Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
|
:)) Похоже на Sasser. [updated] 21.07.04 19:35 Число просмотров: 1636
Автор: Den <Denis> Статус: The Elderman
Отредактировано 22.07.04 19:56 Количество правок: 1
|
Лечить так:
1. Скачиваешь c www.microsoft.com\downloads следующее: XP SP1 (сервис пак), KB828741, KB835732 (хотфиксы).
2. Отключаешься от инета, жмешь Ctrl+Alt+Del, находишь процесс msblast.exe (Lovesan.worm) и завершаешь его. Если в списке процессов есть что-то вроде avserve.exe (Sasser.worm) или avserve2.exe или еще что-нибудь подобное - тоже завершаешь.
3. В ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run прибиваешь запуск вышеуказанных процессов и грохаешь соответствующие файлы в %SystemRoot%\system32.
4. Ставишь скаченный SP1 и патчи.
P.S. Не забудь поднять какой-нибудь firewall, у XP есть встроенный. В будущем тебя это спасет в большинстве случаев.
|
|
<beginners>
|
ошибка при входе в сеть 21.07.04 19:13
Автор: Данила Статус: Незарегистрированный пользователь
|
Помогите, пожалуйста, разобраться! Через несколько минут, после того как подключаю свой ноутбук к Интернету (через модем или локальную сеть) появляется маленькое окошко "Завершение работы системы" с вот таким сообщением:
"Система завершает работу. Сохраните данные и выйдите из системы. Все несохранённые изменения будут потеряны. Отключение системы вызвано NT AUTHORITY\SYSTEM
Время до отключения 00:01:00
Сообщение:
Неожиданно завершён системный процесс
"C:\WINDOWS\system32\lsass.exe" с кодом состояния - 1073741819. Будет произведена перезагрузка системы."
Кто-то говорит, что это червяк. И я уже перезагружал ОС (Windows XP), мне даже поставили какой-то патч, вроде против этого вируса, но он не помог и меня по-прежнему вышибает из сети и комп перезагружается... Расскажите, кто знает, что это и как с ним бороться.
Заранее спасибо.
|
| |
спасибы! 27.07.04 11:10
Автор: Данила Статус: Незарегистрированный пользователь
|
Всем большое спасибо!
В итоге я загрузил антивирус со всеми обновлениями. Включил "Брандмауэр" и вирусятина, испугавшись дядьки Касперского убежала. (то есть Касперский обнаружил червя и благополучно его грохнул). Постоянно обновляю винды.
Но, всё-равно, спасибо за советы: я прочитал много полезной инфы о вирусах и т. п. Жутко интересно и думаю поможет в будущем. Теперь посвящу часть своего времени благородному делу борьбы с компьютерными паразитами. :)))
|
|
:)) Похоже на Sasser. [updated] 21.07.04 19:35
Автор: Den <Denis> Статус: The Elderman
Отредактировано 22.07.04 19:56 Количество правок: 1
|
Лечить так:
1. Скачиваешь c www.microsoft.com\downloads следующее: XP SP1 (сервис пак), KB828741, KB835732 (хотфиксы).
2. Отключаешься от инета, жмешь Ctrl+Alt+Del, находишь процесс msblast.exe (Lovesan.worm) и завершаешь его. Если в списке процессов есть что-то вроде avserve.exe (Sasser.worm) или avserve2.exe или еще что-нибудь подобное - тоже завершаешь.
3. В ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run прибиваешь запуск вышеуказанных процессов и грохаешь соответствующие файлы в %SystemRoot%\system32.
4. Ставишь скаченный SP1 и патчи.
P.S. Не забудь поднять какой-нибудь firewall, у XP есть встроенный. В будущем тебя это спасет в большинстве случаев.
|
| |
(доб внутри) Не lovesan, он RPC заражает, а Sasser. СП1 не обязателен, после его установки надо переактивировать или "поправлять" Вынь ХР. Ставит хотфиксы в сафе моде. Лечить http://downloads1.kaspersky-labs.com/utils/clrav/clrav.zip. 21.07.04 19:48
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 21.07.04 20:04 Количество правок: 1
|
При активном вирусе он не даст скачать антивир, а в сефе моде модем не работает, тк если есть возможность через сетку в инет (сафе моде + сеть) или на дискету (закрытой)/компакт у знакомых вытянуть с инета.
Если нет такой возможности в сафе моде прибить в ключах реестра hkey_local_mashine\software\microsoft\windows\current version\run все что идет на windows\system32 или winnt\system32
также посмотреть в соседних разделах со словом "run"
посмотреть hkey_current_user\(аналогично выше)\run
ЗЫ редактор реестра запускать пуск - выполнить -regedit
ЗЫЫ раньше и сам на эти грабли (провтыкал антивир) наступал, вот и вспомнил и добавил:-)))
|
| | |
То есть надо закачать антивир Касперского через локальную... 22.07.04 19:18
Автор: Данила Статус: Незарегистрированный пользователь
Отредактировано 22.07.04 19:29 Количество правок: 1
|
> При активном вирусе он не даст скачать антивир, а в сефе
> моде модем не работает, тк если есть возможность через
> сетку в инет (сафе моде + сеть) или на дискету
> (закрытой)/компакт у знакомых вытянуть с инета.
>
> Если нет такой возможности в сафе моде прибить в ключах
> реестра
> hkey_local_mashine\software\microsoft\windows\current
> version\run все что идет на windows\system32 или
> winnt\system32
> также посмотреть в соседних разделах со словом "run"
> посмотреть hkey_current_user\(аналогично выше)\run
>
> ЗЫ редактор реестра запускать пуск - выполнить -regedit
> ЗЫЫ раньше и сам на эти грабли (провтыкал антивир)
> наступал, вот и вспомнил и добавил:-)))
Не подскажете как "поднять Firewall" и что делать, если в системных процессах я lsass.exe нашёл, а удалить комп мне его не разрешает: пишет, что это "критический процесс, удалить невозможнно", что-то в этом роде?...
|
| | | |
По поводу firewall'а 22.07.04 21:28
Автор: Den <Denis> Статус: The Elderman
Отредактировано 22.07.04 21:29 Количество правок: 1
|
> Не подскажете как "поднять Firewall" ...
Пуск -> Настройка -> Панель управления -> Сеть
На последней закладке есть галочка для активации брандмауэра, он же фаервол (firewall)
|
| | | |
Не сам антивир, а бесплатную утилиту для деактивации, уничтожения этих (и еще других) червей и корректировки реестра. 307кб 22.07.04 20:28
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | |
Блин! Все не так! Перечитай ответы еще раз. 22.07.04 19:55
Автор: Den <Denis> Статус: The Elderman
|
Не надо завершать lsass, завершать надо процессы вирусов, такие как:
msblast.exe
avserve.exe
avserve2.exe
skynetave.exe
и тому бодобное
Про выкачивание антивира вроде как речь не шла.
И обязательно почитай о вирусах из ссылок в сообщении http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=20&m=109185
|
| | |
Можно прибить активный процесс вируса, поднять firewall и выкачать с инета все необходимое, а далее по списку. [updated] 22.07.04 13:17
Автор: Den <Denis> Статус: The Elderman
Отредактировано 22.07.04 14:00 Количество правок: 1
|
Есть все основания полагать, что если на компе не установлены патчи и не поднят firewall, то вполне вероятно использование вирусами как уязвимости LSA так и RPC.
Worm.Win32.Sasser
Worm.Win32.Lovesan
|
|
Файрволом бороться 21.07.04 19:21
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
|
Входишь в свойства сетевого соединения и в Internet Connection Firewall запрещаешь все входящие.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
