воскресенье, 26 ноября 2006
15:56

Видимо, червь

все записи пользователя в сообществе Твоя Эс
Ваша проблема в том, что я - ее решение.
После подключения к сети, через некоторое время компьютер выдает, что servises.exe (в одном случае ещё и winlogon.exe) вызвало проблему; отправлять\не отправлять отчёт?

После этого появляется окошко "система будет перезагружена" и через минуту отсчёта компьютер перезагружается.

Скриншоты под катом.



Видимо нужно менять антивирустник. :)

Помогите, пожалуйста, советом.



как это выглядит

URL
Комментарии
26.11.2006 в 17:34

Ataka
Крепко жму горло. Искренне ваш Атака :)
Твоя Эс НУ поехали , система какая (винда) , какой антивирус стоит (и стоит ли вообще) , последнее время не скачивала файл mini-muve.exe
URL
27.11.2006 в 12:50

Твоя Эс
Ваша проблема в том, что я - ее решение.
Тьфу, а я думаю, что надо было ещё что-то сказать, ага...

Винда XP Home, антивирус Аваст, приложений не скачивала и не открывала из сети, но поставила недавно e-mule, через него качала видик.

Чем проверить комп, как считаешь?... И на что?
URL
27.11.2006 в 16:50

techsupport
решаем проблемы с головой!
как подключаешься к интернету? какой файрволл?
URL
27.11.2006 в 17:04

Твоя Эс
Ваша проблема в том, что я - ее решение.
techsupport Стрим, ADSL.

Файрвол такой же, то есть авастовский. Ненастроенный, то есть что там по умолчанию было, то и осталось. Аську и квип пропускал например...
URL
27.11.2006 в 17:36

Enkryptor
наверно кто-нить подсадил троян чтоб твой пароль от почты узнать
URL
27.11.2006 в 17:50

techsupport
решаем проблемы с головой!
А у Avast есть файрволл? Просто тут очевидно симптомы атаки из сети, ведь проблема появляется только при подключении к ней, через некоторое время после подключения.
URL
27.11.2006 в 20:47

Твоя Эс
Ваша проблема в том, что я - ее решение.
Enkryptor Остряк.

тьфу, Игорь, я совсем забыла! Прости пожалуйста! У меня девушка молчит, вот я и...



techsupport Есть. Только он молча всё делает и не показывает, была ли отражена атака...

Что бы поставить, кроме Касперского, посоветуете?
URL
28.11.2006 в 01:19

2(che)n
( . )( . )админ
Трояны тут не причем. Дырка эта RPCшная возможна только на NTсистемах и лечится одинаково для всех (это любителям узнавать дивичью фамилию матери Оси).



Какой-то из червей использующих RPC уязвимость (тот же Сасер или Бласт, и тот и тот перезагружали комп по NT AUTHORITY). Их уже пара десятков разных есть. Лечится установкой соответствующих заплаток с Мелкомягкого сайта. Большинство проблемм устраняется вторым СП. Т.к. скачать обновления все равно червь не даст, то читаем сюда:



Инструкции для пользователей Microsoft Windows XP

Опубликовано: 4 мая 2004 г.





Если компьютер продолжает выключаться, распечатайте следующие инструкции для самостоятельного использования или помощи другим пользователям.



Если компьютер под управлением ОС Microsoft Windows XP или Windows XP с пакетом обновления SP1 заражен вирусом Sasser, описанные ниже действия помогут обновить программное обеспечение, удалить вирус и избежать повторного заражения ПК.

Шаг 1: отключите компьютер от интернета



Чтобы избежать дальнейших проблем, необходимо отключить ПК от интернета:

Инструкции для пользователей с подключением по выделенной линии: Найдите кабель, идущий от внешнего модема DSL или кабельного модема, и отключите его либо от модема, либо от телефонной розетки.

Инструкции для пользователей с коммутируемым подключением по телефонной линии: Найдите кабель, идущий от встроенного модема к телефонной розетке, и отключите его либо от модема в ПК, либо от телефонной розетки.

Шаг 2: прекращение постоянной перезагрузки ПК



Вирус может привести к неправильной работе службы LSASS.EXE, что приводит к прекращению работы операционной системы через 60 секунд. Если компьютер начал постоянно перезагружаться, для отмены текущего прекращения работы ОС выполните следующие действия.

На панели задач в нижней части экрана нажмите кнопку «Пуск» и выберите «Выполнить».

Введите cmd и нажмите кнопку OK.

В командной строке введите shutdown.exe -a и нажмите клавишу ENTER.

Шаг 3: устраните уязвимость



Можно временно устранить уязвимость, позволяющую вирусу атаковать ПК, путем создания файла журнала.



Создание файла журнала:

На панели задач в нижней части экрана нажмите кнопку «Пуск» и выберите «Выполнить».

Введите cmd и нажмите кнопку OK.

В командной строке введите echo dcpromo >%systemroot%\debug\dcpromo.log и нажмите клавишу ENTER.

Сделайте файл журнала доступным только для чтения.

В командной строке введите attrib +R %systemroot%\debug\dcpromo.log и нажмите клавишу ENTER.

Шаг 4: повышение производительности системы



Если компьютер работает медленно или снизилась скорость подключения к интернету, возможно, вирус загружает сетевое подключение паразитным трафиком. Это может затруднить загрузку и установку необходимых обновлений. Для повышения производительности системы:

Нажмите клавиши CTRL+ALT+DELETE и выберите «Диспетчер задач».



Щелкните каждую из перечисленных ниже задач, которые могут отображаться в списке диспетчера, а затем нажмите кнопку «Снять задачу».

Любые задачи с именем, заканчивающимся на _up.exe (например 12345_up.exe).

Любые задачи, имя которых начинается с avserve (например avserve.exe).

Любые задачи, имя которых начинается с avserve2 (например avserve2.exe).

Любые задачи, имя которых начинается с skynetave (например skynetave.exe).

hkey.exe

msiwin84.exe

wmiprvsw.exe



Примечание. Не завершайте задачу wmiprvse.exe — это необходимая системная задача.

Шаг 5: включите брандмауэр



Брандмауэр — это специальное программное обеспечение или оборудование, создающее «защитный барьер» между ПК и Интернетом. Если компьютер заражен вирусом, включение программного брандмауэра поможет ограничить воздействие вируса. ОС Windows XP содержит встроенный брандмауэр подключения к интернету (Internet Connection Firewall, ICF). Чтобы включить брандмауэр ICF:

На панели задач в нижней части экрана нажмите кнопку «Пуск» и выберите «Панель управления».

Откройте компонент «Сеть и подключения к интернету». (Если компонент «Сеть и подключения к интернету» не отображается, выберите просмотр по категориям в левой части окна панели управления.)

Откройте «Сетевые подключения».

Щелкните правой кнопкой мыши коммутируемое подключение, подключение по локальной сети или высокоскоростное подключение, используемое для подключения к Интернету, и выберите «Свойства».

На вкладке «Дополнительно» в разделе «Брандмауэр подключения к интернету» выберите «Защитить мое подключение к Интернету» и нажмите кнопку OK. Встроенный брандмауэр включен.

Шаг 6: подключение к интернету



Подключите кабель (см. шаг 1) к компьютеру, телефонной розетке или модему.

Шаг 7: установите необходимое обновление



можно попробовать прогнать avast! Virus Cleaner или McAfee AVERT Stinger или clarv от Касперского (это самостоятельные античерви натасканые на любителей RPC уязвимостей)
URL
28.11.2006 в 11:50

techsupport
решаем проблемы с головой!
лечится установкой соответствующих заплаток с Мелкомягкого сайта.



Вообще если файрволл включен, то и заплатки не нужны.
URL
28.11.2006 в 12:12

2(che)n
( . )( . )админ
techsupport не всякий фаервол затыкает эти дыры.
URL
28.11.2006 в 12:45

techsupport
решаем проблемы с головой!
Подожди, дыры (ну т.е. уязвимости) он вообще не затыкает, это и не надо - если он например обрубает все SYN пакеты, как может быть осуществлена атака?
URL
29.11.2006 в 00:41

2(che)n
( . )( . )админ
Как только появился Бластер - половина известных мне фаерволов оказалась уязвимой просто потому, что у RPC была прописана политика доверия
URL
30.11.2006 в 09:25

techsupport
решаем проблемы с головой!
То есть эти файрволлы допускали входящие подключения по 111 порту?
URL
30.11.2006 в 10:27

2(che)n
( . )( . )админ
techsupport хз что они именно допускали. Просто в списке доверенных приложений был svchost и RPC соответственно.
URL
30.11.2006 в 10:41

techsupport
решаем проблемы с головой!
Доверенные как клиент или как сервер? И какой файрволл?
URL
30.11.2006 в 10:48

2(che)n
( . )( . )админ
techsupport агнитум и керио точно были. Остальных не помню.
URL
30.11.2006 в 10:53

techsupport
решаем проблемы с головой!
Так как клиент или как сервер? Насколько я помню эти файрволлы, "доверенные приложения" там означают процессы, которым разрешено соединяться с сервером через сеть, но не выступать в качестве сервера. Вообще, настройки по умолчанию у любого современного персонального файрволла запрещают входящие подключения, а чтобы сделать компьютер сервером, нужно специально менять настройки; я предполагаю, там просто был неправильно настроен файрволл, раз осталась возможность для атак из сети.
URL
30.11.2006 в 12:00

2(che)n
( . )( . )админ
techsupport не разбирался. Заткнул дыры, удалил уже подхваченное.
URL
30.11.2006 в 12:56

techsupport
решаем проблемы с головой!
Тут просто какая штука - затыкание дыры патчем к программе делает программу не восприимчивой для некой конкретной атаки. А целиком блокирование входящего трафика к этой программе делает ее неуязвимой для всех видов атак из сети. :nope:
URL