| imho.ws |
|
|
13.08.2003, 07:50
|
# 102 |
Регистрация: 12.09.2002
Адрес: Russia
Сообщения: 2 634
   |
Cyber Punk
Не мучайся Hеконтролируемый буфер в UPnP (Universal Plug and Play) rus http://download.microsoft.com/downlo...P1_x86_RUS.exe eng http://download.microsoft.com/downlo...P1_x86_ENU.exe это 5000 порт закрывает Ну и сервис этот можно отрубать или руками, или xpAntySpy это делает
__________________
Барыня, конечно, сволочь, но собачку мы утопим... Последний раз редактировалось Gerasim; 13.08.2003 в 07:54. |
|
|
13.08.2003, 10:23
|
# 103 |
|
Guest
Сообщения: n/a
|
Хелп
Здравствуйте.
Я тут новичок, и форум этот нашел только из-за того, что вчера у меня на компе выскочило всем известное окно о перезагрузке. У меня стоит Win-XP без необходимой заплатки. Но после того, как комп перезагрузился, я сразу скачал и поставил патч от Microsoft, т.к. знаю про этот вирус и необходимость ставить патч, чтобы быть защищенным от него. Также сразу после перезагрузки защитил все подключения по сети родным XP-шным брендмауэром. Скачал антивирус от Симантика по приведенным выше в форуме ссылкам. Проверил комп - симантик не нашел ничего. Скачал последние вирусные базы DrWeb и прошерстил компьютер им тоже, DrWeb опять не нашел ничего. Никаких файлов msblast и пр. я также не нашел. Вот тут выше написано, что сначала пораженный компьютер перезагружается, а потом он принимает файл msblast, который сразу запускается... Что у меня может быть? Может, мой компьютер не успел после перезагрузки принять этот злосчастный файл, т.к. я сразу установил заплатку? И как убить эту заразу до конца, если антивирусы её не видят? Помогите советом, если кто знает. Заранее спасибо. |
|
13.08.2003, 10:28
|
# 104 |
|
Guest
Сообщения: n/a
|
Читайте внимательно на мелкософтовском сайте - для установки заплаток надо:
Additional information about this patch Installation platforms: The Windows NT 4.0 patch can be installed on systems running Service Pack 6a. The Windows NT 4.0, Terminal Server Edition patch can be installed on systems running Windows NT 4.0, Terminal Server Edition Service Pack 6. The Windows 2000 patch can be installed on systems running Windows 2000 Service Pack 2, Service Pack 3, or Service Pack 4. The patch for Windows XP can be installed on systems running Windows XP Gold or Service Pack 1. The patch for Windows Server 2003 can be installed on systems running Windows Server 2003 Gold. Inclusion in future service packs: The fix for this issue will be included in Windows 2000 Service Pack 5, Windows XP Service Pack 2, and Windows Server 2003 Service Pack 1. Reboot needed: Yes. Patch can be uninstalled: Yes. Superseded patches: None. Verifying patch installation: Windows NT 4.0: To verify that the patch has been installed on the machine, confirm that all files listed in the file manifest in Knowledge Base article 823980 are present on the system. Windows NT 4.0 Terminal Server Edition: To verify that the patch has been installed on the machine, confirm that all files listed in the file manifest in Knowledge Base article 823980 are present on the system. Windows 2000: To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980. To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system. Windows XP If installed on Windows XP Gold: To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980 To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system. If installed on Windows XP Service Pack 1: To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980. To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system. Windows Server 2003: To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980. To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system. Добавлено через 2 минуты: Альф Семантик выпустил антивирус - кит - лечит всё. качай тут ftp://212.164.40.14/pub/Blast/ или с РОДНОГО сайта... 
|
|
13.08.2003, 10:37
|
# 105 |
|
Guest
Сообщения: n/a
|
kisasoft
Спасибо за ответ, но, как я уже написал, необходимый патч для моего XP-SP1 я поставил. И с родного сайта Симантика антивирус скачал. Антивирус не нашел ничего. А спросить я хотел следующее: может эта штука как-то "спряталась" у меня? И как её найти и прихлопнуть?
|
|
13.08.2003, 10:56
|
# 107 |
|
Guest
Сообщения: n/a
|
GERASIM
Окно с перезагрузкой у меня появилось один раз, после чего я произвел все вышеописанные действия. После того, как врубил брендмауэр и поставил патч комп больше не перезагружался (я работал на нем часа два). Вот я и думаю, это бластер я схватил или ещё чего? У нас в районе в нашей домашней сети многие этой гадости понахватались...
|
|
13.08.2003, 11:02
|
# 108 |
|
Регистрация: 12.09.2002
Адрес: Russia
Сообщения: 2 634
|
Альф
Скорей всего, раз ты его не находишь, он не успел у тебя поселиться. Закрой порты, которые тут советуют и радуйся На всякий зайди сюда http://securityresponse.symantec.com...oval.tool.html и скачай там фишку для удаления этого червя
__________________
Барыня, конечно, сволочь, но собачку мы утопим... Последний раз редактировалось Gerasim; 13.08.2003 в 11:12. |
|
|
|
13.08.2003, 11:32
|
# 109 |
|
Guest
Сообщения: n/a
|
Вопрос про дыру в службе Dcom Rpc
Доброго время суток !
Недавно на компе выскочило сообщение : ...NT AUTHORITY / SYSTEM EROR ( аж целых 2 раза ). Перед тем как появиться комп зависал просто мрачно ( WinXP SP1 ).Потом прочел на вашем форуме что это вирус, так у меня вообще чуть волосы невыпали, только зделал переустановку как на тебе получи еще  .Так вот - антивирус ничего ненашел ( Norton 2003 ), стену поставил ( Outpost.... ), в реестре по ключу : "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run" такого значения как : "windows auto update"="msblast.exe", я вообще ненашел. Так вот я теперь вообще ничего непонимаю если ето всё же вирус то куда он делся, или он портизанится начал, или же мне повезло как утопленнику. Если есть возможность разъесните, а то так нехочиться переустанавливать ( мне это приложение DOS скоро в кошмарах являться будет ) Заранее благодарю |
|
13.08.2003, 11:52
|
# 111 |
|
Квази-Мод
Регистрация: 11.11.2002
Адрес: Circus
Пол: Male
Сообщения: 2 828
 |
Альф
Я так и не понял, по какому поводу ты волнуешься? Вроде признаков заражения у тебя нет никаких... Кстати, не забывайте отключать System Restore и удалять _Restore... толку от этого сервиса мало, а всякая гадость может сохраняться, "до лучших времён".
__________________
Подробнее об этом читайте на ЗЕРКАЛЕ
|
|
|
|
13.08.2003, 12:07
|
# 112 |
|
Guest
Сообщения: n/a
|
Clown
А переживаю я из-за того, что у моего друга в выходные похожий вирус накрыл винды. И комп у меня перезагрузился, показав перед этим известное окно, которое видят все пострадавшие от этого вируса
 )) За все время работы на win2К/ХР это окошко вижу впервые, а в случайные совпадения верится с трудом... Лана, я уже успокоился, один хрен антивирусы не находят ничего и никаких файлов msblast на компе нет... |
|
13.08.2003, 14:16
|
# 113 |
|
Guest
Сообщения: n/a
|
ппп
не парьтесь... установите каждый свою заплатку и
загляните на http://www.proantivirus.com/info/1/180_1.html ... там все есть.. как отключить нужную службу и так далее! |
|
13.08.2003, 15:14
|
# 114 |
|
Квази-Мод
Регистрация: 11.11.2002
Адрес: Circus
Пол: Male
Сообщения: 2 828
|
Новый вирус убьет Microsoft через 3 дня
13.08.2003 12:01 | NEWSru.com В интернете с угрожающей быстротой распространяется новый компьютерный вирус W32.Blaster.Worm (другое название LoveSun). Согласно экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и Европе, в том числе и в России, всего - около 20 тыс. персональных компьютеров. В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС. Специалисты считают, что реальное количество зараженных компьютеров может быть значительно больше, и уже достигает сотен тысяч. Однако их владельцы пока не подозревают об опасности - новый вирус находится в "спящем" состоянии и пока не дает о себе знать. Особенностью LoveSun является том, что он как бы заранее создает "плацдарм" для самой большой в истории интернета атаки против программ Microsoft, которая начнется 16 августа в 00:00 часов. В тексте вируса содержится обращение к главе компании Биллу Гейтсу с призывом "прекратить делать деньги и исправить программное обеспечение". Вирус распространяется на компьютерах с операционными системами Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003. LoveSun использует уязвимое место в оперативных системах Microsoft, обнаруженное три недели назад. Попав в компьютер, он разрушает все защитные системы и выводит его из строя, после чего распространяется на другие компьютеры. Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре ссылки на файл msblast.exe. Первый удар вируса произошел вечером 11 августа и пришелся по компьютерным сетям США. Одна из крупнейших компаний-торговцев программным обеспечением PC World ввела в действие "горячую" телефонную линию, куда за советом могут обратиться все владельцы пострадавших компьютеров. Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от вируса Компания Microsoft сообщила своим клиентам о мерах, которые необходимо принять, чтобы победить новый компьютерный вирус. На своем сайте компания Microsoft разместила рекомендации по лечению зараженного компьютера, а также ссылки на дополнительные программы-"заплатки", устраняющие возможность заражения. Кроме того, уберечься от распространения червя позволяют специальные программы-брандмауэры, защищающие компьютер от несанкционированного доступа извне. Что из себя представляет новый вирус и как он действует Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука. Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe). Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC. Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe). Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения. Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч. С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.
__________________
Подробнее об этом читайте на ЗЕРКАЛЕ
|
|
|
|
13.08.2003, 15:57
|
# 116 |
|
Newbie
Регистрация: 27.10.2002
Сообщения: 43
|
Вот стал устанавливать заплатку и вылетела ошибка
Диcпeтчepy ycтaнoвки нe yдaлocь пpoвepить цeлocтнocть фaйлa Update.inf. Убeдитecь, чтo cлyжбы кpиптoгpaфии зaпyщeны нa дaннoм кoмпьютepe тока Cryptograhic Services у меня вклучен. Что надо ещё вклучить или сделать |
|
|
|
13.08.2003, 16:41
|
# 117 |
|
Junior Member
Регистрация: 01.05.2003
Адрес: Moscow
Пол: Male
Сообщения: 182
|
removal tool to clean the W32.Blaster.Worm infections. It will terminate the viral process, delete the worm files, dropped files, and delete the registry values that were added.
165 KB Platform: Windows XP/2000 License: Freeware W32.Blaster.Worm Removal Tool
__________________
УДАЧИ!!! |
|
|
|
13.08.2003, 16:59
|
# 118 |
|
::VIP::
Регистрация: 06.08.2003
Адрес: г. Норильск
Сообщения: 227
|
ААА!!! Спасибо KPNEMO - что предупредил про стену!
Закрыл 135 порт, через минуты две кто-то защемился, Виря также стеной (OUTPOST) и антивирем (F-PROT) поймал! Хотя антивирь не знал его, но предупредил... KPNEMO - еще раз большое спасибо - лови пятерик!!! |
|
|
