Начи ,тоя вирос ми рестартва рс-то автоматично ,и не знам как да го махна понеже нортан не мойе го открие ,и ф -прот същои сега незнам какво да прая,ако някои е имал съштия проблем моля да ми помогне!!
П.С. Аз сам ламер о6те такаче ще помоля малко по подробно ..
Предварително благодаря!!!!
Значи от днес и аз имах същия проблем. Мога да ти кажа че последните вирусни дефиниции на НАВ го хващат това говедо а това е линк към сайта на симантек където пише повече за него http://securityresponse.symantec.com...ster.worm.html
АА забравих да ти кажа че има програмка, която го маха пак на същия сайт. Ето ти линк за нея http://securityresponse.symantec.com...r/FixBlast.exe
По дяволите!!! И на мен ми рестартира PC-то да го вземат мътните! Дава ми следното:
This system is shutting down. Please saved all unsaved information. All unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM. Windows must now restart becayse the Remote Call Pocedure (RPC) service terminated unexpectedly.
Май вече се оправиха нещата. Странно защо в нито един от тези сайтове не пише, че червеят води до произволно рестартиране на системата?!
Да има някой заразен, който да използва windows 2003 server ?
Защото пише, че се заразяват само windows 2000 и ХР, а пък есплойта го има и при 2003.
През RUN в msconfig
Там в StartUp се деактивира началното зареждане на msblast.exe
Рестарт на машината.
През RUN в regedit
С Ctrl+F търсим msblast.exe
Намираме го най малко един път, като най - важна е секцията
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Там изтриваме и key name и data съдържащи msblast.exe
Windows Update се казва key name или неща такова.
Логично е да е последния запис в секцията.
Ако го намерим и в друга секция, то ще е в резултат на търсене на файла msblast.exe в експлорер. При мен беше така. Изтриваме и там, ако има такива записи. Това го правим за да можем след това да изтрием самия файл msblast.exe
Той се намира в
Drive letter :\Windows\system32.
Рестарт отново и вече го няма.
Имам обаче лошо предчувствие, че създава следния файл, който съдържа копие на вируса. Така пишат и мъдрите глави.
%sysdir%\msblast.exe
edit /Предчувствието ми се оправда/
Разговорно наименование
Blaster
Техническо наименование
W32/Blaster
Threat Ниво:
Severe
Разновидности, мутации
W32.Blaster.Worm, W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Poza
Тип
Червей
Обсег
Windows NT/2000/XP
Забелязан за пръв път
11 Август 2003 г.
Циркулация в момента
Да
Blaster е вирус, тип червей който инфектира само Windows 2003/XP/2000/NT компютри. Blaster използва експлойта Buffer Overrun in RPC Interface за да зарази възможно най голям брой компютри.
Blaster изпълнява denial of service (DoS) атака срещу windowsupdate.com web страницата. Това става, като Blaster изпраща 40 битови пакети на всеки 20 милисекунди, използвайки порт TCP 80.
Симптоми
=Мрежовия трафик през портове TCP 135, 4444 и UDP 69 се увеличава.
=Атакувания компютър блокира и рестартира, защото в програмния код на червея е допусната нарочно програмна грешка.
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Да има някой заразен, който да използва windows 2003 server ?
Защото пише, че се заразяват само windows 2000 и ХР, а пък есплойта го има и при 2003.
<div align="right">оргинално мнение на Suren</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
Има - сървъра на SetCom.bG [:D]
Отгоре на всичко, ако си с бета няма оправия - само зачистване става, но ъпдейта не се инсталира - можеш да забраниш 3-те порта, по които се атакува, но ще имаш проблем с Remote Desktop... Можеш да кажеш на сървиса да не рестартира компютъра, но това е временно решение..
Абе шибан проблем ако си с бета.
Ако не - няма грижи - маха се лесно.
Мисля, че този патч може да предпази тези които не са заразени
Blaster Worm: Critical Security Patch for Windows XP
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=2354406c-c5b6-44ac-9532-3de40f69c074
Aз имах само W32 worm, това msblast.exe го нямаше при мен :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Оправих нещата с F-Prot за Win []
И аз от вчера имам проблем с него. Да се надяваме, че съм го оправил - пълно сканиране на системата с NAV плюс програмката за отстраняването, а преди това (т.е. вчера) ръчно изтрих всичко, което успях да открия, файлове и записи в регистрито. Нортъна казва, че нямам вируси, ама да видим...
NAV до вчера не знаеше за такъв вирус.
Нямаше го в дефинициите от 11.08.2003 rev. 19
Днес не знам.
Така че Нортъна нищо няма и да ти каже.
Следвай това, което съм написал по горе или си пусни FixBlast.exe ver. 1.0.0.0 от вчера. Той прави същото, които съм написал, само че автоматично.
Спира msblast.exe процеса
Трие msblast.exe от секцията RUN в регистратурата
Изтрива msblast.exe от system32
Изтегли го от тук
http://securityresponse.symantec.com...r/FixBlast.exe
Много е важно да се отбележи, че преди пускането на FixBlast.exe, при XP, SystemRestore трябва да е е изключено.
Right Button върху My Computer, Properties, SystemRestore и там има еднин check box за тая цел. Check-ваш го, съгласяваш се и готово.
След приключване на работа на FixBlast, SystemRestore отново e редно да се включи.
Тогава се инсталира Patch-a на Microsoft за XP или 2000 в зависимост от системата. Той оправя проблема с Remote Procedure Call service, който вируса използва за overrun.
Patch-a се изтегля от тук за Windows XP 32 bit Edition
http://microsoft.com/downloads/detai...displaylang=en
от тук за Windows XP 64 bit Edition
http://microsoft.com/downloads/detai...displaylang=en
от тук за Windows 2000
http://microsoft.com/downloads/detai...displaylang=en
от тук за Windows NT 4.0 Server
http://microsoft.com/downloads/detai...displaylang=en
от тук за Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/detai...displaylang=en
от тук за Windows Server 2003 32 bit Edition
http://microsoft.com/downloads/detai...displaylang=en
от тук за Windows Server 2003 64 bit Edition
http://microsoft.com/downloads/detai...displaylang=en
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">NAV до вчера не знаеше за такъв вирус.
Нямаше го в дефинициите от 11.08.2003 rev. 19
<div align="right">оргинално мнение на Malone</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
Само за това н есъм съгласен.... []
Новини
Форум
Актуално
сървър