Форум

Data.BG Форуми: Проблем със сигурността - червея MSBlaster - Data.BG Форуми

Прехвърляне към съдържание

  • (5 Страници) +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Вие не можете да започнете нова тема
  • Тази тема е заключена

Проблем със сигурността - червея MSBlaster

#41
Потребителят е неактивен   pepone 

  • Група: Потребители
  • Мнения: 60
  • Регистриран: 16-January 04
  • Репутация: 0
  • Град:Софето
м...... му деба а аз се чуда от 2 седмици ква е тая гадория леле как попаднах на тая тема, евала на игор,са свалям и пускам сафе мод
0

#42
Потребителят е неактивен   kaizera 

  • Група: Потребители
  • Мнения: 197
  • Регистриран: 22-October 03
  • Репутация: 0
  • Град:Old Trafford
Инсталирах и двата пача, под safe mode, но резултатът е същият. Продължава да се рестартва, kaто пусна Interneta.

Please Help!!!!

0

#43
Потребителят е неактивен   mishoyzf 

  • Група: Потребители
  • Мнения: 1
  • Регистриран: 24-November 03
  • Репутация: 0
Ама с тия пачове май става само за XP така ли, защото аз съм с 2000 и при мене не стана!
0

#44
Потребителят е неактивен   emptyfan 

  • Група: Потребители
  • Мнения: 38
  • Регистриран: 19-October 03
  • Репутация: 0
  • Град:DiscWorld
  • Интереси:i-net IT music movies
нуждаете се от тези ВРЪЗКИ:

:) http://securityrespo...er/FxSasser.exe

и ТЕЗИ ЗАДЪЛЖИТЕЛНО

http://www.computing...orum/11294.html
http://www.microsoft.com/technet/security/...n/ms04-011.mspx
http://www.microsoft.com/downloads/details...;displaylang=en

http://securityresponse.symantec.com/avcen...ser.b.worm.html
http://securityresponse.symantec.com/avcen...moval.tool.html
http://securityresponse.symantec.com/avcen...asser.worm.html
0

#45
Потребителят е неактивен   kaizera 

  • Група: Потребители
  • Мнения: 197
  • Регистриран: 22-October 03
  • Репутация: 0
  • Град:Old Trafford

raddison каза:

значи имам супер гаден проблем...имам вирус или нещо такова,от типа на W32.Blaster.Worm...пак ми дава този прозорец със 60сек до рестарт на машината...но този път проблема не е в REMOTE PROCEDURE CALL(RPC) както е при W32.Blaster.Worm,а пък е във Isass.exe...моля много някой ако може да даде линк към някакви пачове или някаква програма която да ми изчиисти компа от тези явно "лоши" фаилове...10x предварително... :((


И при мен е същия проблем, няма отправия да го е*а. Инсталирах пачовете ама никакъв ефект. За т'ва ся ще му видя сметката с една преинсталация. Мамка му и гад...
0

#46
Потребителят е неактивен   klamer 

  • Група: Потребители
  • Мнения: 3
  • Регистриран: 17-July 03
  • Репутация: 0
12
0

#47
Потребителят е неактивен   divanetoo 

  • Група: Потребители
  • Мнения: 1
  • Регистриран: 02-March 04
  • Репутация: 0
  • Град:Sofia
Игоре ти кам оптиkомс ли си
0

#48
Потребителят е неактивен   zmeii 

  • Група: Потребители
  • Мнения: 6
  • Регистриран: 03-June 04
  • Репутация: 0
  • Град:София
shutdown -a "-a" означава " Abort a system shutdown" това е времено решение но все пак PC не се рестартира(това се пише щом се покаже съобщението и разбирасе преди да са истекли 60-те секунди, в "Run" или в DOS конзолата")
0

#49
Потребителят е неактивен   didobul 

  • Група: Потребители
  • Мнения: 7
  • Регистриран: 09-February 04
  • Репутация: 0
  • Град:в мечтите
Можете ли да ми кажете как точно се инсталират тези пачове,тъй като не му разбирам много.Къде точно се намира този safe mode за да си ги инсталирам.
Имам и друг въпрос:Тъй като имам и Уиндоус и Линукс,ако вляза през Линукса и изтрия заразените файлове ще се отрази ли по някакъв начин на работата на компютъра под Уиндоус?
Благодаля предварително.
0

#50
Потребителят е неактивен   hexz 

  • Група: Потребители
  • Мнения: 5
  • Регистриран: 13-August 03
  • Репутация: 0
ако влезеш под Линукс няма да виждаш файловете на Уйндоус второ докато се рестартира компютъра натискаш F8 и ще ти извади диалогов прозорец на който избираш Safe Mode след това инсталираш вече изтеглените патчове и пак рестартираш и си влизаш през Start Windows Normal и си готов
0

#51
Потребителят е неактивен   thelinker 

  • Група: Потребители
  • Мнения: 3
  • Регистриран: 14-June 04
  • Репутация: 0
Ами аз постнах една тема но маи са я изтрили затова 6те питам тука:
Вироса за които питам май не е бластер за6тото:
1) Този вирус ми пречи да пусна каквато и да било антивирусна или пач
2)в сеиф мод инсталнах пача за виндовса
2)Ф-прота като успях да го пусна под сафе мод ( а и там вируса е активен, т.е. и в сеиф мод ми казва че ще се рестартика компа ми) и намери три вируса: "agobot (или "gaobot" беше непомня)" , "Sir_Wrar300b" и още един неидентифициран. Смого бой с помоща на Ф-прота и Ад-аваре (с дефиниции от сабот - 12.06.04) успях да изтрия всичко: вече скенерите нищо не показваха.
Аз радостен си пускам виндовса на нормал и ми цафва веднага съобщението: "компа ще се ресетне след ...." и пак немога да пусна никва антивирусна.
С виндовс ХР съм.
Какво да правя?
0

#52
Потребителят е неактивен   hexz 

  • Група: Потребители
  • Мнения: 5
  • Регистриран: 13-August 03
  • Репутация: 0
Формат му е майката[/code][/list]
0

#53
Потребителят е неактивен   evilspirit 

  • Група: Потребители
  • Мнения: 30
  • Регистриран: 12-May 04
  • Репутация: 0
  • Пол:Мъж
  • Град:София
Значи пичове имах 5 патразита, 3 вируса, 4 троянски коня и тоя мазен червей :) Напшраво се бях шокирал да знаете. Оправиха ме 3 антивирусни програми(фиксове ли са незнам) те са: NOD32, FixBlast, NoAdware. Качих си и пачовете за по сигурно :) и дано нямам проблеми засега.
0

#54
Потребителят е неактивен   lordofdeath 

  • Група: Потребители
  • Мнения: 6
  • Регистриран: 14-March 04
  • Репутация: 0
  • Град:In DArkNeSS
Добре де
инсталирах под сейв мод почовете(всички посочени в темата)
пуснах фиксовете казват че нямам нито сасер нито бластер
пуснах си компа в нормален режим
и хоп ПАК имам 4
svhost.exe(system,system,nеtwork service,local service)
от такс мениджъра делвам едното и пак ми казва че компа ще се изгаси след 1мин.
тия процеси не ми отнема много рам(всичките общо 25мб рам)
и не ми точат процесора(има няма 1% ама мноо редко)
(всичките тия неща ги правя при изключен интернет)
Кажете какво да правя!!
0

#55
Потребителят е неактивен   shiv 

  • Група: Потребители
  • Мнения: 10
  • Регистриран: 24-January 04
  • Репутация: 0
  • Пол:Мъж
  • Град:София
Вчеми си ъпдейтни Windows-a:
http://windowsupdate.microsoft.com/
0

#56
Потребителят е неактивен   demonabc 

  • Група: Потребители
  • Мнения: 144
  • Регистриран: 31-January 04
  • Репутация: 0

igor каза:

Значи ето как "работи" бластера:
има един процес, който подържа работата на Windows-а и системата за сигурност - нарича се "svchost.exe". Когато червея влиза в регистрите на системата, той създава временно ключ и оттам се активира, после затваря горе споменатия процес и веднага се изтрива. След като svchost-а е премахнат системата трябва да се рестартира, за да се възстанови и да включи отнова подръжката.
Ако искате, пробвайте да премахнете процеса и вижте какво ще се получи. Все едно пак сте хванали заразата ;Р

Хах svchost.exe е един от най-важните процеси в цялата система.

Главната разлика между вирус и червей, е че вирусът не се нуждае от гостоприемен файл.

Това, че Blaster-a създава файл svchostT.exe и се разполага в Process List-aта не означава, че трябва да триеш истинския svchost.

Както казваш - става много лошо.
0

#57
Потребителят е неактивен   demonabc 

  • Група: Потребители
  • Мнения: 144
  • Регистриран: 31-January 04
  • Репутация: 0
Как се махат "Sasser" и "Blaster"?

ПРЕМАХВАНЕ НА "MS BLASTER" ::...
1. Възстановяването на Интернет връзката
В повечето случаи на Windows 2000 и XP промяната на настройките на Remote Procedure Call (RPC) услугата може да ви позволят да се свържете с Интернет без да причините рестартиране на системата. За да възстановите връзката си с Интернет следвайте следните стъпки:

Натиснете Start > Run. Появява се диалоговата кутийка "Run".Напишете:

:) SERVICES.MSC /S

...натиснете ОК. Появява се прозореца "Services".

Локализирайте "Remote Procedure Call (RPC)" услугата в десния панел.

:) ВНИМАНИЕ: Има друга услуга, наречена "Remote Procedure Call (RPC) Locator". Да не вземете да се объркате.

Десен клик върху "Remote Procedure Call (RPC)" услугата, и Properties най-долу. Натиснете на езичето "Recovery". Използвайки падащата листа променете "First failure", "Second failure" и "Subsequent failures" на "Restart the Service". Натиснете "Apply" и след това "ОК". :twisted:

:) ВНИМАНИЕ: След като премахнете червея трябва задължително да върнете стойностите обратно!

2. Спиране на зловредния процес
:) Натиснете Ctrl+Alt+Delete ВЕДНЪЖ.
:) Натиснете Task Manager /при 2000/.
:twisted: Натиснете езичето "Process".
Сортирайте по азбучен ред с двоен клик върху "Image Name". Скролирайте през листата и се оглеждайте за Msblast.exe. Като го намерите, натиснете "End Process" и излезте от Task Manager-a.

3. Изтриване на файла на червея
Снабдете се с най-новите дефиниции за антивирусната програма, която ползвате.

:twisted: Погледнете в настройките - да сканира във ВСИЧКИ файлове, вкл. и архивите с най-висока степен на дълбочина за евристиката!!! Трябва да намери и изтрие файла без проблем.

5. Да възстановим данните в регистъра
:twisted: ВНИМАНИЕ: Бъдете много внимателни, когато боравите с регистъра. Ако знаете как най-добре направете негово копие - backup.

Натиснете "Start" и след това "Run", както преди. Напишете "regedit" (без кавичките) и натиснете ОК. Отваря се вграденият редактор на регистри на Windows - Regedit.

Навигирайте до ключ:

:) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun


В десния панел изтриите единствената стойност - "windows auto update" с клавиша delete.

Излезте от Regedit.

6. И накрая - да се снабдим с кръпката, която оправя RPC DCOM пролуката
W32.Blaster.Worm е червей, който се възползва от RPC DCOM пролука, използвайки TCP порт 135, за да зарази компютъра ви. Той също се опитва да осъществи DoS (Denial of Service - Отказ от услуга) към "Windows Update" сървърът на Microsoft (windowsupdate.com).

За да оправите това използвайте този фикс (или потърсете в сайта на Microsoft за "Microsoft Security Bulletin MS03-039" - там е описано надълго и нашироко) :

http://wigger.data.bg/-=%20Hack%20=-/FixSa...tch%20WinXP.rar

В него са включени и фикса за Windows, така и Remove Tool на Symantec, който ще ви спести труда.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
ПРЕМАХВАНЕ НА "SASSER" ::...

За да предпазите системата си от shutdown направете следното:
Прекъснете хардуерно връзката си с интернет. Рестиртирайте компютъра. Веднага, когато Windows се зареди натиснете Ctrl+R или отидете в Start => Run.

:) Напишете : cmd, появява се Command Prompt.
:P Напишете : "shutdown -i" (без кавичките) и натиснете Enter.

В прозореца Remote Shutdown, който се отваря напишете следното:

Натиснете Add, напишете името на компютъра си в диалоговата кутийка Add Computers, и натиснете OK. В полето "Display warning for", напишете 9999. В кутийката Comment напишете следното:

:?: Delay Lsass.exe shutdown.

Натиснете OK. Така заваме много по-голям лимит от оригиналния :twisted: 9999 секунди, което е 2 часа и нещо. Надявам се да ви стигнат.

Подновете връзката си с Интернет и инсталирайте съответната кръпка за вашата система

Windows NT 4.0 ::...
http://www.microsoft.com/downloads/details...;displaylang=en

Windows NT 4.0 Terminal Server Edition ::...
http://www.microsoft.com/downloads/details...;displaylang=en

Windows 2000 ::...
http://www.microsoft.com/downloads/details...;displaylang=en

Windows XP 32 bit Edition ::...
http://www.microsoft.com/downloads/details...;displaylang=en

Windows XP 64 bit Edition ::...
http://www.microsoft.com/downloads/details...;displaylang=en

Windows Server 2003 32 bit Edition ::...
http://www.microsoft.com/downloads/details...p;displaylan=en

Windows Server 2003 64 bit Edition ::...
http://www.microsoft.com/downloads/details...;displaylang=en

:?: Най-добре направо пуснете WindowsUpdate - http://windowsupdate.microsoft.com! Предназначението на тези кръпки е да ви пазят от повторно заразяване.След като вече сте закърпили системата си с подходящата кръпка трябва да премахнем самият червей.

Изтеглете "Removal Tool" от сайта на Symantec.

http://securityrespo...er/FxSasser.exe

Инструментът си върши работата, сканира и чисти.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Сканиране ::...

:twisted: И в двата случая накрая пуснете една АВ или един онлайн Антивирусен скенер, за да сте сигурни, че няма останали живи. :twisted:

Надявам се това инфо да е било полезно. Поздрави на всички и успех в начинанието им да се освободят доживотно от тези две гадини, които между другото още се появяват тук-таме. Затова не сваляйте гарда. :twisted:

~~~~~~~~~~~~~~~~~~~
АВТОР - dEmON

ВСИЧКИ ПРАВА ЗАПАЗЕНИ, АКО ИСКАТЕ ДА ПУБЛИКУВАТЕ ТОЗИ МАТЕРИАЛ НЯКЪДЕ ДРУГАДЕ МИ ПРАТЕТЕ МЕЙЛ НА : DEMON@DESIGNER.BG


0

#58
Потребителят е неактивен   tftd 

  • Група: Потребители
  • Мнения: 266
  • Регистриран: 01-June 04
  • Репутация: 0
  • Пол:Мъж
  • Град:София
Този проблем и мен ме сполетя
мноо гаден вирус
0

#59
Потребителят е неактивен   lopotok 

  • Група: Потребители
  • Мнения: 6
  • Регистриран: 19-September 04
  • Репутация: 0
  • Град:Велинград
Ха ха и мен ме сполетя една гнас наречена W32/gaobot.ХУбаво че си изтеглих panda quick remove tool
Тая гнас създава файл svchost2.exe.Уф хубаво че се отървах бързо
0

#60
Потребителят е неактивен   lopotok 

  • Група: Потребители
  • Мнения: 6
  • Регистриран: 19-September 04
  • Репутация: 0
  • Град:Велинград
Интерестното при този гаобот, че също компютъра иска да се изключва след 1 мин.Показва същото като при w32/blaster
0

Споделете тази тема чрез:


  • (5 Страници) +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Вие не можете да започнете нова тема
  • Тази тема е заключена

1 потребители четат тази тема
0 регистрирани потребители, 1 гости и 0 анонимни потребители


Data.BG e форум за дискусии. Data.BG не носи отговорност за съдържанието и достоверността на публикуваните в дискусиите материали.

Никаква част от съдържанието на тази страница не може да бъде репродуцирана, записвана или предавана под каквато и да е форма или по какъвто и да е повод без писменото съгласие на Data.BG.

Close  Member Login