информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
(доб внутри) Не lovesan, он RPC заражает, а Sasser. СП1 не обязателен, после его установки надо переактивировать или "поправлять" Вынь ХР. Ставит хотфиксы в сафе моде. Лечить http://downloads1.kaspersky-labs.com/utils/clrav/clrav.zip. 21.07.04 19:48  Число просмотров: 1672
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 21.07.04 20:04  Количество правок: 1
<"чистая" ссылка>
При активном вирусе он не даст скачать антивир, а в сефе моде модем не работает, тк если есть возможность через сетку в инет (сафе моде + сеть) или на дискету (закрытой)/компакт у знакомых вытянуть с инета.

Если нет такой возможности в сафе моде прибить в ключах реестра hkey_local_mashine\software\microsoft\windows\current version\run все что идет на windows\system32 или winnt\system32
также посмотреть в соседних разделах со словом "run"
посмотреть hkey_current_user\(аналогично выше)\run

ЗЫ редактор реестра запускать пуск - выполнить -regedit
ЗЫЫ раньше и сам на эти грабли (провтыкал антивир) наступал, вот и вспомнил и добавил:-)))
<beginners>
ошибка при входе в сеть 21.07.04 19:13  
Автор: Данила Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Помогите, пожалуйста, разобраться! Через несколько минут, после того как подключаю свой ноутбук к Интернету (через модем или локальную сеть) появляется маленькое окошко "Завершение работы системы" с вот таким сообщением:
"Система завершает работу. Сохраните данные и выйдите из системы. Все несохранённые изменения будут потеряны. Отключение системы вызвано NT AUTHORITY\SYSTEM
Время до отключения 00:01:00
Сообщение:
Неожиданно завершён системный процесс
"C:\WINDOWS\system32\lsass.exe" с кодом состояния - 1073741819. Будет произведена перезагрузка системы."
Кто-то говорит, что это червяк. И я уже перезагружал ОС (Windows XP), мне даже поставили какой-то патч, вроде против этого вируса, но он не помог и меня по-прежнему вышибает из сети и комп перезагружается... Расскажите, кто знает, что это и как с ним бороться.
Заранее спасибо.
Sollution(s) 25.07.04 05:59  
Автор: jack_pot Статус: Незарегистрированный пользователь
Отредактировано 25.07.04 06:01  Количество правок: 1
<"чистая" ссылка>
Как тебе уже правильно заметили - ето вирус, хотя я не согласен что ето однозначно Sasser, ето может быть и один iz sobig'ов, как бы там нибыло вот тебе ссылка:http://securityresponse.symantec.com/avcenter/tools.list.html. Тут лежат фиkcы ко всем современным "злобным" вирусам, которые в основном и поражают пользователей. Когда кликаешb на нужный вирус открываеться страница, там куча всRкой лабуды, проскроль до середины и увидишь ссылку типа:http://securityresponse.symantec.com/avcenter/Fx[Virusname].exe кликаешь на неё загружаешь патч и вперед. Если будут вопросы пиши.

Fix na Sasser: http://securityresponse.symantec.com/avcenter/FxSasser.exe
спасибы! 27.07.04 11:10  
Автор: Данила Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всем большое спасибо!
В итоге я загрузил антивирус со всеми обновлениями. Включил "Брандмауэр" и вирусятина, испугавшись дядьки Касперского убежала. (то есть Касперский обнаружил червя и благополучно его грохнул). Постоянно обновляю винды.
Но, всё-равно, спасибо за советы: я прочитал много полезной инфы о вирусах и т. п. Жутко интересно и думаю поможет в будущем. Теперь посвящу часть своего времени благородному делу борьбы с компьютерными паразитами. :)))
:)) Похоже на Sasser. [updated] 21.07.04 19:35  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 22.07.04 19:56  Количество правок: 1
<"чистая" ссылка>
Лечить так:

1. Скачиваешь c www.microsoft.com\downloads следующее: XP SP1 (сервис пак), KB828741, KB835732 (хотфиксы).

2. Отключаешься от инета, жмешь Ctrl+Alt+Del, находишь процесс msblast.exe (Lovesan.worm) и завершаешь его. Если в списке процессов есть что-то вроде avserve.exe (Sasser.worm) или avserve2.exe или еще что-нибудь подобное - тоже завершаешь.

3. В ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run прибиваешь запуск вышеуказанных процессов и грохаешь соответствующие файлы в %SystemRoot%\system32.

4. Ставишь скаченный SP1 и патчи.

P.S. Не забудь поднять какой-нибудь firewall, у XP есть встроенный. В будущем тебя это спасет в большинстве случаев.
(доб внутри) Не lovesan, он RPC заражает, а Sasser. СП1 не обязателен, после его установки надо переактивировать или "поправлять" Вынь ХР. Ставит хотфиксы в сафе моде. Лечить http://downloads1.kaspersky-labs.com/utils/clrav/clrav.zip. 21.07.04 19:48  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 21.07.04 20:04  Количество правок: 1
<"чистая" ссылка>
При активном вирусе он не даст скачать антивир, а в сефе моде модем не работает, тк если есть возможность через сетку в инет (сафе моде + сеть) или на дискету (закрытой)/компакт у знакомых вытянуть с инета.

Если нет такой возможности в сафе моде прибить в ключах реестра hkey_local_mashine\software\microsoft\windows\current version\run все что идет на windows\system32 или winnt\system32
также посмотреть в соседних разделах со словом "run"
посмотреть hkey_current_user\(аналогично выше)\run

ЗЫ редактор реестра запускать пуск - выполнить -regedit
ЗЫЫ раньше и сам на эти грабли (провтыкал антивир) наступал, вот и вспомнил и добавил:-)))
То есть надо закачать антивир Касперского через локальную... 22.07.04 19:18  
Автор: Данила Статус: Незарегистрированный пользователь
Отредактировано 22.07.04 19:29  Количество правок: 1
<"чистая" ссылка>
> При активном вирусе он не даст скачать антивир, а в сефе
> моде модем не работает, тк если есть возможность через
> сетку в инет (сафе моде + сеть) или на дискету
> (закрытой)/компакт у знакомых вытянуть с инета.
>
> Если нет такой возможности в сафе моде прибить в ключах
> реестра
> hkey_local_mashine\software\microsoft\windows\current
> version\run все что идет на windows\system32 или
> winnt\system32
> также посмотреть в соседних разделах со словом "run"
> посмотреть hkey_current_user\(аналогично выше)\run
>
> ЗЫ редактор реестра запускать пуск - выполнить -regedit
> ЗЫЫ раньше и сам на эти грабли (провтыкал антивир)
> наступал, вот и вспомнил и добавил:-)))

Не подскажете как "поднять Firewall" и что делать, если в системных процессах я lsass.exe нашёл, а удалить комп мне его не разрешает: пишет, что это "критический процесс, удалить невозможнно", что-то в этом роде?...
По поводу firewall'а 22.07.04 21:28  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 22.07.04 21:29  Количество правок: 1
<"чистая" ссылка>
> Не подскажете как "поднять Firewall" ...

Пуск -> Настройка -> Панель управления -> Сеть

На последней закладке есть галочка для активации брандмауэра, он же фаервол (firewall)
Не сам антивир, а бесплатную утилиту для деактивации, уничтожения этих (и еще других) червей и корректировки реестра. 307кб 22.07.04 20:28  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Блин! Все не так! Перечитай ответы еще раз. 22.07.04 19:55  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Не надо завершать lsass, завершать надо процессы вирусов, такие как:
msblast.exe
avserve.exe
avserve2.exe
skynetave.exe
и тому бодобное

Про выкачивание антивира вроде как речь не шла.

И обязательно почитай о вирусах из ссылок в сообщении http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=20&m=109185
Можно прибить активный процесс вируса, поднять firewall и выкачать с инета все необходимое, а далее по списку. [updated] 22.07.04 13:17  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 22.07.04 14:00  Количество правок: 1
<"чистая" ссылка>
Есть все основания полагать, что если на компе не установлены патчи и не поднят firewall, то вполне вероятно использование вирусами как уязвимости LSA так и RPC.

Worm.Win32.Sasser
Worm.Win32.Lovesan
Файрволом бороться 21.07.04 19:21  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
Входишь в свойства сетевого соединения и в Internet Connection Firewall запрещаешь все входящие.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach