Интернет - советы, вопросы.

[snowbird]

Цитата:

Первоначальное сообщение от eglantine
Совсем беда 10-15 минут в Инете и выскакивает окошко, что This system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM.
Message: Remote Procedure Call (RPC) service terminated unexpectedly.

И через минуту перезагружается компьютер! Попробовала выключить кабельный модем, это прекратилось, но как включаю опять начинается.

Сейчас по сети ходит новый вирус, очень много
компов пострадали Срочно нужно качать
заплатку!!!
Для ХР(рус):
http://download.microsoft.com/downl...980-86-RUS.exe
Для ХР(англ):
http://download.microsoft.com/downl...980-86-ENU.exe
ЭТО СЕРЬЁЗНО!!!
Поражённый комп выдаёт такую байду:

snowbird добавил(а) [date]1060728501[/date]:
Можешь почитать на эту ему подробнее
http://www.livejournal.com/users/olegart/33500.html

[snowbird]

И ещё на эту тему

[Starik]

Это явно вирус, мой анти-вирус говорит, что симптомы очен похожи на заражение вирусом W32/Lovsan.worm . Надо срочно лечится.

[REmindER]

Да-да... Мои знакомые тоже встретились с этой проблемой.

REmindER добавил(а) [date]1060780856[/date]:

Ошибка 823980 - неконтролируемая возможность переполнения буфера и последующее затирание кода, берущего свое начало за пределами буфера. Т.е. при обращении к этой части кода по сути будет исполнен код, который являлся на самом деле данными из буфера. Главное все расчитать. Прием очень распространенный.

[Eglantine]

Спасибо всем, ребята за отклик.
Что было дальше:
Эти окошки выскакивали и выскакивали все чаще и чаще, отключив кабельный модем я проверила через DrWeb на вирусы - чисто, запустила Ad-aware - ничего. Вечером компьтер не включался с кабелькой, и мой муж срочно запустил Windows Update, работало все это долго мы даже демали, что компьютер повис, но нет вроде работает, тогда мы оставили его работать, а сами ушли спать. Утром на мониторе было окно, что Windows Update прошло успешно.
Все вроде заработало. Мы еще раз проверяли компьютер антивирусниками DrWeb, Касперским, потом муж нашел какой-то ативирусник он-лайн, и еще какой-то, но ни один из них не обнаружил никаких признаков вируса.
Окно больше не выскакивает, но на сегодня проблема такая многие параметры (или как их там) Windows не загружает, ругается, муж вчера весь вечер просидел все пытался установить все до конца, но так ничего и вышло. Сегодня я решила запустить Дефрагментацию диска, когда открыла, то увидела, что у нас на компьютере, вместо 45% свободного места, сейчас только 3%.
И появилась папка на диске С: 40dc704ed2111e6d2a8a5f5d6c9da0be
Я думаю, что это Update сохранило старые данные.

Вообщем муж уходя на работу сказал, чтобы я сохранила все нужную информация на CD, а вечером запустим форматирование диска, но я незнаю действительно ли это необходимо, я думаю это крайняя мера.
Что вы думаете?

eglantine добавил(а) [date]1060793341[/date]:
Ребята я - просто пользователь компьютера, не программист и мой муж тоже, поэтому читая сейчас на http://www.livejournal.com/users/olegart/33500.html

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run реестра запись "windows auto update"="msblast.exe".

у меня возник такой вопрос:
Запустила поиск msblast.exe, нет такого. ОК.
А как удалить из ключа, а сначала посмотреть, есть ли такой в наличие HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run реестра запись "windows auto update"="msblast.exe"
Где это искать? Объяните PLS для чайника.

[Ikarus]

Не даите мне ошибиться , знатоки , но насколько я знаю - это "Регистр" . Есть некоторые проги , кот. редактируют регистр , типа Norton System Works .
Если такового нет , то редакция регистра запускается из :
RUN : regedit.exe
Можно использовать также "Register Cleaner" , программка позволяющая в ручную (и авто тоже...) чистить регистр , тока надо осторожно с этим Eglantine !!!

[Eglantine]

Спасибо Икарус, посмотрела, нет у меня этой гадости там!

eglantine добавил(а) [date]1060797532[/date]:
А что если удалить эту новую появившуюся папку на С: 40dc704ed2111e6d2a8a5f5d6c9da0be
Если сейчас все работает, то эти Update сохраненные старые данные может больше не нужны? А то уж очень больно много места занимает эта папка.

eglantine добавил(а) [date]1060797748[/date]:
Знаете только сейчас обратила внимание

Эту заплатку мы и пытаемся установить!!!
Для ХР(англ):
http://download.microsoft.com/downl...980-86-ENU.exe

Но она не устанавливается, я думаю из-за нехватки места 3%?

[snowbird]

[QUOTE]Первоначальное сообщение от eglantine
[B]Спасибо Икарус, посмотрела, нет у меня этой гадости там!

eglantine добавил(а) [date]1060797532[/date]:
А что если удалить эту новую появившуюся папку на С: 40dc704ed2111e6d2a8a5f5d6c9da0be
Если сейчас все работает, то эти Update сохраненные старые данные может больше не нужны? А то уж очень больно много места занимает эта папка.

eglantine добавил(а) [date]1060797748[/date]:
Знаете только сейчас обратила внимание

Эту заплатку мы и пытаемся установить!!!
Для ХР(англ):
http://download.microsoft.com/downl...980-86-ENU.exe

Eglantine, ищи червя ->C:\Windows\System32
(Открой папку Windows, найди папку System32 и
внимательно просмотри файлы, ищи msblast.exe)
Найдёшь-убей!
По реестру- ПУСК->выполнить->regedit
Открой ветку HKLM\Software\Microsoft\Windows\Current Version\Run
Windows autoupdate=msblast.exe I just want to say
love you SAN! bill (удали!)
Антивирус этого червя не обнаруживает, правда
DrWeb, кажется, нашёл управу... Так что всё надо
делать вручную:( Насчёт твоей папки-не знаю,
попробуй сделать точку восстановления, потом
убей её (если всё равно будешь Format C:
ЗЫ: У меня заплатка установилась без проблем:)

snowbird добавил(а) [date]1060809468[/date]:
Эта утилита от "Symantec" способна удалять из
системы червя и устранять последствия его
пребывания:
http://securityresponse.symantec.com...r/FixBlast.exe

[Eglantine]

Искали и этой программкой тоже -
http://securityresponse.symantec.co...er/FixBlast.exe - ничего!
Но сейчас я думаю ничего нет, потому что мы Windows обновили весь.

Ребят, а как закрыть эти самые порты по которым этот вирус приходит?

eglantine добавил(а) [date]1060873562[/date]:
Сейчас пробовала удалить эту самую появившуюся папку на С: 40dc704ed2111e6d2a8a5f5d6c9da0be, не удаляется, начинается все нормально, но буквально через пару секунд окошко удаления просто исчезает, а папка эта на 214MB.

[snowbird]

Цитата:

Первоначальное сообщение от eglantine
Искали и этой программкой тоже -
http://securityresponse.symantec.co...er/FixBlast.exe - ничего!
Но сейчас я думаю ничего нет, потому что мы Windows обновили весь.

Ребят, а как закрыть эти самые порты по которым этот вирус приходит?

eglantine добавил(а) [date]1060873562[/date]:
Сейчас пробовала удалить эту самую появившуюся папку на С: 40dc704ed2111e6d2a8a5f5d6c9da0be, не удаляется, начинается все нормально, но буквально через пару секунд окошко удаления просто исчезает, а папка эта на 214MB.

Попробуй удалить её в Safe Mode, или, если есть
такая прога, Windows Commander( Total Commander).
Как закрыть порты в самой Винде я не в курсе, нужно
поставить защиту, какой нибудь Файрволл и настроить как хочешь. У меня стоит "Касперский антихакер", очень прилично работает. Вот ссылка
на проги:
http://www.hot.ee/avst/soft_safe.html
"Kaspersky AntiHacker"(С ADSL модемом не работает)
"Outpost Firewall" Скриншоты:

[snowbird]

И другой:

[Eglantine]

Попробовала удалить эту папку в Safe Mode, всей папакой не удаляется. Зашла в папку и удалила все файлы из нее, но там есть несколько папок: asms, download, ic, new, update - которые не удаляются, не открываются, при наводе на них курсора выходит надпись, что папка пустая. Вообщем когда пытаюсь открывать эти папки, выходит окошко, что C:\40dc704ed2111e6d2a8a5f5d6c9da0be\asms is not accessible.
Access is denied.
А если пробую удалять, то Cannot delete asms: Access is denied. Make sure the disk is not full or write-protected and that the file is not currently in use.
И место на диске увеличилось всего на 1%, сейчас стало 4%, но вроде больше ничего постороннего нет.

По всем этим пунктам, ничего похожего нет:
Убивание вируса:
1. ОБЯЗАТЕЛЬНО нажми CTRL+SHIFT+ESC, если в списке процессов есть файл msblast.exe, то ЗАВЕРШИ ЕГО!
2. Пуск-выполнить-msconfig-автозагрузка, найди файл msblast.exe и сними с него автозагрузку.
3. В папке \windows\system32 найди этот самый msblast.exe и УБЕЙ ЕГО!

Пыталась снова установить заплатку, но безуспешно, опять ругается: KB823980 Setup Error
Setup could not verify the integrity of the file Update.inf.
Make sure the Cryptographic service is running on this computer.

Может это троян мозги морочит? Вообщем, не так давно Dr.Web обнаружил у меня на компе трояна в двух местах, но лечить не предложил, я все излазила, пыталась найти как вылечить ничего не получилось и я их просто удалила. После этого проверяла Dr. Web неоднократно и Касперским и еще Бог знает чем, ничего не обнаруживалось больше. Незнаю может это все-таки где сидит?
Кошмар какой-то.

[snowbird]

А ты глянула, включён ли у тебя этот Cryptographic
Service? (Пуск-Панель упр.-Администр.-Сервисы)
Я смотрю, твоё мастерство растёт прямо на глазах!
Скоро станешь продвинутым юзером

ЗЫ: А те файлы, что не удаляются, наверное защищены системой, как-то ей используются.

[Eglantine]

В том-то и дело, что включен, но мне в сервисах одна вещь не нравиться, мне кажется ее раньше не было и вообще не должно быть.
Вот:
Name: Error Reporting Service
Description: Allows error reporting for services and applictions running in non-standart environment.
Status: Started
Startup Type: Automatic
Log On As: Local System

[snowbird]

Цитата:

Первоначальное сообщение от eglantine
В том-то и дело, что включен, но мне в сервисах одна вещь не нравиться, мне кажется ее раньше не было и вообще не должно быть.
Вот:
Name: Error Reporting Service
Description: Allows error reporting for services and applictions running in non-standart environment.
Status: Started
Startup Type: Automatic
Log On As: Local System

Чем же он тебе не нравится? Он просто посылает
отчёт об ошибке в Мелкософт У меня он
отключен, чего и тебе советую...