|
Keeper_Andrew
спасибо .. это ценная инфа ... кто не понял выходим start-run-cmd- а потом что то написанно в предыдущем посте ! |
Люди вы не правы.Комп принимает вирус не после загрузки а вовремя этого сообщения.Когда мы ждём минуту и он перегружаеться.К чему я это а к тому что.Когда ко мне вирь попал мой нортон сразу его прищючил написал что msblast в дериктории c:/windows/system/и ещё какая-то папка не помню.Это он его поймал когда вылетело сообщение.Значит он копируется во время показа сообщения.
|
Вложений: 1
Альф
... ты просил --- я прилепил... "Организация IP брандмауэра встроенными средствами Windows 2000 и XP.doc" |
ситуация такая, что наверное придется ставить запрет всем компам сети на доступ к сайту windowsupdate.com... ;(
может пронесет? :)):cool: |
Slakwik
если стоит заплатка + его нету в системе, то боятся нечего, я посел закладки стенку отключил (kerio 4 beta такая тормознутая...) |
Хы... а у меня тоже эта зараза прилипла. Ладно хоть на Линуксе сижу :biggrin:
Но профиксить ХР надо... Добавлено через 1 минуту: А есть опасность потери данных? Или он только вырубает систему? |
il_elec
потеря данных если только от вырубки ситемы таким образом. + сьедается часть канала естественно. а так, по-большому счету, вирус безвреден для пользователя... он против Micro$hit направлен. |
не а вирусняк по своей сути крут (заражает комп без ведома на запуск),
имхо так им и надо мелкософтовцам |
Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания. Никаких настроек пользователю производить не потребуется - после запуска утилита "W32.Blaster.Worm Removal Tool" самостоятельно обнаружит и уничтожит зловредную программу. http://securityresponse.symantec.com...r/FixBlast.exe
|
Обнаружена новая модификация червя "Lovesan" - ждите продолжения эпидемии
"Лаборатория Касперского" сообщает об обнаружении новой модификации сетевого червя "Lovesan" (также известен как "Blaster"). Наши ведущие вирусологи прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. "Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский. Пока не известно, может ли патч "Blaster Worm: Critical Security Patch" нейтрализовать проникновение нового вируса, но в любом случае, всем пользователям XP обязательно необходимо его установить все Это с 3dNews.ru |
Доводим до вашего сведения об обнаруженных уязвимостях операционных
систем Windows NT 4.x/2000/XP/2003 компании Microsoft. Удаленный пользователь может аварийно завершить работу RPC DCOM интерфейса и получить поднятые привилегии на системе. Уязвимость позволяет удаленному пользователю получить полный контроль над уязвимой системой через DCOM. ЕСЛИ ВАШ КОМПЬЮТЕР СТАЛ НЕОЖИДАННО САМОПРОИЗВОЛЬНО ПЕРЕЗАГРУЖАТЬСЯ С ВЫВОДОМ СООБЩЕНИЯ ОБ ОШИБКЕ RPC, ВПОЛНЕ ВЕРОЯТНО, ЧТО КТО-ТО ЕГО ВЗЛОМАЛ ПОЛЬЗУЯСЬ ВРЕДОНОСНОЙ ПРОГРАММОЙ. Предлагаем три варианта решения проблемы. =================================================================== ВАРИАНТ 1 (рекомендуемый) =================================================================== Установить "заплатки". Просто кликнуть по ссылке, сохранить exe-файл на жесткий диск и запустить его. Все будет сделано автоматически. НЕДОСТАТКИ: Требует, чтобы в системе был установлен второй сервис-пак исправлений или выше. ДОСТОИНСТВА: Закроет брешь в системе Windows 2000/XP автоматически. ГДЕ ВЗЯТЬ: Windows 2000 русский ftp://ftp.domonet.ru/pub/Patches/W2...980-x86-RUS.exe Windows 2000 английский ftp://ftp.domonet.ru/pub/Patches/W2...980-x86-ENU.exe Windows XP русский ftp://ftp.domonet.ru/pub/Patches/W2...980-x86-RUS.exe Windows XP английский ftp://ftp.domonet.ru/pub/Patches/W2...980-x86-ENG.exe =================================================================== ВАРИАНТ 2 (необходим высокий уровень компьютерной подготовки) =================================================================== Уязвимость устраняется с помощью установки отдельного программного межсетевого экрана (файервола) и закрытия доступа к портам 135 и 445. Рекомендуем Outpost Firewall Pro ver. 1.0.1817 от компании Agnitum. (http://www.agnitum.com) НЕДОСТАТКИ: Необходима его квалифицированная настройка. Настраивается самостоятельно. ДОСТОИНСТВА: Надежная защита компьютера в сети от разного рода атак и контроль за ситуацией. =================================================================== ВАРИАНТ 3 (требует базового знания компьютера) =================================================================== Полное отключение архитектуры DCOM. НЕДОСТАТКИ: Последнее действие может привести к большому количеству проблем в функционировании многих программных продуктов. ДОСТОИНСТВА: Этим способом (и аналогичными) Ваш компьютер уже не смогут взломать. ЗАМЕТКИ: Но не факт, что не смогут другим, так что все равно ставьте файервол (если он еще не установлен), например, из варианта 2. Также неплохо бы поставить хороший антивирус. Например, Norton Antivirus 2003 или антивирус Касперского. Помните, что антивирусные базы должны периодически обновляться. КАК ЭТО СДЕЛАТЬ: Отключаем порты 135 и 445 в windows 2000. 1. Закрываем порт 135 (Disabling Distributed COM (DCOM)). ========================================================= Способ 1. --------- Пуск -> Выполнить и вводим Dcomcnfg.exe Что бы выключить DCOM, открываем панель "Свойства по умолчанию" и убираем галочку "Разрешить использовать DCOM на этом компьютере". Перезагружаемся. Способ 2. --------- В ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole у параметра "EnableDCOM" , имеющего значение "Y" изменить это значение на "N" "EnableDCOM"="N" Перезагружаемся. 2. Закрываем порт 445 TCP/UDP (NetBT). ========================================================== Способ 1. --------- Открываем панель упровления -> Система -> Оборудование -> Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства". В списке устройств появятся "Драйверы устройств не Plug and Play". Открвыаем этот пункт, и в появившемся списке открываем "NetBios через TCP/IP" -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено". Перезагружаемся. Способ 2. --------- В ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters у параметра TransportBindName, имеющего значение \Device\ , удаляем это значение. Перезагружаемся. Желаем удачи и спокойной работы в Сети. информация была взята с сайта www.kamrad.ru |
Goblin
DCOM Отключить? теперь уже не рандомный рестарты будут... а вполне возможно висяки :-) |
HELP
люди добрые поставил латку и стенку Outpost, а вот как ее настроить на нужные порты незнаю, она убила почти весь интернет. спасибо за помощь З.Ы.да и не сердитесь если об этом уже тут спрашивали , у меня и-нет очень глючит так что просмотреть все не смог |
Был этот вирус :(
Только при выходе в Инет появилась табличка : Пустить или не пустить msblast.exe ! Outpost спас ! :) Поставил заплатки ,Закрыл порт 135 , удалил вирусняк ! Всё ок ! |
Вложений: 1
Смотри скрин настройки !
|
bua
Сходи сюда, почитай http://www.kpnemo.ru/index.php?pageID=234 |
у меня было такое окошко об перезагрузке, я закрыл доступ svchost.exe на инет, и больше ето не повторялось, хотя компа не заражена (проверял тулзой и антивирем), а было ето гдето в конце июля или в начале августа
|
"Лаборатория Касперского" распространяет бесплатное противоядие от "Lovesan" новости [ 15.08.2003 ]
Эта программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, также восстанавливает системный реестр Windows. По сути дела, данная утилита полностью восстанавливает компьютер и удаляет все следы заражения червем. Утилита является абсолютно бесплатной и доступна для загрузки: * Версия в ZIP-архиве ftp://ftp.kaspersky.com/utils/clrav.zip * Неархивированная версия ftp://ftp.kaspersky.com/utils/clrav.com * Документация для утилиты в формате .txt ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt Сразу же после дезинфекции компьютера "Лаборатория Касперского" настоятельно рекомендует установить обновление для Windows, которое закроет брешь, используемую "Lovesan". Обновление доступно бесплатно на сайте Microsoft: * Для английских версий операционных систем: * Для русских версий операционных систем. Источник: [NeWWWs] |
Zaplatku postavil i vrode vse normalno tolko pri perezagruzke ili vikluchenii Windows stal visnut na sohranenii parametrov ! Che eto on ?!
|
OverWinD
че та у меня его тоже не было... но в эти 2 дня комп стал виснуть просто так.. (раз 5 было) причем в ивентах DCOM ошибки... снес стенку - вроде покуда все ок.. тьфу-тьфу-тьфу... может конечно это и не связано никак.. (скорее всего).. но все же странно... причем DCOM выпендривается.. |
Спосибо IMHO.WS!!!
Узнал о червячке с imho.ws, сразу закрыл "все" порты огненной стеной Sygate, до сих пор еще не ставил заплатку :biggrin: ... а у меня даже SP1 не стоит, только голая Окошка ХП про... но чувствую долго я не продержусь... сейчас качаю SP1a и заплатку... нервы не выдерживают... успеть бы вовремя... :oops: knock, knock, knock... Crusader the W32.Blaster.Worm has you... |
Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания. Никаких настроек пользователю производить не потребуется - после запуска утилита "W32.Blaster.Worm Removal Tool" самостоятельно обнаружит и уничтожит зловредную программу.
W32.Blaster.Worm Removal Tool (165 кб) + Патчимся у МелкоМягких Добавлено через 3 минуты: http://kadets.ru/page1/ |
Эта самая приблуда от дяди Пети у моего друга не обнаружила НИЧЕГО, хотя его комп заражён однозначно. Его комп атакует все остальные компы в сети по тем самым портам (80, 135, 137, 445), у кого стоят стенки, у тех в логах это всё отображается (так же как у KpNemo в описании).
Так что у меня доверие к Дяде Пете пропало. |
vitek - правду грит, у меня седня в конторе одна тачила, загнулась... Я скачал эту утилю и прогнал - не фига она не находит! Пришлось винду килять!
Кста! Windows Update- загнулся :D |
Все администраторы сегодня получили такое сообщение от Microsoft:
|
Look at :
/http://error.xp.pl |
вирусная авария!!!SOS!!
Цитата:
|
ykrasny
Было кажется ясно написано,что надо скачать removal tool и есть шанс,что все пойдет как надо. Читай внимательно весь трейд. |
ykrasny
уничтожается конечно, тебя просто по новой заражают каждый раз... |
я вот только не могу понять: у меня тоже стало выскакивать это окошко, я поставил файрвол, но не нашел ни файл msblast.exe ни ссылки на него в реестре. обновленный дрвэб вируса не нашел. окошко выскакивать перестало. так есть ли вирус? я заражен? что делать? плиз, хелп...
|
zut
прогони removal tool на компе... |
zut
Внимательно читай трейд.У тебя может не только один фаил быть на компьютере. |
Уважаемые админы и жители форума, просьба снисходительней относиться
к вопросам об этом вирусе. Многие столкнулись с этой бедой только что, и естественно, что они в панике. Лучше побыстрей разъяснить им в чем дело, чем предлагать юзеру, у которого комп то и дело уходит в аут, поюзать поиск или внимательней читать все , что тут успели за неделю написать. По меньшей мере это звучит как издевка. |
Gerasim
А разгребать "тоннами" флейм, это не издёвка ? Когда энное количество пользователей создаёт один и тот же ТОП, и все хотят, только один раз ответ, и сваливают с форума , это нормально. В этом топе есть всё необходимое для его устранения. Правила написанны для всех ! Кто с ними не хочет считатся, тот сам за себя. А как ты думаеш кто их читал, могу тебе смело сказать 20-35% посетителей. посмотри ради интереса сколько раз посетили этот топ, а за правила я просто молчу. Кто с нами будет считатся ........... С уважением Администрация IMHO. Удачи. |
Как лечить вирусную атаку !!!
Первоночальная причина (цитирую):
Интернет: эпидемия "червя" Lovesan " Червь" использует обнаруженную месяц назад брешь в операционной системе Windows версий NT 4. 0, 2000, XP и Server 2003. Не все пользователи успели установить себе "заплатку" с сайта Microsoft Update, этим и объясняется высокая скорость его распространения. "Червь" не причиняет ущерб зараженному компьютеру. До 16 августа он только сканирует сеть, в которую проник. Брешь была обнаружена в службе DCOM RPC, - сообщает "Лаборатория Касперского". Эта служба осуществляет общий доступ к файлам в локальной сети. Специалисты по сетевой безопасности предупреждают, что этот "червь" может проникнуть в десятки тысяч компьютеров. Компания Symantec уже заявила о том, что MSBlast уже проник на 57 тысяч машин, - добавляет BBC. По данным компании Network Associates, пользователи зараженных компьютеров отмечают, что скорость соединения с интернетом становится гораздо ниже. Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST. EXE. Этот файл заносится в автозагрузку и запускается на выполнение. "Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast. Программа также имеет функцию DDoS-атаки на сайт windowsupdate. com, на котором находятся обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: ожидается, что в этот день сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным. В коде "червя" обнаружены два послания. В одном содержится вопрос: "Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение". В другом - признание: "Я просто хотел сказать, что ЛЮБЛЮ ВАС, SAN". Лечение : В обменнике (от 15 Августа) выложил защиту и лечилку от эпидемии "червя" Lovesan 1 ставит заплатку и и вирь перестает проявляться 2 файл ( от дяди Пети )- ищет персонально в именно этого виря и стучит ему в дыню (ежели конюшно найдет) ЗЫ : Кстати завтра этот червяк должен провести атаку на мелкософтовский сервяк- интересно что будет. атака пойдет со всех зараженных компов ( которых уже считают более 100 000 штук !!) Кстати у кого этого окошечка еще нет-поставте заплату и проверьте комп-целее будете http://smilies.sofrayt.com/%5E/_950/fart.gif |
HELLOWin... читается, как ХеллоУин...
Встретил яростное непонимае людей защищаться от вируса... :-) Может еще что-нить придумать, как теперь пропихнуть лекарство от вируса?:mad: |
я прочел все что здесь написано , но не понял одного ... у меня 2 комп начал выкидывать табличку в понедельник , и я его сразу отрубил от инета, затем форматнул диск и поставил ХР поставил нортона и как только я попытался зделать обновления антивиря, сразу выскачила эта табличка ... но это не столь важно ... мне не понятно. где вирь сидел во время форматирования ... или он попал сразу во время обновления ???
а самая фишка что часики активизации застыли на 30 днях ... хотя активизацией я не занимался ... или этот червь часы может останавливать ??? |
если в outpost'е все стоит по умолчанию в системе обучения, есть возможность заражения ?
|
elenah
по-моему ты заражаешься каждый раз при выходе в инет для обновления Нортона. Запиши заплатку на дискетку и поставь ее еще до выхода в инет и заодно сразу закрой порты 135, 139,137, 445 в стене... ну, и не забудь лекарство от Дяди Пети...обязательно... |
Уважаемые! Внимательно читал весь топик посвященный проблеме червя, поскольку 12 августа на двух машинах подцепил эту заразу, а ещё знакомые задолбали просьбами по поводу очистки их систем. Хотя с лечением и профилактикой вроде все ясно, но возникло несколько проблем, совета по решению которых я и хочу спросить у квалифицированной публики.
1. Это отказ в инсталяции заплатки на машину с XP со 2-м сервис паком (коорпоративная версия) уже внедренным в систему. 2. Работая под стеной (Outpost v.1.0.1817) c 12 по 14 августа, ежечасно подвергался атакам на порты 135, 137 и пр. По крайней мере стена об этом сообщала. Но вот решил обновить версию стены до свежей и информация об атаках пропала (может не правильно пользуюсь). Мне представляется маловероятным столь резкое прекращение активности вируса, тогда значит новая версия стены не сообщает (или, что ещё хуже ничего не предпринемает) об попытках проникнуть через эти порты? Что Вы думаете по этому поводу?:confused: |
| Часовой пояс GMT +4, время: 08:52. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.