IMHO.WS - Перезагрузка системы после нескольких минут работы в Internet

IMHO.WS (https://www.imho.ws/index.php)

- Операционные системы M$ (https://www.imho.ws/forumdisplay.php?f=2)

Перезагрузка системы после нескольких минут работы в Internet

Я недавно столкнулся вот с такой проблемой когда установил у себя на работе XP (до этого была W2k). После нескольких минут работы в Internet появлялось окошко с сообщением, что произошла остановка службы "Удаленный вызов процедур"("Remote procedure call") и необходима перезагрузка системы, которая произойдет через 1 минуту. Я подумал ну ладно хрен с ней с этой службой(хотя вообще-то она одна из самых важных). Зашел в Панель управления-Администрирование-Службы-Удалённый вызов процедур(RPC), Свойства вкладка Восстановление-Действие компьютера выполняемое при сбое службы и поставил вместо Перезагрузка компьютера, Не выполнять никаких действий, так кстати стоит по умолчанию в W2k. Но, как оказалось не всё так просто, теперь уже через несколько минут пребывания в сети никакой перезагрузки не происходило, но начинались многочисленные глюки связанные со сбоями той самой службы - RPC. Поскольку от неё зависят ещё много других служб они тоже останавливались и система оказывалась почти неработоспособной, даже перезагружаться не хотела стояло всё на одном месте, приходилось жать reset. Я подумал раз эти "чудеса" происходят во время работы в сети, то дай-ка я посмотрю, а куда же это мой комп лезет сразу во время подключения. Открыл Outpost - Сетевая активность, а там-посмотрите как интерестно, кроме DNS он стучит чего-то еще по трём адресам: первый точно не помню, но это не важно поскольку этот адрес блокировался Outpost-ом изначально, второй - 255.255.255.255 порт BOOTPS и третий самый интерестный - 239.255.255.250 порт 1900. И кому бы вы думали принадлежат эти адреса? А той самой IANA (находится в Штатах в Калифорнии) - это контора, которая изачально и ведает базой данных DNS И регистрирует интернет-адреса. То есть по 255.255.255.255 svchost.exe стучит, что мой комп загружен и находится в сети с таким-то адресом, а по 239.255.255.250, что система с таким-то ID работает в сети. В свою очередь IANA передает в Microsoft (или у них своя база данных) мой ID, а там не найдя данных о моей естественно не зарегистрированной XP сервер автоматом посылает команду моей системе на останов службы RPC, таким образом работа становится невозможной. Сделав такие крутые выводы я заблокировал в Outpost-е оба эти адреса и естественно
всё заработало совершенно нормально. Вот такие вот вирусы. Вы спросите, почему же в W2k такого не происходит и в XP тоже в большинстве случаев всё нормально? А потому, что W2k тоже стучит, но
только по 255.255.255.255 и сдесь это делает services.exe. А в XP это связано с тем, что использутся два способа лечения: в первом случае сразу после установки заменяются некоторые оригинальные файлы ломаными и XP уже не просит активации(например при попытке запустить активацию система говорит, что она уже произведена), а во втором запускается еще одна служба resetservice и не даёт запускаться "Мастеру проверки текущей лицензии"(при попытке активации выдается сообщение, что не удалось запустить "Мастер проверки лицензии"). Так вот у меня, как раз первый вариант. Кстати те же самые "чудеса" происходили у меня и в Windows2003 server web edition, которая не требует активации. Конечно может я и ошибаюсь со своими выводами и все эти дела происходят по другим причинам, но помоему здесь есть над чем задуматься, кого нам скоро надо будет больше бояться вирусов или...
Кто что думает по этому поводу?

Инфа из symantec.com:

When W32.Blaster.Worm is executed, it does the following:
Там идёт много фигни разной, далее

Some fixed characteristics of the TCP and IP headers are:
IP identification = 256
...
Source IP address = a.b.x.y, where a.b are from the host ip and x.y are random. In some cases, a.b are random.
Destination IP address = dns resolution of "windowsupdate.com"
TCP Source port is between 1000 and 1999
TCP Destination port = 80
TCP Sequence number always has the two low bytes set to 0; the 2 high bytes are random.

Интересно всё-таки, чё ж это он мелкософту постукивает... :)

SemKam
Да ничего он не постукивает, DoS-атаку хотели на windowsupdate провести

перезагрузка ещё бывает после того, как хватанёшь себе вирус, проверь систему на сканере.

Tolsty

Я в обменик кинул прогу для удаления W32.Blaster.Worm (FixBlast.exe называется) и заплатку на винХП чтоб не ловить этот вирус вбудущем (WindowsXP-KB823980-x86-ENU.exe называется) скачай .тут или поиши в google.

Так дело же сдесь не в вирусе я ж для чего это всё написал, как говорится информация к размышлению. XP была свежеустановленная программ там почти никаких не было установлено. В первый раз, как только вышел в Internet такая фигня стала твориться так, что вирус тут очень мало вероятен. Перезагрузка ведь получается не из-за вируса, а из-за того, что в саму систему встроена такая фигня которая позволяет удалённо останавливать службу RPS и тем самым блокировать работу в сети. Я же ведь заблокировал эти два адреса и всё стало в норме. Получается теперь так, что если кому надо из Microsoft или ещё кому могут отследить когда я нахожусь в сети и возможно даже что я делаю. Вы посмотрите в своих файерволах,(смотреть нужно именно в момент подключения всё происходит довольно быстро или как в Outposte журнал) что и ваши компы скорее всего передают какието данные по этим адресам, которые я указал. А если я их заблокировал и всё работает нормально так зачем же они нужны...

Tolsty

Я не знаю кто у тебя куда стучится, но то что ты описиваеш происходит если подхватить вирус о котором тебе написал SemKam . Я лично подхватил этот вирус сразу как только установил винХП и вышел в инет скачать драйвер. Через минуту мой комп перезагружался сам при выходе в инет! И еще человек 20 моих знакомых у которых я этот вирус убрал с помощью тех программ о которых я написал раньше. Так вот ты всё таки попробуй FixBlast, проверка будет длится пару минут, и будеш знать наверняка.

P.S.: Напиши найдёт FixBlast что-нибудь или нет.

Вирус очень известный и его симптомы,много раз обсуждался и лечился на форуме.В поиске напиши ловесан или бласт получишь кучу инфы.Надо вылечить тем что тебе выше дают,а потом с сайта мелкомягких заплатки последнии поставить.

Tolsty, трудно попробовать то что люди советуют? Говорят тебе что это интернет червь.

У меня была таже проблема, я тоже после первого соединения поймал, но тоже не верил что такое может быть.
А как поставил заплатки, обновил антивир, то нашол сразу :)

Кстати у Microsoft для удаления Blaster своя заплатка выпущена (KB833330)
http://www.microsoft.com/downloads/d...DisplayLang=ru