрация: 03.01.2004
Адрес: Киев
KpeHgeJIb
Оно

Сегодня и каспер начал его опознавать
Worm.Win.Sasser.a

а то я уже запарился отсылать им avserve2.exe на исследование
__________________
Nulla dies sine linea
vitruvian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 18:48   [включить плавающее окно]   #108
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
Я тут потерял ссылку,где было написано какую службу надо перезапустить чтобы комп не перезагружался от lovesun'a. Кто нибудь знает какую? Может и от энтого поможет...
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 19:33   [включить плавающее окно]   #109
KpeHgeJIb
Мужской Заслуженный
Автор темы
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
4x
Чтобы комп не перезагружался достаточно при появлении окна с ошибкой
Start>Run и там написать shutdown -a

Либо в сервисах для "Локалный вызов процедур (RPC)" (aka Remote Procedure Call) на закладке "Востановление" в графах "Первый сбой", "Второй сбой" и "Последующие сбои" выставить "Не выполнять ни каких действий" или "Перезапуск службы"

Правда от перезапуска RPC комп работать лучше не станет, после ее падения падают все зависящие от нее службы, а их не мало.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.05.2004, 23:36   [включить плавающее окно]   #110
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
KpeHgeJIb
Thaks!
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.05.2004, 16:49   [включить плавающее окно]   #111
ZVER3
Мужской Опытный
 
Аватар для ZVER3
 
Регистрация: 11.01.2004
Адрес: Краснодар
Unhappy помощь....

через некоторое время пребывания в интернете винда выдаёт табличку:
неожиданно был завршённ процесс Isass,перезагрузка произайдёт через 60сек.
подскажите решение этой проблемы!

З.Ы.если это вирус(что более вероятно)подкинте пожалуйста ссылку на лечилку......
ZVER3 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.05.2004, 17:18   [включить плавающее окно]   #112
_mistako
Мужской Бывалый
 
Аватар для _mistako
 
Регистрация: 01.04.2004
Адрес: Makhachkala City
....лечиться это одним из WindowsXP-KB82XXXX-x86-ENG/RUS.EXE , есть точьно на FTP://FTP.IWT.RU .......
_mistako вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.05.2004, 17:52   [включить плавающее окно]   #113
ZVER3
Мужской Опытный
 
Аватар для ZVER3
 
Регистрация: 11.01.2004
Адрес: Краснодар
спасибо конечно...но...там же куча этих КВ82ХХХХ-х86,мне что все качать?а можно ли поподробней?
ZVER3 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.05.2004, 17:57   [включить плавающее окно]   #114
asp!smtu
Мужской Бывалый
 
Аватар для asp!smtu
 
Регистрация: 12.12.2003
Адрес: Санкт-Петербург
Похоже на семейство Sasser.
http://securityresponse.symantec.com...oval.tool.html
Потом патчи
http://www.microsoft.com/technet/sec.../MS04-011.mspx
http://www.microsoft.com/technet/sec.../MS04-012.mspx
http://www.microsoft.com/technet/sec.../MS04-013.mspx
http://www.microsoft.com/technet/sec.../MS04-014.mspx
И обнови систему через WindowsUpdate
__________________
Если вы не поняли человека, вы не имеете права ругать его, а если поняли,то, вполне возможно, не захотите этого делать.

Последний раз редактировалось asp!smtu; 03.05.2004 в 18:03.
asp!smtu вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.05.2004, 10:35   [включить плавающее окно]   #115
Unlock
Мужской Продвинутый
 
Регистрация: 27.03.2003
Народ, когда появляется такое окно, то избежать перезагрузки помогает перевод времени назад. Т.е. хотя бы на день назад. И тогда будет время зайти на форум и посмотреть что и как лечить
Вот блин гадость Я думал Нортон никакая зараза не возьмет Еще вчера слушал по радио про эпидемию этого вируса и подумал, но вот, опять куча ламерских компов падет и тут прихожу на работу и на тебе Но спасибо этому форуму и все Ok

Unlock добавил :

Нифига себе... Утилита Нортоновская не нашла вируса, а ведь все признаки есть... Что бы это значало?
Unlock вне форума  
Ответить с цитированием
Непрочитано 04.05.2004, 12:20   [включить плавающее окно]   #116
vitruvian
Мужской Бывалый
 
Аватар для vitruvian
 
Регистрация: 03.01.2004
Адрес: Киев
Unlock

Цитата
Что бы это значало?
Возможно утиль лечит только модификацию .а, а к тебе залезла .b (сейчас уже не слежу за ними, может и другие появились).

Может быть вирус висит в памяти (имена процессов в библиотеке касперского)...
__________________
Nulla dies sine linea
vitruvian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.05.2004, 14:36   [включить плавающее окно]   #117
asp!smtu
Мужской Бывалый
 
Аватар для asp!smtu
 
Регистрация: 12.12.2003
Адрес: Санкт-Петербург
Unlock Может у тебя в Винде TimeBomb сработал? пуск - выполнить winver.
__________________
Если вы не поняли человека, вы не имеете права ругать его, а если поняли,то, вполне возможно, не захотите этого делать.
asp!smtu вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.05.2004, 15:33   [включить плавающее окно]   #118
ZVER3
Мужской Опытный
 
Аватар для ZVER3
 
Регистрация: 11.01.2004
Адрес: Краснодар
спасибо

вот это я понимаю....
в следующий раз буду внимательнее..
ZVER3 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.05.2004, 19:57   [включить плавающее окно]   #119
Unlock
Мужской Продвинутый
 
Регистрация: 27.03.2003
asp!smtu
Не, у меня корпоративка
Unlock вне форума  
Ответить с цитированием
Непрочитано 04.05.2004, 22:54   [включить плавающее окно]   #120
Fil
Новенький
 
Регистрация: 04.05.2004
Рискну вызвать в свой адрес не сколько усталых вздохов у местных старожилов, но я всё с той же проблемой что и все. То есть симптомы полностью аналогичны msblaster. Только с ним всё было просто и понятно: поставил заплатку, удалил автозапуск, перезапустился и снёс сам файл. Теперь видно появилось что то новое, а здесь я не чего не нашёл кроме -

Цитата
Набираешь в командной строке
dcomcnfg
Затем на закладку Default Properties
Enable Distributed COM on this computer снимаешь чекбокс
я не силён в данных тонкостях, тем более настройки службы компонентов у меня, почему на русском. Но если имелось виду отключить «разрешить использование DCOM на данном компьютере» то это не помогло.
может плохо искал, но копаться долго в форуме, когда идут сплошные перезапуски…

На windows update есть три заплаты не установленных на моей машине (XP home edition), но поставить их не получается так как они требуют подключения к сети (даже при установки с винта) а это приводит к перезапуску. Да и заплаты как я понимаю сам комп не вылечат.
Если кто напишет, то пожалуйста по проще и поподробней, что бы было понятно даже такой тумбочке вроде меня.
Fil вне форума  
Ответить с цитированием
Непрочитано 05.05.2004, 06:31   [включить плавающее окно]   #121
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Fil
Я только одного не пойму, ведь загрузку с флопов/сд/флешей никто еще не отменял...
далее запускаешь консольный/досковый вариант любого антивиря с последними апдейтоми,
например тогоже Веба или Каспера, и лечишь комп...

З.Ы. чистое ИМХО - все эти эпидемии доставляют неприятности
только корпоративным пользователям, а хомякам это даже типа
развлечения (извращенного правда).
Вобщем-то все это упирается в болезни "грязных рук" - следить надо за тем, что в рот тащишь

Lamo добавил :

Fil
вот еще Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.05.2004, 11:47   [включить плавающее окно]   #122
Wertiks
Новенький
 
Регистрация: 05.05.2004
Адрес: Татарстан
Всем добрый день!
Поймал этот новый вирус - выходит окно с обратным отчетом времени до перезагрузки.
Проверил вебом - не нашел.
скачал патч, запустил - не помогло, все равно идет перезагруз...
Что можно сделать-то?
искал msblast - нигде нет
Wertiks вне форума  
Ответить с цитированием
Непрочитано 05.05.2004, 11:55   [включить плавающее окно]   #123
Wertiks
Новенький
 
Регистрация: 05.05.2004
Адрес: Татарстан
переустановил винду, пропатчил, искал везде
ничего не помогает...............
Wertiks вне форума  
Ответить с цитированием
Непрочитано 05.05.2004, 12:20   [включить плавающее окно]   #124
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Xp перегружается (проблемы с lsass.exe ЧИТАТЬ ВСЕМ)
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 05.05.2004, 13:41   [включить плавающее окно]   #125
Alexandra
Женский Недосягаемый
 
Регистрация: 22.05.2003
Адрес: Kemerovo
Как оно уже достало,кто-нить знает откуда полезла ета сволоч порядочная? Заспамила ба гада.....
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.05.2004, 13:42   [включить плавающее окно]   #126
LOAD
Мужской Умудрённый
 
Аватар для LOAD
 
Регистрация: 14.02.2003
Адрес: Саратов
здесь почитайте - http://www.viruslist.com/alert.html?id=145080269
__________________
Say your prayers little one...
LOAD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.05.2004, 17:14   [включить плавающее окно]   #127
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Обращение ко всем кто уже имел дело с Sasser
очень нужно поиметь этого червя, кто его лакализовал
прошу бросить его на allshares(dog)mail.ru
архив запаковать винраром с шифрацией имен файлов, пароль на архив - мой ник
(это чтобы мыло не прибили антивири почтовиков)

З.Ы. подцепить в нете !_НЕ ПРЕДЛАГАТЬ_!, мне нужно устроить контролируемое размножение
на локализованных машинах, типа маленькой локали для проверки некоторых червоклюев.

Lamo добавил :

интересует также msblast
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.05.2004, 10:14   [включить плавающее окно]   #128
SWAT
Мужской Умудрённый
 
Аватар для SWAT
 
Регистрация: 06.01.2004
Alexandra
Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM. Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили. В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря… И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается. В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети). Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun". Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:
"Система завершает работу. Пожалуйста, сохраните все несохраненные данные. Отключение вызванно
NT AUTORITY\SYSTEM. Сообщение: Windows будет перезагружен из за внезапного отключения удаленного вызова поцедур (RPC)"
Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.
"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.
Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово. После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер ) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен.
Мой компьютер исключением не стал. Все прелести нового червячка я успел попробовать на себе.
__________________
Just have a little patience!
SWAT вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.05.2004, 04:47   [включить плавающее окно]   #129
Alexandra
Женский Недосягаемый
 
Регистрация: 22.05.2003
Адрес: Kemerovo
SWAT
Спасибо,конечно,за ликбез,но я постила про другой вирь-Sasser
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.05.2004, 03:34   [включить плавающее окно]   #130
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Арестован школьник, создавший вирус Sasser
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.05.2004, 19:08   [включить плавающее окно]   #131
Jon
Guest
 
у меня проблема с Isase.exe а также постоянно вывалевается
что Wind. блокирует direct CD
помогите пожалуйста с этим справиться
 
Ответить с цитированием
Непрочитано 11.05.2004, 08:39   [включить плавающее окно]   #132
SS20
Новенький
 
Регистрация: 11.05.2004
Была такая проблема. Симптомы: самопроизвольная перезагрузка компа, использование процессора на 100% при полном бездействии. Устранил прогоном AVP 5.0 (пробная версия, взял на сайте AVP.ru, он обнаружил 527!!! вирусов sasser), после чего поставил заплатку от Microsoft. Если не устанавливать заплатку от Гейтса, то этот вирус будет валится из инета, даже если ничего не делаешь.
SS20 вне форума  
Ответить с цитированием
Непрочитано 12.05.2004, 09:29   [включить плавающее окно]   #133
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Млин пол Инета заражено и никто намылить его не может
народ ну вы че ?
Jon
Хоть ты пульни его
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 13.05.2004, 23:20   [включить плавающее окно]   #134
deman
Новенький
 
Регистрация: 02.05.2004
К счастью я отношусь к другой половине
__________________
Мне нечего вам сказать.
deman вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.05.2004, 04:39   [включить плавающее окно]   #135
Rockman5
Мужской Заслуженный
 
Аватар для Rockman5
 
Регистрация: 06.01.2004
Прикольно Сейчас его видно в "Диспетчере задач Windows". Занимает окло метра. Вроде немного, может оставить
 5А;8 А5@Л57=>, Б> =>@Б>= 53> =5 =0H5;
Tolko chto takim stal moj russkij shrift A napisal Ja, chto Norton s nim ne spravilsja

Rockman5 добавил :

И это не спасло http://downloads1.kaspersky-labs.com...lrav/clrav.zip
Хм... а с русским шрифтом временный глюк...

Rockman5 добавил :

Значит так. У меня это было вчера всего один раз. Но ЭТО БЫЛО! Две утилиты ничего не нашли... Должен ли в винде вообще сидеть процесс LSASS.EXE?

Блин, ну комп ведь один раз перезапускался и это был не msblast.

Rockman5 добавил :

А эти процессы должны быть или нет: CSRSS.EXE и SMSS.EXE?

Rockman5 добавил :

Причем диспетчер не может их завершить. Так и должно быть?

Rockman5 добавил :

Еще вопрос: что нужно сделать, чтобы комп перезагрузился?

Rockman5 добавил :

Вот
Цитата ([b) »
Rockman5[/b] ]А эти процессы должны быть или нет: CSRSS.EXE и SMSS.EXE?
http://www.viruslist.com/viruslist.html?id=480301
Цитата
С помощью дополнительных компонент SMSS.EXE и CSRSS.EXE червь пытается замаскироваться в системе. Оба файла обеспечивают работу основного модуля LMHSVC.EXE, если по каким-то причинам он оказался выгруженным из памяти. Кроме того, эти компоненты следят за запуском REGEDIT, и, если REGEDIT запущен, временно стирают свои ключи в реестре и восстанавливают их при закрытии приложения REGEDIT. Таким образом, червь реализует механизм невидимости в системном реестре.
Елы-палы...

Rockman5 добавил :

Я так понимаю его лучше удалить из ДОСа, только чем?
И че делать с LSASS
Rockman5 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.05.2004, 13:22   [включить плавающее окно]   #136
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Rockman5
Цитата
И че делать с LSASS
Да ничего с ним не делать !
это как раз та служба Вина
на которую червь виснет
Если прибьешь ее, то половина служб сразу рухнет
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.05.2004, 21:31   [включить плавающее окно]   #137
Rimlyanin
Общительный
 
Регистрация: 20.06.2003
Закрой фаирволом 135-139 и 445 порты и будет тебе счастье, Agnitum Outpost Firewall Free искореняет это безобразие на корню даже в "режиме разрешения", Pro тем более , но он платный.
__________________
Rimlyanin
Rimlyanin вне форума  
Ответить с цитированием
Непрочитано 23.05.2004, 09:49   [включить плавающее окно]   #138
gromikk
Мужской Новенький
 
Регистрация: 22.05.2004
Адрес: Novosibirsk
Дык у меня ни чего не качается.
Чего делать ни знаю.
__________________
Люблю грозу в начале мая...
gromikk вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.05.2004, 12:21   [включить плавающее окно]   #139
Ober
Мужской Продвинутый
 
Аватар для Ober
 
Регистрация: 05.05.2003
Адрес: Приморье
И до меня добралась эта зараза
что самое интересное
жег DVDшку , смотрю у меня буфер освобождается , один потом вторй , медленно так кубики убывает , а потом все проги нежно-плавно закрываются и камп перезагружается, блин испорчен!
Каспер 5.0 стоит две недели назад поставил , обновляю почти кажндень и все равно пролез су№%%
__________________
Дурак с инициативой - беда для коллектива.
Ober вне форума  
Ответить с цитированием
Непрочитано 25.05.2004, 12:50   [включить плавающее окно]   #140
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
Каспер 5.0
От этого не поможет, только FireWall и/или patch
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 25.05.2004, 14:51   [включить плавающее окно]   #141
Rimlyanin
Общительный
 
Регистрация: 20.06.2003
Цитата
Закрой фаирволом 135-139 и 445 порты и будет тебе счастье, Agnitum Outpost Firewall Free искореняет это безобразие на корню даже в "режиме разрешения", Pro тем более , но он платный.
__________________
Rimlyanin
Rimlyanin вне форума  
Ответить с цитированием
Непрочитано 29.05.2004, 00:29   [включить плавающее окно]   #142
Marvel_new
Новенький
 
Регистрация: 26.05.2004
Люди помогите, подцепил вирус,он редко вызывает перезагрузку, балуется с интернетом, то дает трафик то до нуля глушит. Поиск в виндуосе не работает - просто черная полоса где должно быть окошко поиска. В папках на глаз вроде не нашел ни бласт ни фтп, в реесте поиск работает тоже не нашел. Скачал фикс бласт - пишет не обнаружен вирус. Видно этокакой-то новый. Еще он знаете че делает, после непродолжительной работы в интернет, как то заглючает всю систему, я даже не знаю как объяснить, ярлыки нажимаешь они гаснут и не откликаются, в меню пуск перестает работать всплывающие меню и тд.
ЧТО ДЕЛАТЬ??? УМОЛЯЮ ПОМОГИТЕ!!
Marvel_new вне форума  
Ответить с цитированием
Непрочитано 30.05.2004, 00:37   [включить плавающее окно]   #143
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
Marvel_new
Цитата
ЧТО ДЕЛАТЬ??? УМОЛЯЮ ПОМОГИТЕ!!
Поставь Firewall и проскань антивирусом, зайди на WindowsUpdate и поставь заплатки.
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.06.2004, 00:55   [включить плавающее окно]   #144
SnooP
Мужской Общительный
 
Аватар для SnooP
 
Регистрация: 04.05.2004
Адрес: Омск
2 ALL
Народ не поверите, знаете я свой мс бласт откуда подцепил.... с диска с игрой!!!!! После установке игры в автозагрузке появился фаил nvsc32.dll, именно после установки, т.к. за автозагрузкой у меня следит WatchDog.
Вот так вот
__________________
Баран он и в компьютерном салоне баран...
SnooP вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 08.06.2004, 21:35   [включить плавающее окно]   #145
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Ну в принцепе ничего удивительного нет особенно если диск пиратский.
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.06.2004, 08:48   [включить плавающее окно]   #146
Avatar
Новенький
 
Регистрация: 08.06.2004
Адрес: Bournemouth, UK
Привет. Подскажите че за ерунда ломится ко мне на компьютер? Kaspersky: Anti-Hacker постоянно выкидывает атаку типа "Helkern". Что это и как лечить?
Avatar вне форума  
Ответить с цитированием
Непрочитано 11.06.2004, 10:57   [включить плавающее окно]   #147
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Читай:
http://www.viruslist.com/viruslist.html?id=1701882
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 11.06.2004, 23:20   [включить плавающее окно]   #148
Avatar
Новенький
 
Регистрация: 08.06.2004
Адрес: Bournemouth, UK
Spasibo. A to poisk po forumu nichego ne dal. Sorry za translit - naklejki posletali. Eshe raz spasibo.

Avatar добавил :

Ja tol'ko tak i ne pon'al kak izbavitsa ot atak ne zakryvaja port. Ja SQL Server ne ispolzuju, po krajnej mere soznatel'no. A dl'a ustanovki fixa ot MS nado kakie-to updates kachat' dla etogo Servera...
Avatar вне форума  
Ответить с цитированием
Непрочитано 12.06.2004, 01:51   [включить плавающее окно]   #149
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
kak izbavitsa ot atak ne zakryvaja port
От аттак и не избавишся, он так и будет ломиться, вирь же не знает если у тебя SQL или нет...
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 13.06.2004, 14:46   [включить плавающее окно]   #150
Nirvana
Женский Забаненный
 
Аватар для Nirvana
 
Регистрация: 26.11.2003
Цитата (Rackot) »
От этого не поможет, только FireWall и/или patch
Мнге патч не помогает. Поставила, 5 минут работы в инете и снова больна!
А вот FireWall помогает. Месяц спокойно жила. Потом вклчила режим бездействия на пару минут и снова лечиться пришлось.
АВП и DrWeb кстати кричит когда он проникает на комп, но пускает его без проблем.
Во зараза какая и лечится плохо.
Я уж подумываю о переходе на Вин 98 для работы в инете.С ней таких проблем не было.
__________________
http://central.in.ua/cs/
Nirvana вне форума  
Ответить с цитированием
Непрочитано 13.06.2004, 15:47   [включить плавающее окно]   #151
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
Поставила, 5 минут работы в инете и снова больна!
Их надо все ставить...
Цитата
АВП и DrWeb кстати кричит когда он проникает на комп, но пускает его без проблем.
У них нет возможности противостоять такому способу заражения, это прерoгатива FW
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 13.06.2004, 15:52   [включить плавающее окно]   #152
Nirvana
Женский Забаненный
 
Аватар для Nirvana
 
Регистрация: 26.11.2003
Цитата (Rackot) »
Их надо все ставить...
Так все вроди бы и ставила.
Запускала Windows Update и он автоматом все ставил. 60 или 80 мб, если не ошибаюсь.
А вобще говорят FW что идет с Вин ХПи тоже помогает. Только я не знаю как его настроить.
Использую Outpost Firewall Pro 2.1
__________________
http://central.in.ua/cs/
Nirvana вне форума  
Ответить с цитированием
Непрочитано 13.06.2004, 22:11   [включить плавающее окно]   #153
Rimlyanin
Общительный
 
Регистрация: 20.06.2003
Цитата
А вобще говорят FW что идет с Вин ХПи тоже помогает. Только я не знаю как его настроить.
посмотри на этом сайте "Организация IP брандмауэра встроенными средствами Windows 2000 и XP"
__________________
Rimlyanin
Rimlyanin вне форума  
Ответить с цитированием
Непрочитано 03.07.2004, 23:05   [включить плавающее окно]   #154
#GRADER#
Новенький
 
Регистрация: 03.07.2004
Адрес: Салехард - столица газа и нефти России
После того как я установил вот эту заплатку WindowsXP-KB823980-x86-RUS.exe - ни одна хрень ловсановская и мсбластовская не пролазит ко мне заплата закрывает порты нужные и всё в порядке становится... вот уже как 4 месяца ничего нет ни в диспетчере задач , ни в реестре в автозагрузке... Касперский тоже не находит ничего...
В общем в яндэксе поищите WindowsXP-KB823980-x86-RUS.exe - там легко найти, и установите...
#GRADER# вне форума  
Ответить с цитированием
Непрочитано 15.07.2004, 13:51   [включить плавающее окно]   #155
MannyC
Новенький
 
Регистрация: 14.07.2004
Адрес: Москва
Загруж винду скоренько давишь 3 волш конпки летишь в таскменеджер и убиваешь сервисы lsass.exe и его проявления затем поиском файлов нах данный файлик делет его и перегр должно все быть ОК потом пачи и все прочее
MannyC вне форума  
Ответить с цитированием
Непрочитано 15.07.2004, 15:04   [включить плавающее окно]   #156
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
lsass не вирус, это служба
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 17.07.2004, 21:56   [включить плавающее окно]   #157
alex 2000
Новенький
 
Регистрация: 15.07.2004
товарищи уменя схожая проблема только сообщение появляется в начале загр. винды пишу дословно: "isass.exe-системная ошибка. Неустранимый сбой операции ввод и вывода, запущенной из реестра. Не удалось выполнить чтение, запись или запись буфера для одного из файлов, содерж. образ сист. реестра." далее следует перезагруз, и все начинается заново, но раза через три загружается. Винду переставлял, весь диск форматировал
, ЕСТЬ ли лекарство???
alex 2000 вне форума  
Ответить с цитированием
Непрочитано 18.07.2004, 20:55   [включить плавающее окно]   #158
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
ЕСТЬ ли лекарство???
Патчить!
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 22.07.2004, 00:45   [включить плавающее окно]   #159
alex 2000
Новенький
 
Регистрация: 15.07.2004
я уже так все запатчил, что дальше ехать некуда. Уже винду с SP 2 поставил, все обновления скачал
alex 2000 вне форума  
Ответить с цитированием
Непрочитано 22.07.2004, 01:17   [включить плавающее окно]   #160
Rimlyanin
Общительный
 
Регистрация: 20.06.2003
А вот SP2 ещё не выщел, не спеши...
Антивирус стоит? базам меньше недели?
А про фаирволл не забыл?
__________________
Rimlyanin
Rimlyanin вне форума  
Ответить с цитированием
Непрочитано 22.07.2004, 01:42   [включить плавающее окно]   #161
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
ЕСТЬ ли лекарство???
Забыл добавить: ХВАТИТ ОТКРЫВАТЬ ИСПОЛНЯЕМЫЕ ВЛОЖЕННЫЕ ФАЙЛЫ ПО EMAIL!
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 03.08.2004, 14:09   [включить плавающее окно]   #162
Kosh_w
Мужской Интересующийся
 
Регистрация: 04.03.2004
Адрес: НУР
Парни одна прикалюха кто незнает насчет этих червей с щетчиком в минуту, когда появится отчет о выключении через минуту, просто время переведите на год назад, и у вас в распоряжении будет не минута а целый год, Червь пользуется щетчиком системы
Kosh_w вне форума  
Ответить с цитированием
Непрочитано 03.08.2004, 22:13   [включить плавающее окно]   #163
Kroshka.Ru
Женский Заслуженный
 
Аватар для Kroshka.Ru
 
Регистрация: 02.04.2004
Адрес: Москва
Спасите-помогите! У меня постоянно вылезает окно с надписью "Система завершает работу. Сохраните документы и выйдите из системы. Необходимо пергрузить винду. Произошла непредвиденная остановка удаленного вызова процедур. (RPC)" И счетчик на 1 минуту. Что это??!!
__________________
С распадом СССР многие граждане, к моему сожалению, потеряли шанс на бесплатную психиатрическую помощь. (С)
Kroshka.Ru вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.08.2004, 23:04   [включить плавающее окно]   #164
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
Спасите-помогите! У меня постоянно вылезает окно с надписью "Система завершает работу
Вирь!
FireWall блокируй порты 137, 138, 139, 445 И патчить!!!!
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 04.08.2004, 00:13   [включить плавающее окно]   #165
Rimlyanin
Общительный
 
Регистрация: 20.06.2003
Цитата
FireWall блокируй порты 137, 138, 139, 445 И патчить!!!!
А я кажется об этом уже писал....
__________________
Rimlyanin
Rimlyanin вне форума  
Ответить с цитированием
Непрочитано 04.08.2004, 09:55   [включить плавающее окно]   #166
Kroshka.Ru
Женский Заслуженный
 
Аватар для Kroshka.Ru
 
Регистрация: 02.04.2004
Адрес: Москва
Rimlyanin Да я даже прочитать не успевала как эта гадость выползала на экран.

Rackot Говорил ты мне, W2k ставить... Эх ладно. Будем чинить.
__________________
С распадом СССР многие граждане, к моему сожалению, потеряли шанс на бесплатную психиатрическую помощь. (С)
Kroshka.Ru вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.09.2004, 19:02   [включить плавающее окно]   #167
snakehunter
Новенький
 
Регистрация: 06.06.2004
Адрес: Ангарск
иди ПУСК > АДМИНИСТРИРОВАНИЕ > СЛУЖБЫ > Удаленный вызов процедур (RPC)
во вкладке восстановление ставь действия ПЕРЕЗАПУСК СЛУЖБЫ мне это много раз помогало ,

а еще лучше поставь Касперского и обнови его , затем запусти сканер и он сам все найдет и обезвредит.
snakehunter вне форума  
Ответить с цитированием
Непрочитано 06.09.2004, 17:05   [включить плавающее окно]   #168
Starley
Общительный
 
Регистрация: 22.10.2003
Сегодня в свежем номере газеты "Компьютерра+", Новосибирск, №35 прочитал статью про новый троян "Togfer", обнаруженный лабораторией Касперского. Ну, не знаю, новый он или не новый, но, по-моему, у меня он сидит уже минимум месяц. Там написано, что троян записывает свой основной файл в каталог Windows (в папку System32) под именем svchost.exe и регистрирует его в ключе автозапуска реестра.
Когда я открываю диспетчер задач, то в списке процессов этот файл у меня фигурирует аж 5 раз. И что самое интересное, когда я завершаю процесс с этим файлом, то появляется табличка, примерно такая-же, какая почти у всех у нас когда-то появлялась, когда мы ловили Blaster Worm, что, типа, система завершает свою работу, и компьютер перезагружается через минуту.
Может, кто знает, как избавиться от этого файла, не навредив системе.
Касперский у меня не установлен, т.к тормозит страшно (у меня Windows XP), а Dr.Web пока ничего не видит, обновляю ежедневно.
Starley вне форума  
Ответить с цитированием
Непрочитано 06.09.2004, 17:16   [включить плавающее окно]   #169
raze
Мужской Продвинутый
 
Аватар для raze
 
Регистрация: 24.05.2004
Адрес: Таллинн, Эстония
прикол в том что svchost.exe эт и есть часть сервиса RPC, при вырубание это сервиса вылетает окошко(т. е. такая вот защита), и червь тоже закрывал его (вообще по задумке не должен был - ошибка в программе вируса)
raze вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 08.09.2004, 19:49   [включить плавающее окно]   #170
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Starley Поставь 5ого Каспера, он совсем систему негрузит и в настройках у него всё просто и функционально!!!
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.09.2004, 08:52   [включить плавающее окно]   #171
Doxlii
Новенький
 
Регистрация: 13.09.2004
после загрузки винды lsass.exe грузит процессор на 87% кто нибудь знает как с этим бороться.
Doxlii вне форума  
Ответить с цитированием
Непрочитано 14.09.2004, 14:19   [включить плавающее окно]   #172
Doxlii
Новенький
 
Регистрация: 13.09.2004
всем спас я выше уже прочел обовсем
Doxlii вне форума  
Ответить с цитированием
Непрочитано 25.09.2004, 15:18   [включить плавающее окно]   #173
тэка
Женский Опытный
 
Аватар для тэка
 
Регистрация: 13.01.2004
Адрес: latvia
при включении ПК звук пропал(при выключении вчера всё было нормально).Однажды (5 дней назад )такое было:тоже не включался.Установила заново(инсталлировала)какой-то аудио драйвер с диска(при покупке мат платы прилагался).Помогло.А почему пропадают? У меня стоит VirusScan On-Acces Scan.Показывает 5 заражённых файлов..Чувствую,что собака может быть в этом.А как мне от этих 5 избавиться
__________________
ЛЕЧУ от алкоголизма, ТОРЧУ от наpкомании. А еще СHИМАЮ, ПОРЧУ
тэка вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.09.2004, 17:51   [включить плавающее окно]   #174
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Ну так надо эти зараженные файлы отправить куда подальше, желательно в безопасном режиме. А вобще лучше поставить антивирь получше, что то типа пятого каспера!
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.09.2004, 20:24   [включить плавающее окно]   #175
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Xen
Каспер - не панацея от всех бед, это так "мираж защиты"
Если у тебя он систему не грузит значит и не все проверяет.

Нужно толково настроить фаер-прокси, желательно с возможностью
скана всего входящего трафика на предмет червивости.
И повесить резидента с высоким уровнем эвристики (например Веба),
пусть даже "эврист" и лечит хуже - главное вовремя найти.

Или применить комплексное решение - "тяжелый" фаер-прокся,
типа Чека или Исы с подвесом СурфКонтрола и пакета НетСюит -
вот через "это" пролезть - очень вы№;ся надо.
Но это не для простых смертных юзеров, бобла на такое не хватит и руки прямые иметь надо.
(если не варез, то в общей сложности около 7 тонн стреляных енотов)
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.09.2004, 20:44   [включить плавающее окно]   #176
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Для дома енто совсем ненужно, на протяжении 3х с гаком лет пользую исключительно каспера и никаких проблем по причине вирей небыло. Я не предлогаю преходить всем на каспера, просто лишь констатирую факт из личного опыта.
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.09.2004, 12:39   [включить плавающее окно]   #177
тэка
Женский Опытный
 
Аватар для тэка
 
Регистрация: 13.01.2004
Адрес: latvia
Lamo Xen Я с трудом понимаю всё.что вы здесь натёрли...(чайник.понимаете ли).Что сейчас мне можно сделать(2 месяцаназад уже переустанавливала винду-больше не хочется,так как потом неделю доводила до ума).как убить то.что уже у меня сидит..с моим вирус сканом я не смогу?Что тогда записать,чтобы просканировать и убить?а как вручную?
__________________
ЛЕЧУ от алкоголизма, ТОРЧУ от наpкомании. А еще СHИМАЮ, ПОРЧУ
тэка вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.09.2004, 13:11   [включить плавающее окно]   #178
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
тэка
Цитата
а как вручную?
Узнать имена файлов и Shift+Del..
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 26.09.2004, 13:11   [включить плавающее окно]   #179
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
тэка Загрузка в сейф моде, проходись антивирусом с последним обновлением. Больной винт загрузить слейвом и проверить из здоровой винды. Что бы впредь такого не случалось, ОСь пропатчить до последнего обновления, поставить и настроить FW и антивирь, не пользоваться IE и MO, OE, а другие почтовики настроить на просмотр сообщений по умолчанию в plain text и не открывть первые попавшиеся файлы с разрешением exe, et cetera даже если есть подпись кликни меня и будет тебе счастье
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 26.09.2004, 18:39   [включить плавающее окно]   #180
тэка
Женский Опытный
 
Аватар для тэка
 
Регистрация: 13.01.2004
Адрес: latvia
Цитата (Rackot) »
Загрузка в сейф моде, проходись антивирусом с последним обновлением
у меня естьVirus scan On-Access Scan
to` Outpost Firewall Pro(русский),а ещё сам записался(хе-хе)Spy Ware Stone-всё что-то мне хочет сделать ( а я не догадываюсь..)просканировала..так он выдал мне 148 файлов подпорченных и предлагает помощь для уничожения за 29 $ кажется..Я уже согласна на переустановку,но потеряла загрузочную дискету(сам диск с ХР есть).

тэка добавил :

каким антивирусом пройтись?и куда загрузить больной винт?
__________________
ЛЕЧУ от алкоголизма, ТОРЧУ от наpкомании. А еще СHИМАЮ, ПОРЧУ
тэка вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.09.2004, 19:42   [включить плавающее окно]   #181
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Ну так если есть установочый диск в чем проблема? Можно переустановить или установить "поверх" чтоб все порченные файлы заменились или форматнуть и ставить чистую винду! А антивирь всётаки замени!
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.09.2004, 20:35   [включить плавающее окно]   #182
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Цитата
Можно переустановить или установить "поверх" чтоб все порченные файлы заменились или форматнуть и ставить чистую винду!
Сначала пролечить. Поставь антивирь Касперского только ключик к нему для лечения все равно понадобиться
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 27.09.2004, 22:32   [включить плавающее окно]   #183
тэка
Женский Опытный
 
Аватар для тэка
 
Регистрация: 13.01.2004
Адрес: latvia
NA2004 пробовала поставить-записался,сделала unzip to folder-(303 failes unzipped succesfully).. А дальше мне не сдвинуться.Как открыть его?Бред какой-то..

тэка добавил :

У меня нет WinZip может быть?поэтому не открыть?

тэка добавил :

WinZip 0.9 как понимаю,стоит 29$Круговая порука вокруг чайников..

тэка добавил :

ладно,докопалась до winzip 90...

тэка добавил :

так для него ещё и ключ нужен!!!!Где взять его???
__________________
ЛЕЧУ от алкоголизма, ТОРЧУ от наpкомании. А еще СHИМАЮ, ПОРЧУ
тэка вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.09.2004, 08:05   [включить плавающее окно]   #184
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
тэка Для NAV ключ не нужен, там активация. А вообще антивири проги платные и что бы они что-то делали, нужно им сказать, что они куплены, для этого используют ключи, активации и серийные нромера, et cetera. Нет WinZIP - используй WinRAR они понимают алгоритмы друг друга.
Цитата
Где взять его?
Купить или найти в инете, больше нигде. И да, здесь взлом обсуждать нельзя.
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 28.09.2004, 18:09   [включить плавающее окно]   #185
Ну занято так занято...
Заслуженный
 
Аватар для Ну занято так занято...
 
Регистрация: 19.12.2003
Может всё-же тэка радмин поставить? А то ещё 200 лет объяснять будете.

Последний раз редактировалось Ну занято так занято...; 28.09.2004 в 18:19.
Ну занято так занято... вне форума  
Ответить с цитированием
Непрочитано 28.09.2004, 18:12   [включить плавающее окно]   #186
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Ну занято так занято...
Тут ИМХО чатовку к форуму прикрутить для таких случаев надо...
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.09.2004, 18:17   [включить плавающее окно]   #187
Ну занято так занято...
Заслуженный
 
Аватар для Ну занято так занято...
 
Регистрация: 19.12.2003
Очень даже.
Ну занято так занято... вне форума  
Ответить с цитированием
Непрочитано 28.09.2004, 18:31   [включить плавающее окно]   #188
Xen
Продвинутый
 
Аватар для Xen
 
Регистрация: 19.11.2003
Адрес: Novorossiysk
Цитата
так для него ещё и ключ нужен!!!!Где взять его???
Ну енто совсем вопрос т.с. некоректный! Есть такая вещь как поиск в инете, им можно воспользоваться! Если применить старинную пословицу: " Язык до Киева доведет", так что всё в наших руках(и голове)
__________________
Шейдером его по пикселю.
Xen вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.09.2004, 20:00   [включить плавающее окно]   #189
3acmoJIbe
Мужской Продвинутый
 
Аватар для 3acmoJIbe
 
Регистрация: 18.07.2004
Адрес: Рига
тэка

У тебя DC++ есть?! Можешь оттуда скачать.
__________________
Бросил курить - брось курить другому.
3acmoJIbe вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.09.2004, 21:33   [включить плавающее окно]   #190
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
Lamo Ну занято так занято... Ася рулит
__________________
2501
Rackot вне форума  
Ответить с цитированием
Непрочитано 29.09.2004, 09:47   [включить плавающее окно]   #191
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
Rackot
Цитата
Ася рулит
Это у кого есть...
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 29.09.2004, 10:04   [включить плавающее окно]   #192
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
Аллергия у меня на эту тупую тетку
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.10.2004, 21:04   [включить плавающее окно]   #193
Домовой
Новенький
 
Регистрация: 27.09.2004
У меня червь прописался в дистрибутивах на диске d и оттуда при установке после форматирования спокойно запускался сам при установке программ.нашел случайно просто эта-ЖА программа была на CD и чисто визуально ее увидел а касперский с ежедневным обновлением тихо молчал
Домовой вне форума  
Ответить с цитированием
Непрочитано 31.10.2004, 19:23   [включить плавающее окно]   #194
gautama
Новенький
 
Регистрация: 31.10.2004
У меня тоже подобная проблема- в смысле win XP пререзагружается когда хочет. Ошибка мне не понятна, что делать???????
gautama вне форума  
Ответить с цитированием