Здравствуйте, Гость ( Вход | Регистрация )

Правила | Поиск | Помощь | Участники | Репутация


Страницы: (9) [1] 2 3 4 5 6 7 8 9    (К непрочитанным сообщениям) ОтветитьНовая темаНовый опрос
вирусы: профилактика, симптомы, методы лечения
« Предыдущая тема | Следующая тема » Версия для печати
Kuswit
14 Aug 2003, 09:54  


Сейчас вне форума
Группа: Новичок
Сообщений: 6
Репутация: 0
Регистрация: 12 Aug 03
Живет: Оренбург

Подскажите, что это за ошибка такая. Просто никакого
житья не дает. При работе в интернет, через некоторе
время, вылазиет ошибка.

Тип события: Уведомление
Источник события: USER32
Категория события: Отсутствует
Код события: 1074
Дата: 14.08.2003
Время: 15:18:07
Пользователь: NT AUTHORITYSYSTEM
Компьютер: KUSWIT
Описание:
Процесс winlogon.exe инициировал перезапуск KUSWIT, по причине: Причина на перечислена
Вспомогательный номер причины: 0xff
Тип выключения: Перезагрузка
Комментарий: Необходимо перезагрузить Windows, поскольку произошла непредвиденная остановка службы
Удаленный вызов процедур (RPC)
Данные:
0000: ff 00 00 00 y…
Из-за чего это происходит и как это исправить?
 
 
Vulko
14 Aug 2003, 11:19  

Местная достопримечательность :)
Сейчас вне форума
Группа: Фанат форума
Сообщений: 1679
Репутация: 2
Регистрация: 20 Mar 03
Живет: aachen/ germany

Либо это червь LoveSan, либо просто глюк ХР. В любом случае качай заплатку с сайта мокрософта.

Это можно сделать с помощью windows update.
 
 
Strori
14 Aug 2003, 11:38  

Мелкий засранец
Сейчас вне форума
Группа: Модератор
Сообщений: 1232
Репутация: 12
Регистрация: 8 Feb 03
Живет: Хабаровск

А почему вирус, Вулко? У тебя было что-ли?
 
 
Vulko
14 Aug 2003, 17:25  

Местная достопримечательность :)
Сейчас вне форума
Группа: Фанат форума
Сообщений: 1679
Репутация: 2
Регистрация: 20 Mar 03
Живет: aachen/ germany

Сейчас эпидемия этого червя во всём мире. До тебя наверное не дошел ещё :D

Было у двух моих знакомых. Кстати лечится очень просто!
 
 
Yura
14 Aug 2003, 18:27  


Сейчас вне форума
Группа: Админ
Сообщений: 4771
Репутация: 35
Регистрация: 6 Jan 03


Вполне может быть вирус LoveSan — он как раз, насколько мне известно, использует дыру windows в RPC. Надо скачать заплатку по RPC с windows UPDATE + обновить базу антивирусника и вперед! Покой нам только снится!
PS: если комп уже заражен, то на нем есть файл msblast.exe или thekids.exe — юзайте поиск файлов…
 
 
Vulko
14 Aug 2003, 20:07  

Местная достопримечательность :)
Сейчас вне форума
Группа: Фанат форума
Сообщений: 1679
Репутация: 2
Регистрация: 20 Mar 03
Живет: aachen/ germany

Цитата:
PS: если комп уже заражен, то на нем есть файл msblast.exe или thekids.exe - юзайте поиск файлов…

…и удалите
 
 
Yura
15 Aug 2003, 19:23  


Сейчас вне форума
Группа: Админ
Сообщений: 4771
Репутация: 35
Регистрация: 6 Jan 03


Kuswit
если это все-таки LoveSan (aka Blaster), то описание его есть на сайте Symantec NAV. А вот здесь описание того, как извести эту заразу. Symantec выпустил специальную утилиту, которая ищет и "мочит в сортире" LoveSan — поюзайте ее, мож и правда у вас вирус… Удачи!
 
 
Angi
16 Aug 2003, 12:38  


Сейчас вне форума
Группа: Старожил
Сообщений: 876
Репутация: 0
Регистрация: 1 Mar 03
Живет: Казань

Текст с одной из расылок……..

Поводом для размещения данной информации послужили несколько писем с вопросами одинакового содержания, полученные мной за последние 2-3 дня: …При выходе в интернет через некоторое время появляется сообщение, что произошла непредвиденная остановка службы RPC и в течение минуты компьютер перезагрузится. Сообщение возникает нерегулярно. Что это может быть и как это можно исправить?…

Возможно данная проблема связана с появившимся несколько дней назад сетевым червем Blaster (другие названия — "Lovesan", "Lovsan", "Msblast", "Poza"). Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Червь просматривает случайный диапазон IP адресов для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя. После успешной загрузки основного тела червя, оно копируется в каталог ..WINDOWSsystem32 и запускается на выполнение. Червь не удаляет, не изменяет и не похищает данные, но работа в интернете может быть существенно затруднена вследствие вызываемой ошибки службы RPC и последующей перезагрузке компьютера. Кроме того угроза состоит в нарушении нормальной работы интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода. Начиная с 16 августа Blaster атакует сайт windowsupdate.com, на котором содержатся обновления для операционной системы Windows. На данный момент известны три модификации червя, которым некоторыми разработчиками присвоены индексы "a", "b" и "c".

Признаки заражения компьютера:


Наличие файлов MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE в каталоге ..WindowsSystem32
Внезапная перезагрузка компьютера после соединения с интернетом каждые несколько минут
Многочисленные сбои в работе программ Word, Excel и Outlook
Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
Появление на экране окна с сообщением об ошибке (RPC Service Failing)
Появление в разделе реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] параметра
"windows auto update" = "msblast.exe"

Решение проблемы:


Загрузить последние обновления безопасности от Microsoft:
http://go.microsoft.com/?linkid=220944 (Windows XP)
http://go.microsoft.com/?linkid=220945 (Windows XP 64 bit)
(Для обеспечения передачи обновления с сайта Microsoft рекомендуется найти файл TFTP.EXE в каталоге ..WindowsSystem32, и скрытом каталоге ..WindowsSystem32DLLCACHE и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название.)
Загрузить последние обновления вашего антивируса для удаления червя или воспользоваться бесплатной утилитой от Лаборатории Касперского (ftp://ftp.kaspersky.com/utils/clrav.zip) или вручную удалить указанные выше ключ реестра и файлы вируса.

PS: Если у Вас есть другие варианты решения проблемы, указанной в письме, пишите по адресу michaelb@land.ru с темой "RPC".
 
 
Володя
19 Aug 2003, 07:29  









У меня ни с того, ни с сего появляется сообщение "Ошибка удаленного вызова процедур, закройте все программы, компьютер будет перезагружен" Отсчитывает минуту и перезагружается.
Это происходит, когда я захожу в интернет, в других случаях этого не происходит. Сначала я подумал, что это вирусы, все полезные данные с диска переписал, диск отформатировал, заново поставил ХР, все программы.
Опять, тоже самое, периодически показывает это сообщение и перезагружается. Я уже за--ся.
В чем может быть проблема? Может сетевая карта барахлит (т.к. это бывает только когда я в инет захожу)?

Заранее благодарен за ответ.
 
 
Strori
19 Aug 2003, 09:06  

Мелкий засранец
Сейчас вне форума
Группа: Модератор
Сообщений: 1232
Репутация: 12
Регистрация: 8 Feb 03
Живет: Хабаровск

И тем не менее это скорее всего вирус.
Кстати, я этот вирус вчера поймал. Скачал патч - скорость в нете упала до безобразия.

Это сообщение отредактировал(а) Yura — 19 Aug 2003, 19:48
 
 
Гость
19 Aug 2003, 10:03  









Дейчтвительно вирус. Указанные в ссылке файлы нашел, удалил, также удалил указанный ключ из реестра, установил малкомягкое обновление. Пока тьфу-тьфу.
 
 
Yura
19 Aug 2003, 20:19  


Сейчас вне форума
Группа: Админ
Сообщений: 4771
Репутация: 35
Регистрация: 6 Jan 03


Мужики, поздравьте меня! Полчаса назад мой комп был заражен msblast'ом. Самое прикольное, что это мой почетный - первый вирус, кот. удалось подцепить, хотя комп с 98 года использую.

Короче, произошло все по ошибке: вышел в интернет без firewall. Забыл включить свой outpost firewall free ( www.agnitum.com ) и уже через пять минут "серфинга" скорость коннекта упала чуть ли не до нуля, потом комп отсоединился от сети. Я заметил это, хотел переконнектиться, но увидел, что в taskbar нет иконки Firewall - запустил agnitium. Сразу же появилось сообщение от outpost о том, что "msblast.exe" запрашивает соединение с интернетом. Естетственно, никакого соединения эта гадина не получила.

Теперь мои действия, приведшие к уничтожению этой заразы (может кому-то пострадавшему от этого вируса поможет…):

1. Обос***ся… :D.
2. Полез в "Диспетчер задач" -> "Процессы". Там пытался "завершить процесс" msblast.exe, но винда гордо заявила, что процесс системный и остановить его не может <_<. Также не удалось удалить и файл c:/winnt/system32/msblast.exe - он был занят…
3. Полез в реестр, удалил из автозагрузки процесс AutoUpdate, которым прикинулся вирус.
4. Выключил комп через power, так на всякий пожарный…
5. После включения msblast уже в памяти НЕ висел. Легко удалил его с диска.
6. Скачал бесплатную утилиту для уничтожения этого вируса от Symantec (линк см. выше).
7. Утил проверила комп и сказала, что все ОК. cool.gif Значит msblast не заражает приложения и не копируется по всему жесткому диску, а тихо-мирно сидит в /system32/ - ну и славненько.
8. Поставил заплатку для win2000.

PPS еще раз убедился, что без firewall'а в наши "дикие" :) времена никуда… Кстати outpost firewall free бесплатен ;)

Это сообщение отредактировал(а) Yura — 23 Aug 2003, 03:08
 
 
Иван Помидоров
22 Aug 2003, 17:33  









Как только захожу в интернет выдается ошибка о том что произошла ошибка в модуле памяти таком-то, по адресу такому-то, и что память не может быть "read". Нажимаю ОК и еще несколько минут работаю без проблем, после чего выдается новая ошибка, там прдлагается закрыть все приложения и начинается отсчет времени от 1 минуты по истичении которого система перезагружается сама. Написано что сбой вызван NT AUTHORITY/SYSTEM (что это вообще такое? и где оно лежит?).
Ps У меня windows xp, IternetExplorer 6.
Заранее благодарен. <_<
 
 
Гость
22 Aug 2003, 21:44  









Это "червь" MSBlast cool.gif На сайте Symantec  — как его обнаружить
http://securityresponse.symantec.com/avcen...er/FixBlast.exe.
И потом заплатку поставить. Кроме того, я теперь только с Firewall в сеть выхожу :P
 
 
MGG
24 Aug 2003, 04:27  









Это вирус LoveSun. Лечи последним касперским на чистом компе. Но может и не помочь.
 
 
131 ответов с 14 Aug 2003, 09:54 Версия для печати
Страницы: (9) [1] 2 3 4 5 6 7 8 9 
<< Назад в Windows
ОтветитьНовая темаНовый опрос