Что за напастия :confused::mad:
Система ХР. При работе в сети или в полете выдает сообщение ошибка тыры пыры
NT uUTHORITY\SYSTEM

пИШУ А СООБЩЕНИЕ ОПЯТЬ, ПОКА ВЫХОЖУ ЧТОБЫ УСПЕТЬ ОТОСЛАЬТЬ

Продолжаю. Начало оставил как есть, чтобы описать атмосферу происходящего :D
Модераторы не херте ветку плиз, просто мне кажется что это как раз опять из-за Лобби. В информации о системе, NT Autority\System как раз седят ТС и Лобби.
Сделал откат, проверил вирусы. Опять выползла ошибка.

З.Ы. У многих в тс спрасил. У кого ХР таже хрень ХЕЛП

Вот это да!!!!!!!!!! У нас вся сетка легла (огромная на севере Москвы Дегунино.нет!!!) по этой причине:mad: Если шнурок выдернуть из комповой жопы - всё работает хорошо... у тебя ведь ХР стоит, верно?

Я думал, какой-то урод малолетний балует..., а тут вон чего...

Да ХР. Делаю откат. Живу в сети 20-40 минут и писец.
Дали ссылку http://www.viruslist.com/viruslist.html?id=2709083
Может что найду.
Да и попробывать надо не запускать Лобби. Полазить в сети без его загрузки.

Мужики-гении! Алезз, может подскажешь что.
Я уж подозреваю, что иноземцы прочли ветку про Лобби-фри и запустили нам червячка на прощание :)

Да нет..., Лобби тут не при чём.... Ну ты лазил, я лазил , а ВСЯ сеть моя (тысячи пользователей в РАЗНЫХ сегментах), им-то Лобби по барабану, они и словов таких не слыхали:D

Во, мля..., ОПЯТЬ эта табличка долбанная выскочила, щас меня перезагрузит...:mad:

......я по этому поводу formatnyl C: - давно собирался, но вот это сообщение про RPC меня сподвигло. Товарищи - это какаято диверсия IMHO. :)

p.s. - mne do Digynino daleko. C чем связано??? c XP ??

Дружбан написал из Болгарии

Da. U menq na odnoi komputer poiavilsq etot problem, no ia stiral msblast.exe, ubil ego process, stiral toze key w registre i secichas wse OK

хм что переполошились - червь, судя по всему безобидный, интересно как распостроняеться, может о5 експлойт для xp написали.

System error &H800706BA(-2147023174). Сервер RPC недоступен
Вот такая хрень при запуске лобби, и еще при открытии страниц вылетело svchost.exe вызвало ошибку, и тепереча нельзя открыть в новом окне, и состояние инета окошко недоступно, вот такая фигня. Че делать?

Да у мня Вынь2000

Вроде нашли червя.
Заходим в реестр через regedit
Включаем поиск файла msblast. Находим и давим гадов.

мля, та же хрень, я прову все мозги проел за вечер......:(

такая же фигня перегружается пару дней так
нашел убил посмотрим

Вот еще ссылка
http://oldsite.simhq.com/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=98;t=002716

Аааа RPC руль - сколько его не патч всё= ничего нормального не напишут.

Вроде запатчил, проверил ......... тишина-а-а-а-а
Хорошо то как, Мать твою :) :) :)

Жаль статистику в ВЕФе испортил. И опять весь вечер без полетов. :( Уже и хостов нету.

Ого,блин.Во вас вправили фирмачи...А я думал нашим ничего не страшно.Может по старинке им.....в Дыню?

....

Мужикииии!
не помогает!

"Заходим в реестр через regedit
Включаем поиск файла msblast. Находим и давим гадов."

Сделал.
В папе 5603 всех перестрелял...
Патч установил.
Выхожу в локальную сеть - и ОПЯТЬ ПОЛУЧАЮ... ВО ВСЮ МОРДУ...

Может надо ВСЮ папку удалить?

ПАМАГИТЕЕЕЕ !!!!

нет удаляешь и ищешь дальше. Я их нашел 6-ть штук. Ребята 9-ть. Ишы

Originally posted by orion71
нет удаляешь и ищешь дальше. Я их нашел 6-ть штук. Ребята 9-ть. Ишы

Пишет - Поиск в реестре завершён.
Ну, я понимаю это - как то, что его больше нету?..

А КАК его ЕЩЁ искать?..

У меня в реестре вобще ниче на нашел, а один хрен
svchost.exe вызвало ошибку, да еще в буфер нифига не могу скопировать.

Таже фигня сегодня с утра, перезагружало каждые пять минут. Щас для начала дату исправил на месяц назад вроде работает.

А у всех патч к илу стоит новый :)?

Я тоже уже успел пострадать от этой хрени.
У меня в компьютере Windows-98 и Windows-XP
Пишу сейчас с Windows-98.
Что делать то? Полностью переустанавливать Windows-ХР?

Originally posted by orion71
Дружбан написал из Болгарии

Da. U menq na odnoi komputer poiavilsq etot problem, no ia stiral msblast.exe, ubil ego process, stiral toze key w registre i secichas wse OK
Во! Етот msblast.exe постоянно сегодня пытался вылезти в сеть.
Я его ZoneAlarm Pro успакоил - вроде полегчало. А были перезагрузки и тормоза на 21000.
Это червь? И что с ним делать то? Удалить?

Я тоже пострадал. Правда, удалось ему это только один раз. И то я успел "засейвиться". После перезагрузки сразу полес в ивентвьювер и увидел, что виноватый мсбласт.ехе. Не долго думая, убил. Оказывается, правильно убил :) Читаем, делаем выводы, действуем:
http://www.dials.ru/inf/news.php?id=563

Патчи (http://www.dials.ru/inf/news.php?id=544)
Сам эту фигню подцепил, млин...

Блин... Чуть винду не снес... Патч вроде помог. Удаление МС бласта - не помогло...

так а что это за черт...?? где вы его все подцепили? вы хоть это узнали? или убили.. нормально... главное же его во второй раз не подцепить...

http://foren.germany.ru/computer/f/921907.html?Cat=&page=0&view=collapsed&sb=5

Спасибо товарищи! Прибил.
ИМХО эта гадость через порты пролезла. Как не знаю. Мне раньше прям во время полёта хитрый спам какой-то слали. Летиш... И тут виндусовое окно в полэкрана с мутным текстом и с сылкой. Было у кого такое?

НИХРЕНА НЕ ПОМОГАЕТ...:(
Всю ночь корячился, вроде утихло... утром встаю
всё по-новой... :(

Ни чистка, ни патч...

Мужики, а вы с фаер воллами летаете?

SL PAK! у меня было, и херь вчера раза 3 , думал от переразгона, а тут сегодня nnm.ru почитал и отлегло...

До момента установки патчей, компания Microsoft призывает всех пользователей ее программного обеспечения сделать это как можно скорее, предлагаются следующие меры, которые снизят возможность проникновения в систему с использованием описываемой уязвимости:

Блокировка портов TCP/UDP Port 135, 139 и 445 средствами межсетевых экранов
Отключение DCOM на уязвимых машинах

Ставьте все фаер воллы. На производительность комрьютера в сети они не влияют, а от подобной хрени защитят...:)
И надо отключить нафиг все протоколы и сервисы кроме TCP.
Рекомендую продукт от Нортона. Со времён форматирования диска (2 года) вирусы не активизировались (были схвачены и отлохмачены...:).

Ну кога меня "странный" спам достал я ZoneAlarm поставил. Сегодня перед патчем закрыл порты что по ссылкам рекомендовали. А после патча их можно открыть иль не стОит?

А, ещё убил msblast.exe. Надо было?

Originally posted by Glass
Ставьте все фаер воллы. На производительность комрьютера в сети они не влияют, а от подобной хрени защитят...:)
И надо отключить нафиг все протоколы и сервисы кроме TCP.
Рекомендую продукт от Нортона. Со времён форматирования диска (2 года) вирусы не активизировались (были схвачены и отлохмачены...:).

Фаервол - без него никуда в нешем мире. Лучше его онечно на входе в локалку ставить, ну, или Personal, если одна машина. И никуда в нашел мире нельзя с Outlook Express. Менять почтовый клиен обязательно на Mozilla, например. Outlook, падла, причина большей половины заражений вирусами, т.к. любит по своему усмотрения исполнять присланный код и плотно связан с другими важными компонентами Windows. Это даже не IMHO, это факт. Всегда пользовался Нетскейпом, сейчас - Мозиллой и незная горя. Когда строим локалки с выходом - прибираем Outlook в коммандно-приказном порядке, чтобы народ про привычки не кричал. Ну, и конечно аттачи с дуру запускать не надо типа "mybigass_here.jpg .exe".

Originally posted by SL PAK
Сегодня перед патчем закрыл порты что по ссылкам рекомендовали. А после патча их можно открыть иль не стОит?


Порты надо все закрыть. Открываются порты только для проверенных программ из проверенных источников. Открываются по требованию самих программ вручную (глубоко задумываясь: "А надо ли открывать?"...:)

Кстати парни. Вопрос перезагрузки решается по крайней мере в ХР очен просто. Заходим в службы, там в восстановления - третья закладка и ставив ребут пр ошибках в никогда.

После чего спонтанные перезагрузки прекращаются и можно спокойно ставить файрволы и лечить комп.

Вверху видел ссылка на патч дана для англицкой винды. Вот ссылочка для русской:http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

Originally posted by Glass
Порты надо все закрыть. Открываются порты только для проверенных программ из проверенных источников. Открываются по требованию самих программ вручную (глубоко задумываясь: "А надо ли открывать?"...:)

А не подскажете ламеру - КАК это сделать?..
Пароль говорю - ПОЖАЛУЙСТА!..

1. Ставьте OutPost 1.1 или 2.0. Это - файрвол. 2.0 ведет хорошую статистику. imho, лучше всяких там аларамов и выньроутов.

2. Если таки открыли порт или как-нить что-то к вам пролезло - ставьте Ad-Aware (от Лавасофт). Чистит реестр от лышних "мух" и "печенюх".

3. Поставьте любую авточистилку реестра. Тот же WinDoctor от P.Nortona позволяет довольно долго существовать винде в рабочем состоянии:cool: Аналогов - полно.

4. Если у вас НЕ стоит Exchange server, то... убейте Outlook!!!
Поставьте чистый мыллер Mozilla - оптимально.

5. Есть еще правда разные пейджеры...смотрите (если сможете:)) чтоб они не запускали САМИ посторонние процессы в выне.

6. Ну и ....ставьте патчи для системы и броузера! Правда дырок все равно еще много:D:D:D но далеко не все про них знают и МОГУТ ими воспользоваться.....

удачи.

Два раза поймал глюк, Steel_Raven не даст соврать- как я матерился, пропатчил виндовзы - все нормально стало. Сцылку на патч камрады уже положили :)

Originally posted by JGr124_Barakuda
System error &H800706BA(-2147023174). Сервер RPC недоступен
Вот такая хрень при запуске лобби, и еще при открытии страниц вылетело svchost.exe вызвало ошибку, и тепереча нельзя открыть в новом окне, и состояние инета окошко недоступно, вот такая фигня. Че делать?



Подтверждаю. То же самое. Вин 2000. Переодически это сообщение выходит при открытии мозилы. Но все работает. Лобби загружается. Как убить - не знаю . В реестр по поиску svchost выбрасывает несколько файлов. Стирать не пытался.

Появилась зараза несколько дней назад.

Знакомый прислал предупреждение, мол червь!
А я летаю и не чую!
.....Преимущества автоматического Windows Update,
оказывается, патчик-то установился, аж в начале июля.....

Originally posted by JGr124_Barakuda
У меня в реестре вобще ниче на нашел, а один хрен
svchost.exe вызвало ошибку, да еще в буфер нифига не могу скопировать.

О! И это тоже. В буфер не копируется. Один в один. Что делать будем?

Нехорошо смеяться над пострадавшими, но у меня все ок :p

Установка персонального файрвола при работе в сети (в домашней, т.к. в корпоративной хозяин-админ, ему решать, а в домашних сетях всяких малолетних "хакеров" полно), и тем более в Интернете ОБЯЗАТЕЛЬНА! Установив файрвол, вы скорее всего будете удивлены огромным количеством попыток просканировать вашу машину на предмет уязвимостей.
Видели бы вы сегодня лог моего файрвола: за каждую минуту работы на dial-up - по 1 отшитой файрволом попытке коннекта на злополучный порт RPC. Я уж молчу про наш корпоративный файрвол...

Outpost - the best!

Мелкософт давно патчик выпустил - лень качать всем :)
У меня в детекторе атак за час - несколько сканов по уже известным портам. Старенький оутпост 1.1 легко справляется с этой напастью. Ходить в интернет без фаерволла - всё равно что жить в доме с открытой дверью.

Пропатчил Винду ентим секьюрите, что по ссылке. все стало ОК :)

Опять началось
Патчи не помогли

реестр чистил?

Реестр чист, в процессах тоже. Делаю восстановление системы по контрол.точке на день раньше -- все ок. Влезаю под проксей в инет. Все хорошо. Без прокси, заново трахаться с восстановлением. Под проксей ходить бы, ды до провайдера могу не дозвониться просто.
Пробывал патч заново поставить, пишет шнягу.

Появился новый представитель - t(что-то там)kids - посмотриете на касперском.

Вчера как iptraf на серваке запустил - охренел - олег, твой лог отдыхает =).

Вот (http://forum.wincity.ru/index.php?act=ST&f=14&t=8670&hl=&). Все по полочкам и со всеми ссылками.

Полочки ещё те и симантек ещё тот. Выбирайте отечественного производителя =).

После установки патча не могу скачать не каких дополнений к играм. И не работает Outlook, почта не приходит.
Что делать?

Хм вот это странно. Возьми clrav.com с касперского - бесплатно слить можно и проскань - ничего случаем ещё не висит в памяти.
Кстати rpc отключать - как временный способ защиты не советую. Мне после этого реестр ручками пришлось править, чтоб включить.

Полочки ещё те и симантек ещё тот
MikeR, если бы ты внимательно прочитал весь топик, то заметил бы что кроме симантека упомянуты или есть ссылки на многих ведущих производителей антивирей, в том числе и наших. Не понимаю причину твоего скептицизма.

Symantec и clrav ничего не находят. Инет работает спокойно без предупреждения. Стоит запустить Flashget или HypperLobby выскакивает предупреждение и перегрузка.

У меня после установки патча и сканирования Symantec`ом флэшгет нормально стал работать (тьфу-тьфу), да и лобби вроде не глючит. Может в реестре хрень осталась какая-нибудь?

З.Ы. Я так понял, порыскав по нету, что надо 3 файла сносить
TEEKIDS.EXE
MSBLAST.EXE
TFTP.exe

tftp - это составная часть винды. :D Но оно ее использует..

:D

Ну чего уж теперь снёс так снёс. Он сам собой восстановился опять.

Worm.Win32.Welchia

При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows.


....skiped
Червь проверяет наличие в памяти процесса с именем msblast.exe, который принадлежит червю Lovesan, и принудительно прекращает его работу. Также он ищет на диске файл msblast.exe и удаляет его.
Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.

...skiped
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.

Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins.

Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу

взято с http://www.viruslist.com/viruslist.html?id=2743974

в общем залазит через ту же дырку и лечит комп от msblast. хотя в то же время сам проходит по категории вирусов, поскольку выполняет эти действия без ведома "хозяина".

По идее - с 2000 винда бережет свои файлы. Помню, как пришло в кое-куда письмо, что такой-то файл надо удалить. И они, простые души, не стали ждать до следующего дня, когда их админ придет, все удалили. Винда 95 -98. Адома у человека -2000 стояла. Удаляют-удаляют -нифига. :D Обратно возвращается. Это-ли не подтверждение того, что машина заражена вирусом! :eek: Обращаются ко мне - так и так, может это и у вас завелось? Ну, смотрим - файл есть. Не удаляется. Ну, я говорю, что это часть системы, и она не хочет его удалять.:D С трудом убедил.. А вот у нас Bugbear завелся. :mad:


Originally posted by Serega
:D

Ну чего уж теперь снёс так снёс. Он сам собой восстановился опять.

Этот вирус новый для ленивых. Кому впадлу там всякими файреволлами-брандмауэрами-антивирусами-патчами заниматься:)

Тоже вчера эту "заразу" цыпанул :mad:

его верно Микросук сама сделала, чттоб патчи народ ставил :) и название MSBlast из любви к себе оставила ;)

2 23AG_Oves Это помогло? У меня ХР Русская, без сервер паков.

Насчёт нового вируса - это щютка:) Надо пропатчить и всё-таки пользоваться антивирусами и фаерволлами. Это точно помогает.
А насчёт ручного удаления этого вируса была инструкция из 3-х действий:
1. Из ключа реестра HKLM\software\microsoft\windows\current version\run удалить параметр, касающийся msblast.exe
2. удалить из каталога %systemroot%\system32 сам файл msblast.exe
3. Поставить патч (около 1 Мб) от microsoft (ссылка на него на главной странице www.microsoft.com) для своей операционки.

P.S. А сервис пак лучше иметь на XP

Originally posted by 23AG_Oves
Насчёт нового вируса - это щютка:) Надо пропатчить и всё-таки пользоваться антивирусами и фаерволлами. Это точно помогает.
А насчёт ручного удаления этого вируса была инструкция из 3-х действий:
1. Из ключа реестра HKLM\software\microsoft\windows\current version\run удалить параметр, касающийся msblast.exe
2. удалить из каталога %systemroot%\system32 сам файл msblast.exe
3. Поставить патч (около 1 Мб) от microsoft (ссылка на него на главной странице www.microsoft.com) для своей операционки.

Заштопал, вроде бы :cool: усе пока нормально.


P.S. А сервис пак лучше иметь на XP
**********:D уговорил ;)

Почту Аутлуком не читать! Бэт тоже говорят уже отличаеться исполнением файлов по умолчанию, но сам не пробовал :) Типа умные мэйлеры - подсобить хотят несчастному юзерю, файлик какой запустить. Поставить Мозилу (www.mozilla.org) и не париться. 90% вирусов через этот ср#ный МС Аутлук залазят и через его же базу адресов дальше лезут. У меня в конторе у всех, кто под Виндой, мозилы стоят и хоть бы кто (тьфу-тьфу) какую заразу через почту хапнул. Улыбаються только: "О, новую жабу прислали". Сегодня, правда особенный день. 3 прислали, заразы. Но толку, естественно никакого. Ну, а мозила - очень удобный мэйлер. Все необходимые навороты в нем есть: фильтры, спам-контроль, подсветка, сортировки. Вобщем, все он умеет. Так, совет из личного, отнюдь не скудного опыта.

2 kuzz в основном трабла была в том, что никто ссылку на касперского не дал (на том форуме), хотя на касп. уже висело достаточно подробное описание этого вируса. А про симантек ругнулся, так как переименовав вирус и запустив - симантек его не нашёл, причём модификации (ренейма) к тому времени уже было 2, не факт что 3 ещё не появилась.

Кстати ещё небольшой оффтом: что может кроме таких, достаточно халявных вирусов отловить эвр. анализатор касперского ? У кого-нибудь что-нить отлавливало ?

Originally posted by Maxxxx
Бэт тоже говорят уже отличаеться исполнением файлов по умолчанию, но сам не пробовал
с Bat-ом всё нормально, сам ничего не запускает.

Originally posted by MikeR

Кстати ещё небольшой оффтом: что может кроме таких, достаточно халявных вирусов отловить эвр. анализатор касперского?

Не халявные вирусы пишутся с использованием антиэвристических алгоритмов....

2 schuss спрошу по другому, никто не в курсе на какие действия натаскан этот анализатор ?

Originally posted by MikeR
2 schuss спрошу по другому, никто не в курсе на какие действия натаскан этот анализатор ?

Под дос программил ?

если в коде стоит перехват ИНТ21 с кодом типа
cmp ax,4b

или чем-то типа

cmp ax, win32openFilea

, тоь АВП считает что это - ВИРУС.

Т.к. нормальной программе мониторить открытие или особенно запуск файлов явно ни к чему не надо .

там конечно все несколько сложнее но принцип тот же - попытка анализироввать ЧАСТЬ кода (в основном стартовую) испольняемого фала.
Я в принципе сразу этот эвристиек отрубаю - так как смысла немного а производительность жрет дай боже.