Заплатка для XP срочно! NT-Autority\System

[Gerasim]

Альф
Окошко пропало?

Окно с перезагрузкой у меня появилось один раз, после чего я произвел все вышеописанные действия. После того, как врубил брендмауэр и поставил патч комп больше не перезагружался (я работал на нем часа два). Вот я и думаю, это бластер я схватил или ещё чего? У нас в районе в нашей домашней сети многие этой гадости понахватались...

[Gerasim]

Альф
Скорей всего, раз ты его не находишь, он не успел у тебя поселиться.
Закрой порты, которые тут советуют и радуйся
На всякий зайди сюда
http://securityresponse.symantec.com...oval.tool.html
и скачай там фишку для удаления этого червя

Доброго время суток !
Недавно на компе выскочило сообщение : ...NT AUTHORITY / SYSTEM EROR ( аж целых 2 раза ).
Перед тем как появиться комп зависал просто мрачно ( WinXP SP1 ).Потом прочел на вашем форуме что это вирус, так у меня вообще чуть волосы невыпали, только зделал переустановку как на тебе получи еще .
Так вот - антивирус ничего ненашел ( Norton 2003 ), стену поставил ( Outpost.... ), в реестре по ключу : "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run"
такого значения как : "windows auto update"="msblast.exe", я вообще ненашел.
Так вот я теперь вообще ничего непонимаю если ето всё же вирус то куда он делся, или он портизанится начал, или же мне повезло как утопленнику.
Если есть возможность разъесните, а то так нехочиться переустанавливать ( мне это приложение DOS скоро в кошмарах являться будет )

Заранее благодарю

Пасиба, этот антивирус я уже качал и проверял им - ничего он у меня не нашел...

[Clown]

Альф
Я так и не понял, по какому поводу ты волнуешься? Вроде признаков заражения у тебя нет никаких...
Кстати, не забывайте отключать System Restore и удалять _Restore... толку от этого сервиса мало, а всякая гадость может сохраняться, "до лучших времён".

А переживаю я из-за того, что у моего друга в выходные похожий вирус накрыл винды. И комп у меня перезагрузился, показав перед этим известное окно, которое видят все пострадавшие от этого вируса)) За все время работы на win2К/ХР это окошко вижу впервые, а в случайные совпадения верится с трудом...
Лана, я уже успокоился, один хрен антивирусы не находят ничего и никаких файлов msblast на компе нет...

не парьтесь... установите каждый свою заплатку и
загляните на http://www.proantivirus.com/info/1/180_1.html ...

там все есть.. как отключить нужную службу и так далее!

[Clown]

Новый вирус убьет Microsoft через 3 дня
13.08.2003 12:01 | NEWSru.com


В интернете с угрожающей быстротой распространяется новый компьютерный вирус W32.Blaster.Worm (другое название LoveSun). Согласно экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и Европе, в том числе и в России, всего - около 20 тыс. персональных компьютеров.

В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.

Специалисты считают, что реальное количество зараженных компьютеров может быть значительно больше, и уже достигает сотен тысяч. Однако их владельцы пока не подозревают об опасности - новый вирус находится в "спящем" состоянии и пока не дает о себе знать.

Особенностью LoveSun является том, что он как бы заранее создает "плацдарм" для самой большой в истории интернета атаки против программ Microsoft, которая начнется 16 августа в 00:00 часов.

В тексте вируса содержится обращение к главе компании Биллу Гейтсу с призывом "прекратить делать деньги и исправить программное обеспечение".

Вирус распространяется на компьютерах с операционными системами Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003.

LoveSun использует уязвимое место в оперативных системах Microsoft, обнаруженное три недели назад. Попав в компьютер, он разрушает все защитные системы и выводит его из строя, после чего распространяется на другие компьютеры.

Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.

Первый удар вируса произошел вечером 11 августа и пришелся по компьютерным сетям США.

Одна из крупнейших компаний-торговцев программным обеспечением PC World ввела в действие "горячую" телефонную линию, куда за советом могут обратиться все владельцы пострадавших компьютеров.

Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от вируса

Компания Microsoft сообщила своим клиентам о мерах, которые необходимо принять, чтобы победить новый компьютерный вирус.

На своем сайте компания Microsoft разместила рекомендации по лечению зараженного компьютера, а также ссылки на дополнительные программы-"заплатки", устраняющие возможность заражения.

Кроме того, уберечься от распространения червя позволяют специальные программы-брандмауэры, защищающие компьютер от несанкционированного доступа извне.

Что из себя представляет новый вирус и как он действует

Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука.

Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).

Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.

Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд.

Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe).

Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.

С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.

Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com

Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч.

С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.

[PrayeR]

Clown
черт, я про те порта давно написал - 0 внимания...
толку писать.

[zol]

Вот стал устанавливать заплатку и вылетела ошибка

Диcпeтчepy ycтaнoвки нe yдaлocь пpoвepить цeлocтнocть фaйлa Update.inf. Убeдитecь, чтo cлyжбы кpиптoгpaфии зaпyщeны нa дaннoм кoмпьютepe

тока Cryptograhic Services у меня вклучен. Что надо ещё вклучить или сделать

[Vovanoff]

removal tool to clean the W32.Blaster.Worm infections. It will terminate the viral process, delete the worm files, dropped files, and delete the registry values that were added.
165 KB
Platform: Windows XP/2000
License: Freeware

W32.Blaster.Worm Removal Tool

[GexogeN]

ААА!!! Спасибо KPNEMO - что предупредил про стену!
Закрыл 135 порт, через минуты две кто-то защемился,
Виря также стеной (OUTPOST) и антивирем (F-PROT) поймал! Хотя антивирь не знал его, но предупредил...
KPNEMO - еще раз большое спасибо - лови пятерик!!!

Народ, а подскажите можно-ли настроить родной XP-шный брендмауэр на запрет конкретных портов, которые использует msblast?

Пасиба.

[Keeper_Andrew]

Для отмены перезагрузки нужно успеть выполнить команду

shutdown -a