Заплатка для XP срочно! NT-Autority\System - Операционные системы M$ - Страница 12

ACee · 17.08.2003, 23:03

Признаками заражения компьютера являются:

- Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)

- Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут

- Многочисленные сбои в работе программ Word, Excel и Outlook

- Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"

- Появление на экране окна с сообщением об ошибке (RPC Service Failing)
------------------------
www.kaspersky.ru

sasvlad · 18.08.2003, 18:17

Кто мне может объяснить, что происходит? Поставил заплату от Микрософт, программка от Simantec никакого вируса на компе не находит, от Кашперского - тоже, в регистре никакой ссылки на msblast нет, в Outpost я тоже порты 135, 137, 445 отрубил нафиг по протоколам TCP и UDP, да и после апдейта у него и так есть правила по Block Remote Procedure и Block Server Message Block Protocol...
А проклятая табличка сегодня выскочила вновь и Комп. улетел в Reboot.
ПОЧЕМУ??? Новая разновидность гуляет по сети или я чего-то не доделал?

elenah · 18.08.2003, 19:59

sasvlad
у меня такая-же байда ... никаких признаков заражения ... прогнал нортоном и касперским И НИЧЕГО , поставил заплатку ... а табличка выскакивает ...

А КТО НИТЬ ЗНАЕТ КТО СОЗДАТЕЛЬ ЭТИХ ШЕДЕВРОВ И ИЗ КАКОЙ СТРАНЫ ???
ЧЕСНО ГОВОРЯ СРАБОТАНО НА ПЯТЬ ... МОЛОДЦЫ ... ПОСТАРАЛИСЬ ....

ArchiMage · 18.08.2003, 20:29

наск. я понимаю заплатка зашишает от заражения в будушем, если вы уже заражены на момент ее установки то она не поможет...могу посоветовать только выключить system restore и выключать все подозрительные/лишние процессы в msconfig/services.msc..
если у вас какая-то неизвестная мутация вируса антивиры не помогут и только так вы может еше сможете что-то сделать

Добавлено через 19 минут:
kstati mozhno zadat' etoj sluzhbe cherez safe mode->strart->run->services.msc->remote procedure call->recovery->vse 3 vozmozhnosti delaete "restart service" vmesto "restart computer".. potom perezagruzhaetes' .. eto zastavit ego ne perezagruzhat' komp. kazhdyj raz a tol'ko service..
potom zaplatka (dlya russkogo windowsa otdel'naya winxp rus, win2000 rus) i symantekovskoe lekarstvo

R!xon · 18.08.2003, 22:26

Цитата:

Первоначальное сообщение от elenah
у меня такая-же байда ... никаких признаков заражения ... прогнал нортоном и касперским И НИЧЕГО , поставил заплатку ... а табличка выскакивает ...

хех, а если заплату поставить после заражения, вирь апдейтит себя через инет, по другим портам, а способов автозагрузки ой как много, не только ведь в реестре в разделах Run, а можт просто глюки виндов...

BigRoad · 18.08.2003, 23:11

Значит так, табличка начала выскакивать еще недели две назад но времени разбираться небыло, как услышал про эту хрень тут же скачал патч (я ни чего не форматировал :-)) когда ставил update ,даже не выходил из сети но факт остается фактом усё пропало
P.S. Проделано на двух машинах,результат идентичный.Делаем выводы

Rizoma · 19.08.2003, 01:03

Перцы!
Как тока появилась эта гадость-большинство моих знакомых попались на эту заразу,первые признаки появились у них 10 числа и уже к вечеру было известо чё эт такое и как с ним бороться.
Так вот 11 числа сразу с утреца я поехал по знакомым лечить это дело с заплаткой на дискете(меня не цЭпанул msblaster) и мне было интересно как и чё.

В этой последовательности я проделал такие действия:

1.Отключиться от сети.
2.Пуск>Выполнить>msconfig-переход на вкладку Автозагрузка и снятие галочки на msblaster.exe
3.Дальше в реестре находим ключик HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удаляем значение "windows auto update"="msblast.exe"
4.Через ctrl+alt+delete вызываем диспечер задач,находим в процессах msblast.exe - завершить процесс.
5.Заходим в Windows\system32 и удаляем исполняемый файл msblast.exe от туда.
6.Ставим заплатку и перегружаемся-

Проделано на машине без сервис факов и стенки.

sasvlad · 19.08.2003, 01:38

Rizoma
Так в том-то и дело, что нет ни в процессах, ни в регистрах ни в файлах!
Нигде нет ни msblast, ни teekids, ни penis32. Что это, глюк Винды после заплатки?

Rizoma · 19.08.2003, 02:30

Цитата:

Первоначальное сообщение от sasvlad
Rizoma
Так в том-то и дело, что нет ни в процессах, ни в регистрах ни в файлах!
Нигде нет ни msblast, ни teekids, ни penis32. Что это, глюк Винды после заплатки?

А ты сначала заплатку поставил?
Надо было найти и удалить сначала а потом патчить.

sasvlad · 19.08.2003, 02:49

Rizoma
Кажется, ты прав. Так что теперь, убрать патч, открыть файерволл, заразиться снова и делать все по-порядку? А даст ли это что-нибудь? Сегодня сижу в сети уже полдня без ребута.

sasvlad · 19.08.2003, 13:48

Кстати, при старте в Инет Outpost сообщает о попытке установить связь по протоколу IGMP. Подскажите, что это за протокол и разрешать ли это соединение или запретить?
P.S. Если это не в тему о вирусе, прошу меня простить.

Lazy · 19.08.2003, 15:40

Новый "червь" вступил в активную борьбу с MSBlast
--------------------------------------------------------------------------------
19.08 11:47 | MIGnews.com
--------------------------------------------------------------------------------
Новый вирус проникает в компьютер через Интернет, уничтожает MSBlast, связывается сайтом Microsoft, устанавливает в компьютере "заплатку" и перезагружает его.

У нового вируса стоит механизм самоуничтожения. Он проверяет календарную дату, и если на дворе 2004 год, удаляет себя из системы.

Наиболее известным примером подобного "червя" является появившийся в сентябре 2001 года CodeBlue, который боролся с вирусом CodeRed.

Новый "полезный" вирус, w32.welchia.worm, обнаружила 18 августа компания Symantec. Кто запустил в Интернет "доброго червя", остается невыясненным.

Xedfr · 19.08.2003, 19:51

"Welchia": антивирусный вирус [19.08.2003]
Лаборатория Касперского", сообщает об обнаружении нового сетевого червя "Welchia", который ищет компьютеры, зараженные "Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows. Служба круглосуточной технической поддержки компании уже зарегистрировала многочисленные инциденты, вызванные данной вредоносной программой.

"Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете компьютеры, зараженные другим червем, "CodeRed", и лечил их.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее "Welchia" сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.

Наконец, в "Welchia" существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию "Lovesan".

"Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей".

"Welchia": антивирусный вирус [19.08.2003]

Добавлено через 1 час и 16 минут:
И вот ещё на overclockers.ru написали об этом (если еще не задолбал Вас):
Опасность: червь Welchia подменяет собой Blaster'а | fin | 18:47

Слава и недостатки червя w32.blaster.worm (LoveSan) не дают покоя конкурирующим вирусописателям

. На просторы интернета вышел новый червь Welchia, использующий ту же уязвимость DCOM RPC... для устранения червя Blaster!

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:

Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).
Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы.
Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).
Несанкционированная перезагрузка может привести к потере данных.
Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.

Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec: (~http://www.symantec.com/avcenter/FixWelch.exe~)
FixWelch (164 КБ, Windows 9x/Me/NT/2000/2003).

Такая вот фигня...

20.08.2003, 18:08

У меня такая херня тоже была, не поленился полез на микрософт.ком и скачал заплатку для хр, поставил, ребутнул и ни фига, даже експлорер не загрузился - ни хера не загрузилось и ноль реакции, только ресет помог и восстановление системы

((. чо это такое?

CODE_777 · 21.08.2003, 16:18

интересно если выставить дату скажем 2004 август вирус уничтожит себя???

18.08.2003, 19:59	# 168
elenah Junior Member Регистрация: 19.10.2002 Адрес: Eesti . Tallinn . KOPLI !!! Сообщения: 143	sasvlad у меня такая-же байда ... никаких признаков заражения ... прогнал нортоном и касперским И НИЧЕГО , поставил заплатку ... а табличка выскакивает ... А КТО НИТЬ ЗНАЕТ КТО СОЗДАТЕЛЬ ЭТИХ ШЕДЕВРОВ И ИЗ КАКОЙ СТРАНЫ ??? ЧЕСНО ГОВОРЯ СРАБОТАНО НА ПЯТЬ ... МОЛОДЦЫ ... ПОСТАРАЛИСЬ .... __________________ небойся САТАНЫ, он всегда с тобой !!!

18.08.2003, 20:29	# 169
ArchiMage ::VIP:: Старик Похабыч Регистрация: 21.07.2002 Адрес: Колодец Сообщения: 718	наск. я понимаю заплатка зашишает от заражения в будушем, если вы уже заражены на момент ее установки то она не поможет...могу посоветовать только выключить system restore и выключать все подозрительные/лишние процессы в msconfig/services.msc.. если у вас какая-то неизвестная мутация вируса антивиры не помогут и только так вы может еше сможете что-то сделать Добавлено через 19 минут: kstati mozhno zadat' etoj sluzhbe cherez safe mode->strart->run->services.msc->remote procedure call->recovery->vse 3 vozmozhnosti delaete "restart service" vmesto "restart computer".. potom perezagruzhaetes' .. eto zastavit ego ne perezagruzhat' komp. kazhdyj raz a tol'ko service.. potom zaplatka (dlya russkogo windowsa otdel'naya winxp rus, win2000 rus) i symantekovskoe lekarstvo __________________ поручик Ржевский Последний раз редактировалось ArchiMage; 18.08.2003 в 20:14.

19.08.2003, 01:03	# 172
Rizoma Moderator Регистрация: 22.12.2002 Адрес: France (Lyon) Пол: Male Сообщения: 6 793	Всё по порядку Перцы! Как тока появилась эта гадость-большинство моих знакомых попались на эту заразу,первые признаки появились у них 10 числа и уже к вечеру было известо чё эт такое и как с ним бороться. Так вот 11 числа сразу с утреца я поехал по знакомым лечить это дело с заплаткой на дискете(меня не цЭпанул msblaster) и мне было интересно как и чё. В этой последовательности я проделал такие действия: 1.Отключиться от сети. 2.Пуск>Выполнить>msconfig-переход на вкладку Автозагрузка и снятие галочки на msblaster.exe 3.Дальше в реестре находим ключик HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удаляем значение "windows auto update"="msblast.exe" 4.Через ctrl+alt+delete вызываем диспечер задач,находим в процессах msblast.exe - завершить процесс. 5.Заходим в Windows\system32 и удаляем исполняемый файл msblast.exe от туда. 6.Ставим заплатку и перегружаемся- Проделано на машине без сервис факов и стенки.

19.08.2003, 15:40	# 177
Lazy Advanced Member Регистрация: 27.03.2003 Адрес: Israel Пол: Male Сообщения: 460	Новый "червь" вступил в активную борьбу с MSBlast -------------------------------------------------------------------------------- 19.08 11:47 \| MIGnews.com -------------------------------------------------------------------------------- Новый вирус проникает в компьютер через Интернет, уничтожает MSBlast, связывается сайтом Microsoft, устанавливает в компьютере "заплатку" и перезагружает его. У нового вируса стоит механизм самоуничтожения. Он проверяет календарную дату, и если на дворе 2004 год, удаляет себя из системы. Наиболее известным примером подобного "червя" является появившийся в сентябре 2001 года CodeBlue, который боролся с вирусом CodeRed. Новый "полезный" вирус, w32.welchia.worm, обнаружила 18 августа компания Symantec. Кто запустил в Интернет "доброго червя", остается невыясненным. __________________ Лень - двигатель прогресса.

20.08.2003, 18:08	# 179
dart_vader Guest Сообщения: n/a	заплатка - херня полная У меня такая херня тоже была, не поленился полез на микрософт.ком и скачал заплатку для хр, поставил, ребутнул и ни фига, даже експлорер не загрузился - ни хера не загрузилось и ноль реакции, только ресет помог и восстановление системы ((. чо это такое?

17.08.2003, 23:03	# 166
ACee Junior Member Регистрация: 29.09.2002 Адрес: Estonia Пол: Male Сообщения: 63	Признаками заражения компьютера являются: - Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\) - Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут - Многочисленные сбои в работе программ Word, Excel и Outlook - Сообщения об ошибках, вызванных файлом "SVCHOST.EXE" - Появление на экране окна с сообщением об ошибке (RPC Service Failing) ------------------------ www.kaspersky.ru

18.08.2003, 18:17	# 167
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	Кто мне может объяснить, что происходит? Поставил заплату от Микрософт, программка от Simantec никакого вируса на компе не находит, от Кашперского - тоже, в регистре никакой ссылки на msblast нет, в Outpost я тоже порты 135, 137, 445 отрубил нафиг по протоколам TCP и UDP, да и после апдейта у него и так есть правила по Block Remote Procedure и Block Server Message Block Protocol... А проклятая табличка сегодня выскочила вновь и Комп. улетел в Reboot. ПОЧЕМУ??? Новая разновидность гуляет по сети или я чего-то не доделал?

18.08.2003, 23:11	# 171
BigRoad Banned Регистрация: 21.04.2002 Адрес: Russia,Ufa City Пол: Male Сообщения: 539	Значит так, табличка начала выскакивать еще недели две назад но времени разбираться небыло, как услышал про эту хрень тут же скачал патч (я ни чего не форматировал :-)) когда ставил update ,даже не выходил из сети но факт остается фактом усё пропало P.S. Проделано на двух машинах,результат идентичный.Делаем выводы

19.08.2003, 01:38	# 173
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	Rizoma Так в том-то и дело, что нет ни в процессах, ни в регистрах ни в файлах! Нигде нет ни msblast, ни teekids, ни penis32. Что это, глюк Винды после заплатки?

19.08.2003, 02:49	# 175
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	Rizoma Кажется, ты прав. Так что теперь, убрать патч, открыть файерволл, заразиться снова и делать все по-порядку? А даст ли это что-нибудь? Сегодня сижу в сети уже полдня без ребута.

19.08.2003, 13:48	# 176
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	Кстати, при старте в Инет Outpost сообщает о попытке установить связь по протоколу IGMP. Подскажите, что это за протокол и разрешать ли это соединение или запретить? P.S. Если это не в тему о вирусе, прошу меня простить.

19.08.2003, 19:51	# 178
Xedfr Junior Member Регистрация: 06.06.2003 Сообщения: 104	"Welchia": антивирусный вирус [19.08.2003] Лаборатория Касперского", сообщает об обнаружении нового сетевого червя "Welchia", который ищет компьютеры, зараженные "Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows. Служба круглосуточной технической поддержки компании уже зарегистрировала многочисленные инциденты, вызванные данной вредоносной программой. "Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете компьютеры, зараженные другим червем, "CodeRed", и лечил их. "Welchia" проводит заражение подобно червю "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client". После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее "Welchia" сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. Наконец, в "Welchia" существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы. Уже сейчас распространение "Welchia" достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию "Lovesan". "Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей". "Welchia": антивирусный вирус [19.08.2003] Добавлено через 1 час и 16 минут: И вот ещё на overclockers.ru написали об этом (если еще не задолбал Вас): Опасность: червь Welchia подменяет собой Blaster'а \| fin \| 18:47 Слава и недостатки червя w32.blaster.worm (LoveSan) не дают покоя конкурирующим вирусописателям . На просторы интернета вышел новый червь Welchia, использующий ту же уязвимость DCOM RPC... для устранения червя Blaster! В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя. Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак: Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится). Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы. Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?). Несанкционированная перезагрузка может привести к потере данных. Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia. Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec: (~http://www.symantec.com/avcenter/FixWelch.exe~) FixWelch (164 КБ, Windows 9x/Me/NT/2000/2003). Такая вот фигня...

21.08.2003, 16:18	# 180
CODE_777 Newbie Регистрация: 13.08.2002 Сообщения: 30	интересно если выставить дату скажем 2004 август вирус уничтожит себя???