Заплатка для XP срочно! NT-Autority\System - Операционные системы M$ - Страница 11

15.08.2003, 16:32

zut
прогони removal tool на компе...

ShooTer · 15.08.2003, 18:03

zut
Внимательно читай трейд.У тебя может не только один фаил быть на компьютере.

Gerasim · 15.08.2003, 18:11

Уважаемые админы и жители форума, просьба снисходительней относиться
к вопросам об этом вирусе. Многие столкнулись с этой бедой только что,
и естественно, что они в панике. Лучше побыстрей разъяснить им в чем
дело, чем предлагать юзеру, у которого комп то и дело уходит в аут,
поюзать поиск или внимательней читать все , что тут успели за неделю написать.
По меньшей мере это звучит как издевка.

Dead Man · 15.08.2003, 18:33

Gerasim
А разгребать "тоннами" флейм, это не издёвка ?
Когда энное количество пользователей создаёт один и тот же ТОП, и все хотят, только один раз ответ, и сваливают с форума , это нормально.

В этом топе есть всё необходимое для его устранения.

Правила написанны для всех ! Кто с ними не хочет считатся, тот сам за себя. А как ты думаеш кто их читал, могу тебе смело сказать 20-35% посетителей. посмотри ради интереса сколько раз посетили этот топ, а за правила я просто молчу.

Кто с нами будет считатся ...........

С уважением Администрация IMHO.
Удачи.

Almega · 15.08.2003, 19:54

Первоночальная причина (цитирую):

Интернет: эпидемия "червя" Lovesan

" Червь" использует обнаруженную месяц назад брешь в операционной системе Windows версий NT 4. 0, 2000, XP и Server 2003. Не все пользователи успели установить себе "заплатку" с сайта Microsoft Update, этим и объясняется высокая скорость его распространения. "Червь" не причиняет ущерб зараженному компьютеру. До 16 августа он только сканирует сеть, в которую проник. Брешь была обнаружена в службе DCOM RPC, - сообщает "Лаборатория Касперского". Эта служба осуществляет общий доступ к файлам в локальной сети. Специалисты по сетевой безопасности предупреждают, что этот "червь" может проникнуть в десятки тысяч компьютеров. Компания Symantec уже заявила о том, что MSBlast уже проник на 57 тысяч машин, - добавляет BBC. По данным компании Network Associates, пользователи зараженных компьютеров отмечают, что скорость соединения с интернетом становится гораздо ниже. Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST. EXE. Этот файл заносится в автозагрузку и запускается на выполнение. "Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast. Программа также имеет функцию DDoS-атаки на сайт windowsupdate. com, на котором находятся обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: ожидается, что в этот день сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным. В коде "червя" обнаружены два послания. В одном содержится вопрос: "Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение". В другом - признание: "Я просто хотел сказать, что ЛЮБЛЮ ВАС, SAN".

Лечение : В обменнике (от 15 Августа) выложил защиту и лечилку от эпидемии "червя" Lovesan

1 ставит заплатку и и вирь перестает проявляться

2 файл ( от дяди Пети )- ищет персонально в именно этого виря и стучит ему в дыню (ежели конюшно найдет)

ЗЫ : Кстати завтра этот червяк должен провести атаку на
мелкософтовский сервяк- интересно что будет. атака пойдет со всех зараженных компов ( которых уже считают более 100 000 штук !!)

Кстати у кого этого окошечка еще нет-поставте заплату и проверьте комп-целее будете

Slakwik · 15.08.2003, 22:26

HELLOWin... читается, как ХеллоУин...

Встретил яростное непонимае людей защищаться от вируса... :-)
Может еще что-нить придумать, как теперь пропихнуть лекарство от вируса?

elenah · 16.08.2003, 00:27

я прочел все что здесь написано , но не понял одного ... у меня 2 комп начал выкидывать табличку в понедельник , и я его сразу отрубил от инета, затем форматнул диск и поставил ХР поставил нортона и как только я попытался зделать обновления антивиря, сразу выскачила эта табличка ... но это не столь важно ... мне не понятно. где вирь сидел во время форматирования ... или он попал сразу во время обновления ???
а самая фишка что часики активизации застыли на 30 днях ... хотя активизацией я не занимался ... или этот червь часы может останавливать ???

Reebok · 16.08.2003, 05:43

если в outpost'е все стоит по умолчанию в системе обучения, есть возможность заражения ?

16.08.2003, 11:31

elenah
по-моему ты заражаешься каждый раз при выходе в инет для обновления Нортона. Запиши заплатку на дискетку и поставь ее еще до выхода в инет и заодно сразу закрой порты 135, 139,137, 445 в стене...
ну, и не забудь лекарство от Дяди Пети...обязательно...

Xedfr · 16.08.2003, 16:19

Уважаемые! Внимательно читал весь топик посвященный проблеме червя, поскольку 12 августа на двух машинах подцепил эту заразу, а ещё знакомые задолбали просьбами по поводу очистки их систем. Хотя с лечением и профилактикой вроде все ясно, но возникло несколько проблем, совета по решению которых я и хочу спросить у квалифицированной публики.
1. Это отказ в инсталяции заплатки на машину с XP со 2-м сервис паком (коорпоративная версия) уже внедренным в систему.
2. Работая под стеной (Outpost v.1.0.1817) c 12 по 14 августа, ежечасно подвергался атакам на порты 135, 137 и пр. По крайней мере стена об этом сообщала. Но вот решил обновить версию стены до свежей и информация об атаках пропала (может не правильно пользуюсь). Мне представляется маловероятным столь резкое прекращение активности вируса, тогда значит новая версия стены не сообщает (или, что ещё хуже ничего не предпринемает) об попытках проникнуть через эти порты?
Что Вы думаете по этому поводу?

16.08.2003, 17:28

Xedfr
а ты протоколы траффика стены не можешь посмотреть?
Там же все написано, на какие порты была атака и когда, а так же результат атаки-разрешено/запрещено...глянь.
А что касается первого вопроса, то я ставлю только официальные версии, не бетки.
Куда спешишь такой жара?:D

R!xon · 16.08.2003, 19:36

Цитата:

где вирь сидел во время форматирования ... или он попал сразу во время обновления ???

пиплы разве вы не понимаете, если у вас не стоит заплата, значит у вас открыт 135 порт, а если ето так, считайте ваш комп зараженным, ведь вирь залазит ка вам через етот порт, и сам же запускаеца на вашей тачке, без вашего уведомления...

а если ты после форматирования полез в инет без заплаты, то очем могут быть вопросы...

Xedfr · 16.08.2003, 21:06

Сегодня у меня подскочила температура - лежу болею, голова как в скафандре, наверняка вирус. Написал накануне в топик и решил с больной головой проверить активность червя самым глупым способом - отключил стену, поскольку она вообще попыток вторжения на уязвимые порты не показывает. Детектор атак пуст, и журнал тоже.
Ну и в течении пары минут появилось, ставшее популярным окошко о перегрузке

)
Пришлось таки сносить 2-й сервис пак и после лечения от дядюшки Питера устанавливать заплаты.
К стати, на сайте Ксперского уже сутки как выложен модуль для долечивания последствий деятельности червей (разумеется в первую очередь пресловутого blaster). Скачать можно на сайте уважаемого (~ftp://ftp.kaspersky.com/utils/clrav.zip~). Конкуренция у производителей антивиря, по видимому.
2:kmp: Вот с Outpost-ом не могу пока разобраться, куда он в новой версии данные об атаках прячет?

Xedfr · 17.08.2003, 09:08

Вот какая заметка появилась ещё 15 августа на сайте overclockers.ru (может кому интересно покажется)

Microsoft: уязвимости, патчи, ошибки, планы | fin | 13:10

Уязвимость операционной системы Windows и молниеносное распространение червя w32.blaster.worm послужили катализатором шквала критики в адрес Microsoft - в успехе червя обвиняются не столько его авторы и нерадивые пользователи/администраторы, сколько сам софтверный гигант.

Microsoft выпускает такое количество патчей и апдейтов, что в них можно просто потеряться, а уж о затратах времени и денег на их скачивание я скромно умолчу. Для крупных компаний проблема стоит не менее остро - попробуйтете-ка установить десяток обновлений на сотню-тысячу машин... Теперь вспомните людей, которые просто не знают, что такое Windows Update или не пользуются этим сервисом из-за бесконечности процесса, лени или других причин. Из этого можно сделать вывод, что проблема кроется в большом количестве уязвимостей программного обеспечения Microsoft, несовершенства системы их устранения и недостаточной работе с пользователями.

Microsoft в данный момент разрабатывает новую систему, которая должна положить конец "кошмару обновлений", и заменит текущую технологию их распространения и установки. Одним из видимых шагов к этому стало появление бета-версии Windows Installer 3.0, работа над которым (как и над новым сервисом) будет закончена в начале 2004 года.

Microsoft планирует:

Упростить процедуру и сделать управление обновлениями боле централизованным.
Уменьшить необходимость в перезагрузках после установки обновлений.
Добиться правильной беспроблемной работы обновлений с первой же попытки (помните историю с SP4 для Windows 2000, резко ухудшавшими производительность системы патчами?)

.
Уменьшить время реакции на устранение уязвимостей.
Задача усложняется большим количеством продуктов, версий, локализаций выпускаемого Microsoft ПО, несколькими инфраструктурами его обновления, и корпорации предстоит преодоление всех этих проблем.

С грядущим выпуском Office 2003 планируется совместить запуск программы "Улучшения взаимодействия с потребителями" этого продукта, которая на добровольной основе будет автоматически собирать у пользователей информацию о востребованных функциях и частоте их использования, производительности ПО и оборудования, частоте и типах ошибок. Программа будет основываться на уже существующем сервисе сообщения об ошибках Windows XP и Office XP, и будет передавать в Microsoft намного больше анонимной информации о применении программного обеспечения без предупреждения пользователя (с целью лишний раз не беспокоить его, хотя первоначальное включение системы произойдет только с его согласия) и работать в фоновом режиме без замедления системы.

Подобные комплекс мероприятий, по заверениям представителей Microsoft, положительно скажется не только на стабильности и защищенности ПО, но и на соответствии его требованиям и пожеланиям пользователей.

P.S. Представители Microsoft заявили, что, по статистике встроенной утилиты Dr.Watson, половина сбоев Windows вызвана программами сторонних производителей. Впрочем, это заявление одновременно подтверждает, что вторая половина ошибок вызвана именно потугами Microsoft

.

И ещё с этого сайта:
Лаборатория Касперского сообщила о появлении новой модификации червя, технически использующей те же принципы заражения и могущей беспрепятственно сосуществовать на одном и том же компьютере со своим предком. Таким образом, если компьютер заражен оригинальным w32.blaster.worm, очень велика вероятность его заражения новым "братом" этого сетевого червя (имеющем физическое имя TEEKIDS.EXE), а если уже установлена "заплатка" от Microsoft, устраняющая уязвимость и/или блокированы опасный порт 135, то новый червь ничем вам не угрожает.

Вслед за Symantec, специалисты Лаборатории Касперского выпустили утилиту для нейтрализации червя. Утилита обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, и восстанавливает системный реестр Windows, таким образом удаляя все следы заражения червем. Естественно, после удаления червя необходимо срочно установить закрывающий брешь патч.
(скачать архив с утилиткой можно и на сайте www.overclockers.ru)

17.08.2003, 11:29

Xedfr
я, к сожалению, не могу тебя проконсультировать по твоей стене, т.к. юзаю Sygate, но тебе надо искать не протоколы атак, а протоколы траффика и еще, посмотри новости за неделю от Капитана,-там подробно описано как настроить твою стену. Удачи, не болей!
http://www.kpnemo.ru/index.php?pageID=234

15.08.2003, 18:03	# 152
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	zut Внимательно читай трейд.У тебя может не только один фаил быть на компьютере. __________________ "That vulnerability is completely theoretical."

15.08.2003, 18:11	# 153
Gerasim Регистрация: 12.09.2002 Адрес: Russia Сообщения: 2 634	Уважаемые админы и жители форума, просьба снисходительней относиться к вопросам об этом вирусе. Многие столкнулись с этой бедой только что, и естественно, что они в панике. Лучше побыстрей разъяснить им в чем дело, чем предлагать юзеру, у которого комп то и дело уходит в аут, поюзать поиск или внимательней читать все , что тут успели за неделю написать. По меньшей мере это звучит как издевка. __________________ Барыня, конечно, сволочь, но собачку мы утопим...

15.08.2003, 18:33	# 154
Dead Man Administrator Регистрация: 03.06.2002 Адрес: R.I.P Сообщения: 4 424	Gerasim А разгребать "тоннами" флейм, это не издёвка ? Когда энное количество пользователей создаёт один и тот же ТОП, и все хотят, только один раз ответ, и сваливают с форума , это нормально. В этом топе есть всё необходимое для его устранения. Правила написанны для всех ! Кто с ними не хочет считатся, тот сам за себя. А как ты думаеш кто их читал, могу тебе смело сказать 20-35% посетителей. посмотри ради интереса сколько раз посетили этот топ, а за правила я просто молчу. Кто с нами будет считатся ........... С уважением Администрация IMHO. Удачи. __________________ Когда я поднимался по лестнице, я встретил человека которого там не было, его и сегодня там не было. Хоть бы он ушёл...

15.08.2003, 19:54	# 155
Almega Full Member Регистрация: 29.03.2002 Адрес: Томск Сообщения: 1 366	Как лечить вирусную атаку !!! Первоночальная причина (цитирую): Интернет: эпидемия "червя" Lovesan " Червь" использует обнаруженную месяц назад брешь в операционной системе Windows версий NT 4. 0, 2000, XP и Server 2003. Не все пользователи успели установить себе "заплатку" с сайта Microsoft Update, этим и объясняется высокая скорость его распространения. "Червь" не причиняет ущерб зараженному компьютеру. До 16 августа он только сканирует сеть, в которую проник. Брешь была обнаружена в службе DCOM RPC, - сообщает "Лаборатория Касперского". Эта служба осуществляет общий доступ к файлам в локальной сети. Специалисты по сетевой безопасности предупреждают, что этот "червь" может проникнуть в десятки тысяч компьютеров. Компания Symantec уже заявила о том, что MSBlast уже проник на 57 тысяч машин, - добавляет BBC. По данным компании Network Associates, пользователи зараженных компьютеров отмечают, что скорость соединения с интернетом становится гораздо ниже. Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST. EXE. Этот файл заносится в автозагрузку и запускается на выполнение. "Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast. Программа также имеет функцию DDoS-атаки на сайт windowsupdate. com, на котором находятся обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: ожидается, что в этот день сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным. В коде "червя" обнаружены два послания. В одном содержится вопрос: "Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение". В другом - признание: "Я просто хотел сказать, что ЛЮБЛЮ ВАС, SAN". Лечение : В обменнике (от 15 Августа) выложил защиту и лечилку от эпидемии "червя" Lovesan 1 ставит заплатку и и вирь перестает проявляться 2 файл ( от дяди Пети )- ищет персонально в именно этого виря и стучит ему в дыню (ежели конюшно найдет) ЗЫ : Кстати завтра этот червяк должен провести атаку на мелкософтовский сервяк- интересно что будет. атака пойдет со всех зараженных компов ( которых уже считают более 100 000 штук !!) Кстати у кого этого окошечка еще нет-поставте заплату и проверьте комп-целее будете Последний раз редактировалось Almega; 15.08.2003 в 20:29.

16.08.2003, 00:27	# 157
elenah Junior Member Регистрация: 20.10.2002 Адрес: Eesti . Tallinn . KOPLI !!! Сообщения: 143	я прочел все что здесь написано , но не понял одного ... у меня 2 комп начал выкидывать табличку в понедельник , и я его сразу отрубил от инета, затем форматнул диск и поставил ХР поставил нортона и как только я попытался зделать обновления антивиря, сразу выскачила эта табличка ... но это не столь важно ... мне не понятно. где вирь сидел во время форматирования ... или он попал сразу во время обновления ??? а самая фишка что часики активизации застыли на 30 днях ... хотя активизацией я не занимался ... или этот червь часы может останавливать ??? __________________ небойся САТАНЫ, он всегда с тобой !!!

15.08.2003, 16:32	# 151
kmp Guest Сообщения: n/a	zut прогони removal tool на компе...

15.08.2003, 22:26	# 156
Slakwik Banned Регистрация: 02.01.2003 Сообщения: 157	HELLOWin... читается, как ХеллоУин... Встретил яростное непонимае людей защищаться от вируса... :-) Может еще что-нить придумать, как теперь пропихнуть лекарство от вируса?

16.08.2003, 05:43	# 158
Reebok Member Регистрация: 14.08.2002 Сообщения: 317	если в outpost'е все стоит по умолчанию в системе обучения, есть возможность заражения ? __________________ ...она была прекрасно сложена, только рука её торчала из чемодана

16.08.2003, 11:31	# 159
kmp Guest Сообщения: n/a	elenah по-моему ты заражаешься каждый раз при выходе в инет для обновления Нортона. Запиши заплатку на дискетку и поставь ее еще до выхода в инет и заодно сразу закрой порты 135, 139,137, 445 в стене... ну, и не забудь лекарство от Дяди Пети...обязательно...

16.08.2003, 16:19	# 160
Xedfr Junior Member Регистрация: 06.06.2003 Сообщения: 104	Уважаемые! Внимательно читал весь топик посвященный проблеме червя, поскольку 12 августа на двух машинах подцепил эту заразу, а ещё знакомые задолбали просьбами по поводу очистки их систем. Хотя с лечением и профилактикой вроде все ясно, но возникло несколько проблем, совета по решению которых я и хочу спросить у квалифицированной публики. 1. Это отказ в инсталяции заплатки на машину с XP со 2-м сервис паком (коорпоративная версия) уже внедренным в систему. 2. Работая под стеной (Outpost v.1.0.1817) c 12 по 14 августа, ежечасно подвергался атакам на порты 135, 137 и пр. По крайней мере стена об этом сообщала. Но вот решил обновить версию стены до свежей и информация об атаках пропала (может не правильно пользуюсь). Мне представляется маловероятным столь резкое прекращение активности вируса, тогда значит новая версия стены не сообщает (или, что ещё хуже ничего не предпринемает) об попытках проникнуть через эти порты? Что Вы думаете по этому поводу?

16.08.2003, 17:28	# 161
kmp Guest Сообщения: n/a	Xedfr а ты протоколы траффика стены не можешь посмотреть? Там же все написано, на какие порты была атака и когда, а так же результат атаки-разрешено/запрещено...глянь. А что касается первого вопроса, то я ставлю только официальные версии, не бетки. Куда спешишь такой жара?:D Последний раз редактировалось kmp; 16.08.2003 в 17:31.

17.08.2003, 09:08	# 164
Xedfr Junior Member Регистрация: 06.06.2003 Сообщения: 104	Вот какая заметка появилась ещё 15 августа на сайте overclockers.ru (может кому интересно покажется) Microsoft: уязвимости, патчи, ошибки, планы \| fin \| 13:10 Уязвимость операционной системы Windows и молниеносное распространение червя w32.blaster.worm послужили катализатором шквала критики в адрес Microsoft - в успехе червя обвиняются не столько его авторы и нерадивые пользователи/администраторы, сколько сам софтверный гигант. Microsoft выпускает такое количество патчей и апдейтов, что в них можно просто потеряться, а уж о затратах времени и денег на их скачивание я скромно умолчу. Для крупных компаний проблема стоит не менее остро - попробуйтете-ка установить десяток обновлений на сотню-тысячу машин... Теперь вспомните людей, которые просто не знают, что такое Windows Update или не пользуются этим сервисом из-за бесконечности процесса, лени или других причин. Из этого можно сделать вывод, что проблема кроется в большом количестве уязвимостей программного обеспечения Microsoft, несовершенства системы их устранения и недостаточной работе с пользователями. Microsoft в данный момент разрабатывает новую систему, которая должна положить конец "кошмару обновлений", и заменит текущую технологию их распространения и установки. Одним из видимых шагов к этому стало появление бета-версии Windows Installer 3.0, работа над которым (как и над новым сервисом) будет закончена в начале 2004 года. Microsoft планирует: Упростить процедуру и сделать управление обновлениями боле централизованным. Уменьшить необходимость в перезагрузках после установки обновлений. Добиться правильной беспроблемной работы обновлений с первой же попытки (помните историю с SP4 для Windows 2000, резко ухудшавшими производительность системы патчами?) . Уменьшить время реакции на устранение уязвимостей. Задача усложняется большим количеством продуктов, версий, локализаций выпускаемого Microsoft ПО, несколькими инфраструктурами его обновления, и корпорации предстоит преодоление всех этих проблем. С грядущим выпуском Office 2003 планируется совместить запуск программы "Улучшения взаимодействия с потребителями" этого продукта, которая на добровольной основе будет автоматически собирать у пользователей информацию о востребованных функциях и частоте их использования, производительности ПО и оборудования, частоте и типах ошибок. Программа будет основываться на уже существующем сервисе сообщения об ошибках Windows XP и Office XP, и будет передавать в Microsoft намного больше анонимной информации о применении программного обеспечения без предупреждения пользователя (с целью лишний раз не беспокоить его, хотя первоначальное включение системы произойдет только с его согласия) и работать в фоновом режиме без замедления системы. Подобные комплекс мероприятий, по заверениям представителей Microsoft, положительно скажется не только на стабильности и защищенности ПО, но и на соответствии его требованиям и пожеланиям пользователей. P.S. Представители Microsoft заявили, что, по статистике встроенной утилиты Dr.Watson, половина сбоев Windows вызвана программами сторонних производителей. Впрочем, это заявление одновременно подтверждает, что вторая половина ошибок вызвана именно потугами Microsoft . И ещё с этого сайта: Лаборатория Касперского сообщила о появлении новой модификации червя, технически использующей те же принципы заражения и могущей беспрепятственно сосуществовать на одном и том же компьютере со своим предком. Таким образом, если компьютер заражен оригинальным w32.blaster.worm, очень велика вероятность его заражения новым "братом" этого сетевого червя (имеющем физическое имя TEEKIDS.EXE), а если уже установлена "заплатка" от Microsoft, устраняющая уязвимость и/или блокированы опасный порт 135, то новый червь ничем вам не угрожает. Вслед за Symantec, специалисты Лаборатории Касперского выпустили утилиту для нейтрализации червя. Утилита обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, и восстанавливает системный реестр Windows, таким образом удаляя все следы заражения червем. Естественно, после удаления червя необходимо срочно установить закрывающий брешь патч. (скачать архив с утилиткой можно и на сайте www.overclockers.ru)

17.08.2003, 11:29	# 165
kmp Guest Сообщения: n/a	Xedfr я, к сожалению, не могу тебя проконсультировать по твоей стене, т.к. юзаю Sygate, но тебе надо искать не протоколы атак, а протоколы траффика и еще, посмотри новости за неделю от Капитана,-там подробно описано как настроить твою стену. Удачи, не болей! http://www.kpnemo.ru/index.php?pageID=234 Последний раз редактировалось kmp; 17.08.2003 в 11:34.