|
Printable Version of Topic
Click here to view this topic in its original format |
| Forums > Глюкодром > Помогите! Remote Procedure Call service terminated, Всплывает сообщение и винда ребутится |
| Posted by: Moustique on 05-08-2003, 09:41 |
Дорогие специалисты, помогите! Непонятная беда случилась с моей виндой. Совершенно без видимой причины стало возникать следующее сообщение: После минутного отчета система принудительно перегружается. Срабатывает совершенно от балды - в самый неожиданный момент. Иногда сразу после перезагрузки. У меня стоит ХР English Final Corporate SP1 & SP2. Машина - PIII 450, 192 мб. Подключение кабельное. Может кто-нибудь встречался с подобным или знает как его лечить?? Буду очень благодарен любой помощи, не хочу сразу винду сносить. |
| Posted by: Billy Bonce on 05-08-2003, 13:55 | ||
вот пришло сегодня письмо от дяди Билла, как раз по твоей теме
|
| Posted by: Turist-ru on 11-08-2003, 23:44 |
|
Уменя такаже херня токо сегодня заметил но в английском не бум-бум объясните про чё там пишут Плиз 
|
| Posted by: Billy Bonce on 11-08-2003, 23:53 | ||
в двух словах МС нашли огромную дырищу у себя в осях Microsoft Windows NT® 4.0 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server™ 2003 Поэтому нужно срочно скачать заплатку с http://www.windowsupdate.com (http://www.windowsupdate.com |
| Posted by: heineken man on 11-08-2003, 23:57 |
Еще можно в свойствах сервиса поставить Take No Action в случае сбоя. Тогда хотя бы увидишь как твой Винд крешится. А то сразу ребут...
|
| Posted by: unforgiven on 12-08-2003, 00:01 |
Только что поставил этот апдейт. Приведенное окошко начало появляться недели две назад. Сначала раз. Потом два... сегодня три раза подряд! Я взбесился и поставил апдейт  Вот (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980 апдейт. Меня в него любезно ткнул vga50 с рувидео |
| Posted by: Uzaren on 12-08-2003, 00:05 |
Таже фигня , уже винду собрался переставлять  
|
| Posted by: heineken man on 12-08-2003, 00:09 |
|
2unforgiven: Ты бы здесь спросил - глядишь и не пришлось бы две недели бутиться. :П.С. У меня в прошлый четверг парочка дебилов на работе поймала троянов, которые как раз долбятся на порт 135 какому-то бедолаге в Штатах. Я тогда домой уйти не мог до 10 вечера - они Чекпойнт повалили своим напором.  
|
| Posted by: unforgiven on 12-08-2003, 00:13 |
|
А я там не спрашивал, там кто-то спросил и кто-то ответил ))) Я ж не каждый день ребутился. Так, две недели назад было. Потом прошло и я забыл - склероз. А сегодня разозлило - три ребута подряд. И как раз после третьего ребута вижу тему на рувидео и ответ для дэбилов (вроде меня, которые апдейты не делают). Ну, думаю, это судьба! 
|
| Posted by: heineken man on 12-08-2003, 00:21 |
|
Ну млин, только что зашел на ивритский сайт новостей - а там это первой строкой. http://www.ynet.co.il/articles/0,7340,L-27...2723755,00.html (http://www.ynet.co.il/articles/0,7340,L-2723755,00.html Мол сейчас всем такая кака ломится.  
|
| Posted by: unforgiven on 12-08-2003, 00:46 |
|
А вот, специалисты, скажите мне не-специалисту в виндах. Почему эта кака решила именно сегодня случиться? И именно у всех? Какая-то очень хитрая кака, получается 
|
| Posted by: heineken man on 12-08-2003, 00:56 |
Я тоже не спец в виндах.  Вот что SANS (http://isc.sans.org/diary.html?date=2003-08-11 об этом пишет: This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly. Просто время пришло для этой каки. А две последние недели они почву прощупывали. Завтра утром почитаю что там за ночь повыпускали всякие там Сансы да Серты по этому поводу.
|
| Posted by: Vladik on 12-08-2003, 03:20 |
Да КаКа не здоровая !!!  А после патча у когото била ето КаКа? |
| Posted by: izanoza on 12-08-2003, 04:22 |
|
Блииин...... Еле патч поставил. Винда перезагружалась через минуту после старта, и так каждый раз. Более 20-ти раз перезагрузился пока успел его поставить: на одном заходе на сайт зашёл - урл на десктоп кинул, на втором - скачал, на третьем - шорткат на патч сделал, на остальных - пытался поставить... Вот успел наконец-то, давно так быстро клавишами не клацал..... Вот что значит апдейты забыл после отпуска скачать. |
| Posted by: prohojiy on 12-08-2003, 06:38 |
| А я ничерта не понял в начале...думал моя проблема, а потом отключил и модем и перезапускаться "перестало". Позвонил в матав, там послали в бэзэк бэйнлеуми, а там послали на майкрософт ком...) |
| Posted by: izanoza on 12-08-2003, 06:55 |
|
Дык, я прочитал что это за штука уже после того как установил апдейт, и кабель сетевой выдернуть не догадался. Как-то за минуту работы операционки трудно читать что-то в интернете . Хорошо хоть, что апдейт тот удалось быстро найти. Правда после него с WindowsUpdate ещё 13 критических апдейтов поставил, наклепать успели.
|
| Posted by: SiburNY on 12-08-2003, 07:03 |
|
Мне сегодня все мои друзья начали звонить с этой проблемой. Почти все на диал-апе и когда лезут в инет, их начинает долбить и у них эта же проблема случается. Проадэйтили все, вроде все тихо. У самого, сижу через роутер. Бедняга все запросы и срезает Мне повезло !
|
| Posted by: Stranger on 12-08-2003, 08:01 |
|
мне блин друг в 2 часа ночи позовоноил я ему сказал видну переставь ну зачем он не подождла до утра а?
|
| Posted by: piligrim on 12-08-2003, 10:05 | ||
и у меня вчера тоже самое было. думал из-за мула. уже начал с ним прощаться а после того как поставил в свойствах сервиса Take No Action проблема вообще исчезла
|
| Posted by: willy on 12-08-2003, 10:19 |
|
Понятненько. У меня w2k, перегружаться - не перегружалась, но окошко с "svchost.exe - Ошибка приложения : Инструкция по адресу "0xe06a3a68" обратилась к памяти по адресу "0xe06a3a68". Память не может быть "read"." выскакивало постоянно. Если не закрывать окошко - можно ыбло работать, если закрыть - мышкой иконки переставали перетаскиваться по desktop'у. И действительно как-то было связано с сетью - при отключении сети эта бодяга не выскакивала. |
| Posted by: piligrim on 12-08-2003, 10:30 |
| мне все-таки кажется это как-то с мулом связано. на работе ни на одном компе этой проблемы нету |
| Posted by: elka on 12-08-2003, 10:30 | ||
Все что написал у меня сегодня тоже было и я тоже заметила , что связано напрямую с инетом, без него все нормально  . Но так как я не совсем продвинутый пользователь, ломать дальше голову мне не хотелось ( антивирь Др.Веб ничего не нашел), я просто проинталлировала WinXP снова . Теперь с залаткой, надеюсь больше эта дрянь не пролезет
|
| Posted by: igorek76 on 12-08-2003, 10:35 | ||
Аналогично 
|
| Posted by: Forrest on 12-08-2003, 10:35 |
| на Win XP Pro без SP1, эта штука установится? Никто не пробовал? А то боязно как-то..... |
| Posted by: anatolyArts on 12-08-2003, 10:36 |
|
Вся ента херня происходит от одного маленького ворма который попадает через 115-й и 445-й порты (порт перезагрузки - 67,68). Симантек сделала ремувал для этого ворма (через два часа после меня ). Кроме патча рекомендую врубить файрвол и убрать остатки ворма этой (http://securityresponse.symantec.com/avcenter/FixBlast.exe штуковиной.
|
| Posted by: Jemmer85 on 12-08-2003, 10:41 |
|
Люди! Хэлп! А прямой линк под XP Professional Sp1 не дадите? У меня просто вообще туда не заходит... "Сервер не найден" |
| Posted by: Jemmer85 on 12-08-2003, 10:48 |
|
Или может по почте кто пошлет? А то очень нyжно
|
| Posted by: piligrim on 12-08-2003, 10:58 | ||
Download the 823980 package now. (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980#WinXP |
| Posted by: Jemmer85 on 12-08-2003, 11:10 |
|
До этого окна у меня доходит, а вот дальше...когда именно даyнлоад... Может ты мне на почту пошлешь? (jemmer85@front.ru) Сколько он там весит? |
| Posted by: piligrim on 12-08-2003, 11:17 | ||
у меня тоже самое 
|
| Posted by: Forrest on 12-08-2003, 11:23 | ||
отправляю. весит около 1,2 Мб |
| Posted by: Jemmer85 on 12-08-2003, 11:24 |
|
Спасибки! Буду ждать 2 forrest Если не получится, то напиши в ПМ (я тебе адрем ФТП дам)
|
| Posted by: kost(rus) on 12-08-2003, 11:24 |
|
Всем привет . Называется это так RPC DCOM Worm Hits the Net. Работает следующим образом поподая на PC она стартует tftp client переписывает себя с зараженного PCка переписывает msblast.exe и запускает его. Далее стартует Tftp server и начинает перебором просмотреть 135 порт в ближайших диапозонов ip адресов. запускает он себя сам вот таким ключом SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update проверить можно нажав 3 кнопки в списке запущеных процессов будет msblast . microsoft patch (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980#Win2000 symantec (https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf |
| Posted by: Dimych on 12-08-2003, 11:25 | ||
если английская ХР или корпорейт эдишин,могу выслать весит 1.2 метра |
| Posted by: Aist on 12-08-2003, 11:33 |
|
Прямые ссылки на заплатку. Русская винда: http://download.microsoft.com/download/7/0...980-x86-RUS.exe (http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe Английская: http://download.microsoft.com/download/9/8...980-x86-ENU.exe (http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe Сама сегодня промучилась все утро. И все произошедшее серьезный стимул к тому, чтобы апдейтиться вовремя. Эх... И для японской на всякий случай, мне пришлось именно ее искать. http://download.microsoft.com/download/3/b...980-x86-JPN.exe (http://download.microsoft.com/download/3/b/7/3b70e075-0abc-4013-8a2f-6d251a6d232d/WindowsXP-KB823980-x86-JPN.exe Вдруг кто тоже отсюда.
|
| Posted by: Jemmer85 on 12-08-2003, 11:35 |
|
2 Forrest Спасибо! Все получил! А сколько он ставится? А то он у меня долговато систему проверяет
|
| Posted by: Dimych on 12-08-2003, 11:38 |
|
а у меня таких проблем не было, думаю стенка защитила но апдейт, все равно, поставил )
|
| Posted by: Vlad_il on 12-08-2003, 11:39 |
|
Я тоже думал что винда глучит. Поставил апдате к XP и глюк изчез
|
| Posted by: Forrest on 12-08-2003, 11:40 |
|
файл с .exe твой сервер не принял. Переименовал в rar и отправил. Так что смени расширение
|
| Posted by: Forrest on 12-08-2003, 11:44 |
|
2 Jemmer85 сам я не устанавливал, т.к. ХР без SP1. Что-то боязно. Кто-нить устанавливал без SP1?
|
| Posted by: Dimych on 12-08-2003, 11:59 | ||
тут внизу (http://www.livejournal.com/users/olegart/33500.html народ писал про ХР без сп1 и про какой-то сервис reset5 |
| Posted by: Checker on 12-08-2003, 11:59 |
|
2 Forrest Не бойся только что получил звонок от друга с этой бедой у него тоже винда без СП поставил он апдейт и все нормально работает |
| Posted by: elka on 12-08-2003, 12:01 | ||
Чтобы оключить перезагрузку компьтера в случае сбоя надо : Control Panel> Administrative Tools> Services из списка выбрать Remote Procedure Call (RPC) правый клик мыши Properties>Recovery Restart the Computer заменить на Take no Action. Или для Restart the Computer заменить время на более длительное ( по умолчанию стоит 1 мин) . После отключения перезагрузки можно не один патч установить .
|
| Posted by: Izzard on 12-08-2003, 12:28 |
| я уже винду переустановил! |
| Posted by: Babun on 12-08-2003, 12:36 |
| У меня когда то был троян,который вырубал комп человеку таким вот образом,с выводом такой таблички... |
| Posted by: Uzaren on 12-08-2003, 12:50 | ||
Что то я не понял, после патча в процесах бежит msblast, это так и должно быть? |
| Posted by: micha on 12-08-2003, 12:51 |
|
Worm.Win32.Blaster.a Приполз новый червяк dl // 12.08.03 04:29 Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System. Признаки заражения: - Наличие файла msblast.exe в каталоге %WinDir%\system32. - Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. - Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill http://www.proantivirus.com/info/1/180_1.html (http://www.proantivirus.com/info/1/180_1.html ЗЫ: http://www.kaspersky.ru/news.html?id=1317864 (http://www.kaspersky.ru/news.html?id=1317864 |
| Posted by: heineken man on 12-08-2003, 12:53 |
|
Нет, не должно. Зайди на сайт Симантека, там есть описание как вычистить это пользуясь ихним ремувером, только обрати внимание на раздел об временной отмене System Restore для Хрю.
|
| Posted by: mOOrmaN on 12-08-2003, 12:56 | ||||
Вот именно. А у меня БЕз патча мсбласта в процессах нет и поиском он не находится. А винда трижды ребутнулась. 3агадка
|
| Posted by: micha on 12-08-2003, 13:04 | ||||||
покопайся как следует... у Silenser -а тоже не сразу находился ни файл, ни приложение ... |
| Posted by: RussoBalt on 12-08-2003, 13:25 |
|
у кого стоит оутпост - волноваться нечего - стенка хорошо держит эту бяку, про другие знаю
|
| Posted by: SecTa on 12-08-2003, 13:26 |
|
Этот червяк закачивается с и-нета и запускается, да ещё и в автозагрузне прописывается. Мало того, если он запущен, то ни последнии вирус-дифинишены Norton Antivirus через Live Update (поэтому качайте (http://securityresponse.symantec.com/avcenter/refa.html#iudefs вручную) ни патч через Windows Update загрузить не удаётся (его тоже вручную надо качать). Когда вчера эта напасть пришла ко мне на комп (а затем и на второй перебросилась), я был так зол, так зол!!!...  
|
| Posted by: Andrey23 on 12-08-2003, 13:31 |
|
У меня этой проблемы не было т.к. Windows Update раз в неделю запускаю и патч это ещё недели 2 назад при обновлении установился. К тому же фаервол установлен. А вот у моего брата была подобная проблема сегодня, у него Windows XP без SP и вобще какх либо обновлений. Как только подключиться к интернету то сразу выскакивает ошибка и виндовс перезагружаеться. Пришлось мне ему через HiperTerminal это патч передавать. |
| Posted by: Keygeneral on 12-08-2003, 13:53 |
|
Осторожно с sp1 патчем, если вы его пытаетесь поставить поверх этого патча-заплатки, то этот sp1 у меня возвращал комп в обратное положение, и червь снова оказывался на компе. Рекомендую устанавливать только оффлайн sp1, а потом поверх него новый патч. А вообще я рад, что это ещё был такой безобидный вирус. Представляете, если бы он данные ещё стирал. Я бы чокнулся. Вообще по моему самая наиогромнейшая дыра за всю историю microsoft, для заражения достаточно быть просто подключённым к инету. Я где где то пару дней назад два раз получал это сообщение, но не придал этому значения. Вчера меня это просто всбесило, раз 10 перестартовался, никакой инфы не было. Нашёл этот сранный "msblast", закрыл порты на стене и всё врнулось на свои места. Вот хорошо сегодня патч узрел, ух полегчало. Спасибо народ за полезную инфу. |
| Posted by: Dmitrius Gods on 12-08-2003, 13:56 |
|
И у меня эта чуш вчера вылетала........раз 5 перезагружал комп, потом не выдержал и выставил фаервол в экспишке, а затем настроил ICF, чтоб мулятина работала с хайт-айди..........а вот патч скачал, но решил не ставить почему-то... |
| Posted by: unforgiven on 12-08-2003, 14:50 |
| Странно, у меня комп вырубался вчера раза три. Апдейт помог. После установки апдейта искал этот мсбласт и в реестре и на дисках, как написано в статье, приведенной heineken man. Не нашел... почему??? |
| Posted by: heineken man on 12-08-2003, 15:10 | ||
Комп ребутится судя по всему когда ему пытаются "подсадить" червя и RPC сервис валится. Это пока еще не факт что червяк влез, только индикация попытки remote buffer overflow. Если червяк подцеплен, то в принципе ожидаются всякие приятные сюрпризы типа рассылки червя другим или участие в DDOS атаке на майкрософтовский апдейтный сервер 16-го числа этого месяца и прочие прелести. Проверить можно симантековской тулзой или любым антивирусом, сейчас они все громко кричат что знают как бороться (ха-ха-ха). А еще лучше ручками поискать тот ключь в регистре заодно с файлом msblast.exe |
| Posted by: Meithar on 12-08-2003, 15:19 | ||
Интересно, как можно провести DDOS атаку, если комп толком не работает или вообще постоянно ребутится?
|
| Posted by: Moesy on 12-08-2003, 15:20 |
|
Прикол.. Сижу я это все читаю и думаю, почему это мой комп, который в сети 24 часа, работает и даже намека на вирус нету  Тут значит подруга звонит - блин комп сломался. Когда в инет выхожу 2 минуты и комп выбивает постоянно... Я чуть со стула не упал. Почему у всех есть а у меня нет ?  Может с виндой чтото... Я ей беги в магазин за журналом ( с CD ) и посмотри что бы там фаервалл был.. Сам пока потихоньку скачал все 3 патча (рус анг нем) и полез на форум пост писать.. написал две строчки звонит друган - Он успел сказать только - привет у меня ком сломался...Я не выдержал. Вот сижу жду его (у него нотбук так ) и жду пока подруга позвонит.. |
| Posted by: rabindranat on 12-08-2003, 15:28 |
|
Мне в техподдержке посоветовали в опции "Выполнить" поставить shutdown -a Когда я ее вставил и выполнял во время появления бага, то он исчезал и я мог спокойно заходить на Майкрософт и скачивать патч.Буду рад если это кому то поможет
|
| Posted by: -=-GameR-=- on 12-08-2003, 15:31 |
|
А я не удержался... переустоновил винд, думал в нем проблема... нужно было мне подождать чуток...
|
| Posted by: Keygeneral on 12-08-2003, 15:39 |
| А вообще никто не в курсе, зачем этот Distributed COM нужен? |
| Posted by: unforgiven on 12-08-2003, 15:42 | ||
Именно это я и делал И не нашел ничего.Значит червячок ко мне не влез. Только пробовал. С установленным апдейтом мне теперь ничего уже не страшно? да?
|
| Posted by: Newdjeen on 12-08-2003, 15:48 |
|
Такая же вигня была... Microsoft Ruuuuuulezzzz
|
| Posted by: tautau on 12-08-2003, 15:58 |
|
У меня вообще прикол. Сижу я тут читаю и думаю давай ка проадэйтим Винду. Залез я к ним на сайт а они говорят что типа у меня не Винда, ну я отрубил файрвол(Sygate) и тогда без проблем зашел к ним и стал устанавливать патч. и под конец (3 минуты до конца) я получил эту самую табличку. Это типа что бы скачать патч я открылся и получил сам вирус. 
|
| Posted by: heineken man on 12-08-2003, 16:04 |
|
Вот почему-то уже никто даже и не возмущается что существует в ОС сервис, который открывает сокет и КОТОРЫЙ НЕЛ"ЗЯ ЗАКРЫТ", даже если он не нужен. В самом деле, если компьютер не учавствует в МС сети, никакой РПС принимающий коннекты не нужен. Но остановить сервис или хотя бы чтобы порт не открывал - фиг. Я помню еще в НТ долбались с 135 портом, при подготовке bastion host делается то что называется hardening - т.е. закрываются ненужные сервисы, ставятся апдейты и т.д. Так уже тогда от 135 порта избавиться было почти невозможно. |
| Posted by: Vlad_il on 12-08-2003, 16:17 | ||
Я так понял что компютеры глушит не вирус седящий у тебя а вирус сидящий у твоих соседей. А тот который сел к тебе глушит их. Поэтому если снести вирус который седит у тебя то это поможет мне. Или я чего не понял.Мда досталось сегодня мелкософту. Плюс их на суде сегодня вздули на 500 000 000 $ за то что идею IE сперли.
|
| Posted by: tautau on 12-08-2003, 16:20 |
|
Это первый раз что я за последне 10 лет заразился вирусом(до этого были только класики типа DirII Stoned1,Stoned2). Обычно я потешился над вирусами в Линуксе. Вот обломался что сидел в Винде в это время а не в Линуксе, хотя сам виноват поставил много закачек в эмуль и не как не могу дать себе его вырубить(рука не поднимается оборвать ).Может ты и прав вируса я так и не нашел у себя на компе. Хотя когда поставил новый антивирус он нашел архив(там лежит почта из безопасного источника) с двумя вирусами Trojan.IframeExec и Win32.HLLM.Klez.4. Может эта тварь мне их посадила или этот безопасный источник(универ) не такой уж и безопасный. |
| Posted by: Romarius on 12-08-2003, 16:20 |
| Господа,подскажите как этот порт 135 закрыть! Благодарю заранее |
| Posted by: none513 on 12-08-2003, 16:28 |
...да уж, весело, ничего не скажешь  Вообще-то, судя по всему этот патч уже почти как полмесяца лежит у мелкософта... эт я так, к слову
|
| Posted by: Doom on 12-08-2003, 16:28 |
|
А у меня ничего такого не случилось, просто вовремя качаю все апдейты на ХРюню
|
| Posted by: Romarius on 12-08-2003, 16:32 |
|
Господа,подскажите как этот порт 135 закрыть! Благодарю заранее ну пожалуйста!!! |
| Posted by: Vlad_il on 12-08-2003, 16:54 |
|
Есть способ как вылечить ХП Опробовал на друге вроде получилось. Значит так Помните Виндосовский фаирвол который для ослла-мула выключали? Так вот... 1. Выдергиваем шнур/кабель интернета(модема). Или просто выключаем кнопкой. 2. Поднимаем комп. 3. Идем в START --> My Network Places 4. Там сбоку кликаем на View Network connections. 5. Правой кнопкой кликаем на подсоединение к интернету и выбираем Properties. 6. На закладке Advenced ставим галку в Internet connections firewall. 7. Подсоединяем назад шнур к модему скачиваем апдате с мелкософта. 8. В том же порядке отключаем firewall.
|
| Posted by: Billy Bonce on 12-08-2003, 17:04 | ||
Напомнило , старую памятку в автобусе "Выдерни шнур, выдави стекло" Кстати зачем фаервол выключать, уж лучше мелкомягкий пусть будет, чем никакого... |
| Posted by: Vlad_il on 12-08-2003, 17:13 | ||||
Ну мой Мул,Аська(передача файлов,Веб кам и микрофон),ФТП, и РАдмин не совсем согласны работать под мелкософтовской стеной. |
| Posted by: denisking on 12-08-2003, 17:23 | ||||
этот Апдэйт можно ставить на взломаный XP? |
| Posted by: Koldun X909 on 12-08-2003, 17:24 |
|
меня как неделю назад раза три отимели этим эксплоитом я сразу заметил статейку на void.ru, и бистреньким шагом побрёл на мелкософт апдейт, где тут же нашёл лекарство от этого эксплоита, обидно другое, что теперь каждый лох недомороченный может атаковать этим эксплоитом, LSD team которые заявили об этой дырке не раскрывали всех подробностей, и видно сразу сообщили мелкомягким о этой уязвимости, а вот китайские крякеры, мать их так, быстренько изложили весь код и все подробности.. компайль и юзай, блин!
|
| Posted by: inzerus on 12-08-2003, 17:30 |
|
У меня все работало нормально (Win2000), но, поддавшись общему настроению, я решил установить этот патч. Зашел на www.windowsupdate.com и согласился установить все, что оно мне предложило. Начало оно с патча для IE6, установило, попросило перегрузиться. После перезагрузки появляется сообщение об ошибке svchost и при заходе на windowsupdate.com у меня появляется пустая страничка. Пробовал ходить по другим сайтам - все работает. Перегружал систему, переустанавливал эксплорер, очищал кэш и куки - ничего не помогает. Посмотрел source странички, а там написано, что мой браузер не поддерживает activex штучки. Что делать? Сам ведь виноват - если работает, не трогай
|
| Posted by: Vlad_il on 12-08-2003, 17:38 | ||
А я последнею неделю в инет вообще не лазил. Полный завал на работе да и проект тестим на подсети и по этому от интернета был оторван. Вчера включил дома комп давай новый рип дивииксить а тут ресет на ресете проапдайтил винду и антивирус и без никаких подозрений докончил начатое. Только сегодня на форуме узнал что это вирус балуется. |
| Posted by: Koldun X909 on 12-08-2003, 17:43 | ||
патч для Win2k (http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe |
| Posted by: lrey on 12-08-2003, 17:44 |
|
А я регулярно загружаю мелкомягкие апдейты и про всё узнал утром от босса. А потом объяснил его секретутке, что червяк - это такая штука, которая тихо в компе сидит, а ночью прыгает на женщин. Эффект был...
|
| Posted by: heineken man on 12-08-2003, 17:48 | ||
Думаю что это произошло из-за ребута - апдейт тут не причем. Надо бы все же патч поставить (автоматом оно судя по всему до него просто не дошло, поставило только самый первый фикс для ИЕ). И потом вычистить гада имеющимися средствами.
|
| Posted by: Vlad_il on 12-08-2003, 18:36 |
|
Ну вот получил по голове от боса. Позвонили с американского офиса я им объяснил как чего сделать. Они чудненько включили стену затем запустили апдате после чего комп попросил рестарт. После рестарта получили NO SYSTEM DISK. OR DISK CORRUPTED. Я им конечно объяснил что я тут типа не причем и все претензии к Биллу. Ну а на меня смотрят как на виноватого. А в супорт мелкософта они дозвониться не как не могут.
|
| Posted by: Billy Bonce on 12-08-2003, 18:41 |
|
этот Апдэйт можно ставить на взломаный XP? нужно Ну мой Мул,Аська(передача файлов,Веб кам и микрофон),ФТП, и РАдмин не совсем согласны работать под мелкософтовской стеной. дык мс стена все запрещает по умолчанию, надо кофигурировать..., но как говорила одна птичка "Лучше день потерять, но потом за 5 минут долететь"
|
| Posted by: Portvein on 12-08-2003, 18:54 | ||
А у меня всё чудесно работает. Как настроить ХР-шный firewall для Мула, по шагам расписано тут: http://www.emule-project.net/faq/icf.htm (http://www.emule-project.net/faq/icf.htm Ну и остальное - по аналогии.. |
| Posted by: Koldun X909 on 12-08-2003, 18:56 |
|
ещё один способ избавится от неприятного действия эксплоита - поставить например Sygate Firewall и запретить доступ к NT Kernel Services, лично проверял, только так и спасался
|
| Posted by: ANTIBIOTIC on 12-08-2003, 19:05 |
|
ЭТО ОЧЕРЕДНОЙ БАГ майкрософта поставте ФОЕРВОЛ и ЗАПРЕТИТЕ многие вещи
|
| Posted by: Andrey23 on 12-08-2003, 19:10 |
|
В принципе любой нормальный фаервол не должен давать соединяться по 135-му порту. Я для себя сделал единственный вывод из этой эпидемии, хоть она меня и не затронула: нужно ежедневно проверять Windows Update на предмет обновлений системы безопасности
|
| Posted by: ANTIBIOTIC on 12-08-2003, 19:12 | ||
prohojiy скажи БОЛЬШОЕ СПАСИБО , что ТЕБЯ не послали на ЗАЙН или в НАРТИК Ну а если серьёзно , то это ОЧЕРЕДНОЙ БАГ майкрософта поставте ФАРЭВОЛ и ЗАПРЕТИТЕ многие вещи
|
| Posted by: Portvein on 12-08-2003, 19:15 |
| Вот тут (http://www.livejournal.com/users/olegart/33500.html неплохо написано про это заболевание. Коротко и ясно. |
| Posted by: na_marse on 12-08-2003, 21:41 |
| Я примерно неделю назад скачал этот патч с какого то сайта, где предупреждали: "Качайте, пока не поздно!!!" |
| Posted by: Koldun X909 on 12-08-2003, 21:56 |
| собственно тупой вопрос: как в Outpost-е закрывать порты? какие то конкретные, например 135, 139 |
| Posted by: Tarakan on 12-08-2003, 22:25 |
|
Такой вопрос, может кто знает. Сможет ли этот червь пробиться в институт, где все компы ходят через прокси имеют локалку и не имеют внешних ip адресов. Причем на сервере, через который расшаривают компы инет, имеет закрытыми большинство портов, включая фтп. |
| Posted by: heineken man on 12-08-2003, 22:34 | ||
Ответ в лоб: может. Но вряд ли через стену/прокси. Вот на что следует обратить внимание: Юзеры из дому работают ? RAS ? VPN на другие отделения существуют ? Пойнт-ту-Пойнт линии туда же ? Можно и дальше копать в данном направлении. |
| Posted by: Tarakan on 12-08-2003, 22:51 |
|
порты для P2P там тоже закрыты VPN с дома наладить можно |
| Posted by: heineken man on 12-08-2003, 23:22 |
|
Так если ВПН из дома на работу не фильтруется на стене по 135 порту - то об этом и речь. Поди знай, откуда он адреса для дальнейшей рассадки берет. У Симантека написано что в первую очередь из локалки - но полной уверенности что-то не чувствуется.
|
| Posted by: aig on 13-08-2003, 00:01 | ||
Параметры->Системные->Параметры->Добавить отметить v в Где протокол -> нажать на Не определено-> выбрать TCP отметить v в Где локальный(удалённый) порт -> выбрать порт отметить v в Блокировать эти данные всё
|
| Posted by: aig on 13-08-2003, 00:05 | ||||
Ну это поправимо... Проверь в Tools->Internet Options-> Security - там можно разрешить
|
| Posted by: DJ Dam on 13-08-2003, 00:13 |
 Поздравьте меня - Я ОЖИЛ   Описывать свои переживания и способы не буду т.к. их уже описали те, кто ожил раньше или был в ковчеге. Ура Майкрософту  
|
| Posted by: worona on 13-08-2003, 06:00 |
| Вот зараза, я патч поставила, думала всё ОК, но решила заглянуть в HKEY_LOCAL_MASHINE, а она там сидит:( Удалила, надеюсь, больше не появится |
| Posted by: Uzaren on 13-08-2003, 08:23 |
А мне тут сказали, что после этой дряни перестал загружаться таск менеджер, тулза с симантека всё почистила, пач поставлен, а он не грузиться  Хотя есть у меня попдозрение, что там сервис отключён, но утверждают, что ещё 2 дня назад всё работало 
|
| Posted by: ShopRu on 13-08-2003, 09:16 |
| Подробная информация на немецком -> http://pcwelt.de/news/viren_bugs/33154/ (http://pcwelt.de/news/viren_bugs/33154/ |
| Posted by: vlad_pt on 13-08-2003, 10:51 |
|
Господа, к слову о патчах м апгрейдах: а что с СП 1 для ХП Про, которую многие удачно поимели через Мула? Он начинает с проверки системы и заканчивает сообщением, в котором посылает в анти-пираси тим мягкосовта... Он не особо как нужен? Или уже есть вылеченный от жадности МС? |
| Posted by: shnatasha on 13-08-2003, 12:01 |
| ПОМОГИТЕ!У меня не докачивает один килобайт этого патча с майкрософта я не знаю что делать! |
| Posted by: jekaaa on 13-08-2003, 19:36 |
| отключается это так!!! заходишь в пуск выполнить и пишешь shutdown -a это пашет естественно до следующей загрузки винда!! потом обратно писать надо вот так я и успел патч посавить не торопясь! |
| Posted by: darik 1 on 13-08-2003, 22:14 |
|
а как вылечиться если перезагрузка происходит после экрана приветствия?????пач то я качнул с другого компа а вот как его воткнуть?! максимум что могу запустить это BIOS....... хелп ми, плииииииииз!!!!!!!
|
| Posted by: serzik on 14-08-2003, 00:04 |
|
А у меня во чо случилось: значит антивирус AntiVir Guard/XP (200+NT) находил этот вирус , но сразуже после находки запускался вирус на перезагрузку компа . После долгих мучений я скачал патч и установил его, а теперь мой ослик качает на половину канала , что делать ? может кто подскажет ? плизззззззззззззззззззз .
|
| Posted by: Koldun X909 on 14-08-2003, 02:21 | ||
а ты не слышал о такой страшной, загадочной и никому не известной штуке как MS DOS?
|
| Posted by: darik 1 on 14-08-2003, 12:40 |
|
слышал...но я жуткий ламер и никогда не работал с ним... как он запускается?...
|
| Posted by: piligrim on 14-08-2003, 18:57 | ||
что интересно ни одного из признаков у меня не обнаружилось хотя комп делал рестар как и у всех
|
| Posted by: SecTa on 14-08-2003, 19:07 | ||
Ага! А я ведь предупреждал! А ты - фаервол, фаервол... |
| Posted by: piligrim on 14-08-2003, 20:16 | ||||
файервол на работе а я написал про домашний комп
|
| Posted by: tautau on 14-08-2003, 20:26 |
|
Я так понимаю(кажется что здесь кто то об этом написал) что вирус не перезагружает твой комп. Твой комп перезагружается под воздействием чужого зараженого компа. |
| Posted by: Koldun X909 on 14-08-2003, 21:36 | ||
насколько я знаю, действия червя просты: он создаёт переполнение буфера в RPC, путём отсылки некого пакета на 135-ый порт, при удачной атаке он подключается к 65-му порты и запускает tftp.exe тем самым копируя себя на комп жертвы, но червь то не просто ради прикола сделан, дальше он тебя локально атакует, от нефиг делать |
| Posted by: tautau on 14-08-2003, 21:41 |
|
Ну мой комп один раз перезагрузился. Но ни до этого ни после этого вируса на компе не было. Да и комп у людей вырубается(даже если есть вирус на компе) только в инете, тоесть не сам вирус перезагружает комп а чужая машина зараженая этим вирусом. |
| Posted by: Koldun X909 on 14-08-2003, 21:42 |
|
кстати, есть ещё один способ, для тех кого задолбали перезапуски: Control Panel -> Administrative Tools -> Services найти там Remote Procedure Call(RPC), правой кнопкой на него, зайти в Properties там в закладку Recovery и выставить там: First failure: Take No Action Second failure: Take No Action SubSequent failures: Take No Action но за последствия я не отвечаю, так что ко мне без претензий, хотите, могёте протестить
|
| Posted by: Andrey23 on 15-08-2003, 10:47 |
| Кстати вирус этот долбаный, всётаки вроде добился своей цели, положил сайт Windows Update. У меня по крайней мере этот сайт не грузиться, а у вас как? |
| Posted by: vlad_pt on 15-08-2003, 12:05 | ||
Ты прав!!!
|
| Posted by: Steyr on 15-08-2003, 13:40 |
|
Windows Update Error Windows Update has encountered an error and cannot display the requested page. Network problems are preventing connection to the Windows Update servers. Please try again later. If you continue to see this error, contact your network administrator. А я вот в логах ХРшного файрвола покопался... Вот это, то что я думаю??? #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info 2003-08-13 10:41:06 DROP TCP 211.230.137.211 213.130.14.150 2748 135 48 S 738701670 0 16384 - - - 2003-08-13 10:41:08 DROP TCP 219.241.225.173 213.130.14.150 1603 135 48 S 1777492429 0 64240 - - - Хы-гы... такого добра там просто россыпью
|
| Posted by: hyomer on 15-08-2003, 14:27 |
|
У меня на работе сервак на Windows 2003 Server и сетка из машин на XP и win2k потсрадали. И даже файрвол и семантек антивирус корпорэйт едишин не помогли, так как одна из машин (босса) имела свой отдельный диалап. Ну а там дело быстро пошло, синхронно с серваком сразу машин 6-7 перегружались, пока в сервисах у RPC не указал restart service. Так и не сразу понял что вирусняга. Хорошо босс (он киприот) где-то в кипрских новостях прочитал про этого зверя, посмотрели - все признаки на лицо. Пришлось качать патчи с майкрософта на Win XP PRO RUS, Win XP PRO ENG, Win 2000Pro RUS, Win 2000Pro ENG, Win 2003 Server ENG, так как все есть в наличии, апдейт на антивирус и фикс против вируса от семантека. Без гемороя не обошлось. 
|
| Posted by: AmnoN on 16-08-2003, 00:43 | ||
Гы гы гы.. и точно
|
| Posted by: Andrey23 on 16-08-2003, 09:58 | ||||
А сегодня уже работает Windows Update. Так-что ещё неизесто из-за чего он вчера не работал. Может вовсе и не из-за вируса. |
| Posted by: Koldun X909 on 16-08-2003, 14:05 |
у меня тупой вопрос к вам: как может сервак мелкомягких не работать из за червя, который использует эксплоит, который в свою очередь использует дырку, на которую сами мелкомягкие написали заплатку как минимум недели две назад, а?  они конечно дырки делать в системах умеют, но они ж не полные дЭбилы что б заплатки на свои серванты не поставить!
|
| Posted by: Billy Bonce on 16-08-2003, 14:34 | ||
Червь ДОС-ит Windows Update с зараженных компьютеров |
| Posted by: VxWorks on 16-08-2003, 14:51 |
|
Через железный файрвол в рутере эта штука у меня не пролезла (Thanks God!). А может, это потому, что у меня Винда сама себе апдейт делает?
|
| Posted by: Koldun X909 on 16-08-2003, 16:16 | ||||
это ты откуда такие сведенья взял??? весь червь 11 кило весит и это с тем что туда эксплоит встроен, откуда там место для DoS flooder-а?? |
| Posted by: Billy Bonce on 16-08-2003, 16:33 | ||||||||||||||||||||||||
© Invision Power Services (http://www.invisionpower.com) |
