Заплатка для XP срочно! NT-Autority\System

Xedfr
а ты протоколы траффика стены не можешь посмотреть?
Там же все написано, на какие порты была атака и когда, а так же результат атаки-разрешено/запрещено...глянь.
А что касается первого вопроса, то я ставлю только официальные версии, не бетки.
Куда спешишь такой жара?:D

[R!xon]

Цитата:

где вирь сидел во время форматирования ... или он попал сразу во время обновления ???

пиплы разве вы не понимаете, если у вас не стоит заплата, значит у вас открыт 135 порт, а если ето так, считайте ваш комп зараженным, ведь вирь залазит ка вам через етот порт, и сам же запускаеца на вашей тачке, без вашего уведомления...

а если ты после форматирования полез в инет без заплаты, то очем могут быть вопросы...

[Xedfr]

Сегодня у меня подскочила температура - лежу болею, голова как в скафандре, наверняка вирус. Написал накануне в топик и решил с больной головой проверить активность червя самым глупым способом - отключил стену, поскольку она вообще попыток вторжения на уязвимые порты не показывает. Детектор атак пуст, и журнал тоже.
Ну и в течении пары минут появилось, ставшее популярным окошко о перегрузке )
Пришлось таки сносить 2-й сервис пак и после лечения от дядюшки Питера устанавливать заплаты.
К стати, на сайте Ксперского уже сутки как выложен модуль для долечивания последствий деятельности червей (разумеется в первую очередь пресловутого blaster). Скачать можно на сайте уважаемого (~ftp://ftp.kaspersky.com/utils/clrav.zip~). Конкуренция у производителей антивиря, по видимому.
2:kmp: Вот с Outpost-ом не могу пока разобраться, куда он в новой версии данные об атаках прячет?

[Xedfr]

Вот какая заметка появилась ещё 15 августа на сайте overclockers.ru (может кому интересно покажется)

Microsoft: уязвимости, патчи, ошибки, планы | fin | 13:10

Уязвимость операционной системы Windows и молниеносное распространение червя w32.blaster.worm послужили катализатором шквала критики в адрес Microsoft - в успехе червя обвиняются не столько его авторы и нерадивые пользователи/администраторы, сколько сам софтверный гигант.

Microsoft выпускает такое количество патчей и апдейтов, что в них можно просто потеряться, а уж о затратах времени и денег на их скачивание я скромно умолчу. Для крупных компаний проблема стоит не менее остро - попробуйтете-ка установить десяток обновлений на сотню-тысячу машин... Теперь вспомните людей, которые просто не знают, что такое Windows Update или не пользуются этим сервисом из-за бесконечности процесса, лени или других причин. Из этого можно сделать вывод, что проблема кроется в большом количестве уязвимостей программного обеспечения Microsoft, несовершенства системы их устранения и недостаточной работе с пользователями.

Microsoft в данный момент разрабатывает новую систему, которая должна положить конец "кошмару обновлений", и заменит текущую технологию их распространения и установки. Одним из видимых шагов к этому стало появление бета-версии Windows Installer 3.0, работа над которым (как и над новым сервисом) будет закончена в начале 2004 года.

Microsoft планирует:

Упростить процедуру и сделать управление обновлениями боле централизованным.
Уменьшить необходимость в перезагрузках после установки обновлений.
Добиться правильной беспроблемной работы обновлений с первой же попытки (помните историю с SP4 для Windows 2000, резко ухудшавшими производительность системы патчами?) .
Уменьшить время реакции на устранение уязвимостей.
Задача усложняется большим количеством продуктов, версий, локализаций выпускаемого Microsoft ПО, несколькими инфраструктурами его обновления, и корпорации предстоит преодоление всех этих проблем.

С грядущим выпуском Office 2003 планируется совместить запуск программы "Улучшения взаимодействия с потребителями" этого продукта, которая на добровольной основе будет автоматически собирать у пользователей информацию о востребованных функциях и частоте их использования, производительности ПО и оборудования, частоте и типах ошибок. Программа будет основываться на уже существующем сервисе сообщения об ошибках Windows XP и Office XP, и будет передавать в Microsoft намного больше анонимной информации о применении программного обеспечения без предупреждения пользователя (с целью лишний раз не беспокоить его, хотя первоначальное включение системы произойдет только с его согласия) и работать в фоновом режиме без замедления системы.

Подобные комплекс мероприятий, по заверениям представителей Microsoft, положительно скажется не только на стабильности и защищенности ПО, но и на соответствии его требованиям и пожеланиям пользователей.

P.S. Представители Microsoft заявили, что, по статистике встроенной утилиты Dr.Watson, половина сбоев Windows вызвана программами сторонних производителей. Впрочем, это заявление одновременно подтверждает, что вторая половина ошибок вызвана именно потугами Microsoft .

И ещё с этого сайта:
Лаборатория Касперского сообщила о появлении новой модификации червя, технически использующей те же принципы заражения и могущей беспрепятственно сосуществовать на одном и том же компьютере со своим предком. Таким образом, если компьютер заражен оригинальным w32.blaster.worm, очень велика вероятность его заражения новым "братом" этого сетевого червя (имеющем физическое имя TEEKIDS.EXE), а если уже установлена "заплатка" от Microsoft, устраняющая уязвимость и/или блокированы опасный порт 135, то новый червь ничем вам не угрожает.

Вслед за Symantec, специалисты Лаборатории Касперского выпустили утилиту для нейтрализации червя. Утилита обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, и восстанавливает системный реестр Windows, таким образом удаляя все следы заражения червем. Естественно, после удаления червя необходимо срочно установить закрывающий брешь патч.
(скачать архив с утилиткой можно и на сайте www.overclockers.ru)

Xedfr
я, к сожалению, не могу тебя проконсультировать по твоей стене, т.к. юзаю Sygate, но тебе надо искать не протоколы атак, а протоколы траффика и еще, посмотри новости за неделю от Капитана,-там подробно описано как настроить твою стену. Удачи, не болей!
http://www.kpnemo.ru/index.php?pageID=234

[ACee]

Признаками заражения компьютера являются:

- Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)

- Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут

- Многочисленные сбои в работе программ Word, Excel и Outlook

- Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"

- Появление на экране окна с сообщением об ошибке (RPC Service Failing)
------------------------
www.kaspersky.ru

[sasvlad]

Кто мне может объяснить, что происходит? Поставил заплату от Микрософт, программка от Simantec никакого вируса на компе не находит, от Кашперского - тоже, в регистре никакой ссылки на msblast нет, в Outpost я тоже порты 135, 137, 445 отрубил нафиг по протоколам TCP и UDP, да и после апдейта у него и так есть правила по Block Remote Procedure и Block Server Message Block Protocol...
А проклятая табличка сегодня выскочила вновь и Комп. улетел в Reboot.
ПОЧЕМУ??? Новая разновидность гуляет по сети или я чего-то не доделал?

[elenah]

sasvlad
у меня такая-же байда ... никаких признаков заражения ... прогнал нортоном и касперским И НИЧЕГО , поставил заплатку ... а табличка выскакивает ...


А КТО НИТЬ ЗНАЕТ КТО СОЗДАТЕЛЬ ЭТИХ ШЕДЕВРОВ И ИЗ КАКОЙ СТРАНЫ ???
ЧЕСНО ГОВОРЯ СРАБОТАНО НА ПЯТЬ ... МОЛОДЦЫ ... ПОСТАРАЛИСЬ ....

[ArchiMage]

наск. я понимаю заплатка зашишает от заражения в будушем, если вы уже заражены на момент ее установки то она не поможет...могу посоветовать только выключить system restore и выключать все подозрительные/лишние процессы в msconfig/services.msc..
если у вас какая-то неизвестная мутация вируса антивиры не помогут и только так вы может еше сможете что-то сделать

Добавлено через 19 минут:
kstati mozhno zadat' etoj sluzhbe cherez safe mode->strart->run->services.msc->remote procedure call->recovery->vse 3 vozmozhnosti delaete "restart service" vmesto "restart computer".. potom perezagruzhaetes' .. eto zastavit ego ne perezagruzhat' komp. kazhdyj raz a tol'ko service..
potom zaplatka (dlya russkogo windowsa otdel'naya winxp rus, win2000 rus) i symantekovskoe lekarstvo

[R!xon]

Цитата:

Первоначальное сообщение от elenah
у меня такая-же байда ... никаких признаков заражения ... прогнал нортоном и касперским И НИЧЕГО , поставил заплатку ... а табличка выскакивает ...

хех, а если заплату поставить после заражения, вирь апдейтит себя через инет, по другим портам, а способов автозагрузки ой как много, не только ведь в реестре в разделах Run, а можт просто глюки виндов...

[BigRoad]

Значит так, табличка начала выскакивать еще недели две назад но времени разбираться небыло, как услышал про эту хрень тут же скачал патч (я ни чего не форматировал :-)) когда ставил update ,даже не выходил из сети но факт остается фактом усё пропало
P.S. Проделано на двух машинах,результат идентичный.Делаем выводы

[Rizoma]

Перцы!
Как тока появилась эта гадость-большинство моих знакомых попались на эту заразу,первые признаки появились у них 10 числа и уже к вечеру было известо чё эт такое и как с ним бороться.
Так вот 11 числа сразу с утреца я поехал по знакомым лечить это дело с заплаткой на дискете(меня не цЭпанул msblaster) и мне было интересно как и чё.

В этой последовательности я проделал такие действия:

1.Отключиться от сети.
2.Пуск>Выполнить>msconfig-переход на вкладку Автозагрузка и снятие галочки на msblaster.exe
3.Дальше в реестре находим ключик HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удаляем значение "windows auto update"="msblast.exe"
4.Через ctrl+alt+delete вызываем диспечер задач,находим в процессах msblast.exe - завершить процесс.
5.Заходим в Windows\system32 и удаляем исполняемый файл msblast.exe от туда.
6.Ставим заплатку и перегружаемся-

Проделано на машине без сервис факов и стенки.

[sasvlad]

Rizoma
Так в том-то и дело, что нет ни в процессах, ни в регистрах ни в файлах!
Нигде нет ни msblast, ни teekids, ни penis32. Что это, глюк Винды после заплатки?

[Rizoma]

Цитата:

Первоначальное сообщение от sasvlad
Rizoma
Так в том-то и дело, что нет ни в процессах, ни в регистрах ни в файлах!
Нигде нет ни msblast, ни teekids, ни penis32. Что это, глюк Винды после заплатки?

А ты сначала заплатку поставил?
Надо было найти и удалить сначала а потом патчить.

[sasvlad]

Rizoma
Кажется, ты прав. Так что теперь, убрать патч, открыть файерволл, заразиться снова и делать все по-порядку? А даст ли это что-нибудь? Сегодня сижу в сети уже полдня без ребута.

[sasvlad]

Кстати, при старте в Инет Outpost сообщает о попытке установить связь по протоколу IGMP. Подскажите, что это за протокол и разрешать ли это соединение или запретить?
P.S. Если это не в тему о вирусе, прошу меня простить.

[Lazy]

Новый "червь" вступил в активную борьбу с MSBlast
--------------------------------------------------------------------------------
19.08 11:47 | MIGnews.com
--------------------------------------------------------------------------------
Новый вирус проникает в компьютер через Интернет, уничтожает MSBlast, связывается сайтом Microsoft, устанавливает в компьютере "заплатку" и перезагружает его.

У нового вируса стоит механизм самоуничтожения. Он проверяет календарную дату, и если на дворе 2004 год, удаляет себя из системы.

Наиболее известным примером подобного "червя" является появившийся в сентябре 2001 года CodeBlue, который боролся с вирусом CodeRed.

Новый "полезный" вирус, w32.welchia.worm, обнаружила 18 августа компания Symantec. Кто запустил в Интернет "доброго червя", остается невыясненным.

[Xedfr]

"Welchia": антивирусный вирус [19.08.2003]
Лаборатория Касперского", сообщает об обнаружении нового сетевого червя "Welchia", который ищет компьютеры, зараженные "Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows. Служба круглосуточной технической поддержки компании уже зарегистрировала многочисленные инциденты, вызванные данной вредоносной программой.

"Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете компьютеры, зараженные другим червем, "CodeRed", и лечил их.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее "Welchia" сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.

Наконец, в "Welchia" существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию "Lovesan".

"Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей".

"Welchia": антивирусный вирус [19.08.2003]

Добавлено через 1 час и 16 минут:
И вот ещё на overclockers.ru написали об этом (если еще не задолбал Вас):
Опасность: червь Welchia подменяет собой Blaster'а | fin | 18:47


Слава и недостатки червя w32.blaster.worm (LoveSan) не дают покоя конкурирующим вирусописателям . На просторы интернета вышел новый червь Welchia, использующий ту же уязвимость DCOM RPC... для устранения червя Blaster!

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:

Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).
Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы.
Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).
Несанкционированная перезагрузка может привести к потере данных.
Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.

Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec: (~http://www.symantec.com/avcenter/FixWelch.exe~)
FixWelch (164 КБ, Windows 9x/Me/NT/2000/2003).

Такая вот фигня...

У меня такая херня тоже была, не поленился полез на микрософт.ком и скачал заплатку для хр, поставил, ребутнул и ни фига, даже експлорер не загрузился - ни хера не загрузилось и ноль реакции, только ресет помог и восстановление системы ((. чо это такое?

[CODE_777]

интересно если выставить дату скажем 2004 август вирус уничтожит себя???