Дорогие специалисты, помогите! Непонятная беда случилась с моей виндой. Совершенно без видимой причины стало возникать следующее сообщение:



После минутного отчета система принудительно перегружается. Срабатывает совершенно от балды - в самый неожиданный момент. Иногда сразу после перезагрузки. У меня стоит ХР English Final Corporate SP1 & SP2. Машина - PIII 450, 192 мб. Подключение кабельное.

Может кто-нибудь встречался с подобным или знает как его лечить?? Буду очень благодарен любой помощи, не хочу сразу винду сносить.

вот пришло сегодня письмо от дяди Билла, как раз по твоей теме

Уменя такаже херня токо сегодня заметил
но в английском не бум-бум
объясните про чё там пишут
Плиз :help:

Еще можно в свойствах сервиса поставить Take No Action в случае сбоя. Тогда хотя бы увидишь как твой Винд крешится. А то сразу ребут...:D

Только что поставил этот апдейт. Приведенное окошко начало появляться недели две назад. Сначала раз. Потом два... сегодня три раза подряд! Я взбесился и поставил апдейт :smoke:
Вот апдейт. Меня в него любезно ткнул vga50 с рувидео

Таже фигня , уже винду собрался переставлять :freak3: :fear2:

2unforgiven:
Ты бы здесь спросил - глядишь и не пришлось бы две недели бутиться. :D:

П.С. У меня в прошлый четверг парочка дебилов на работе поймала троянов, которые как раз долбятся на порт 135 какому-то бедолаге в Штатах. Я тогда домой уйти не мог до 10 вечера - они Чекпойнт повалили своим напором. :wub: :nlo:

А я там не спрашивал, там кто-то спросил и кто-то ответил )))
Я ж не каждый день ребутился. Так, две недели назад было. Потом прошло и я забыл - склероз. А сегодня разозлило - три ребута подряд. И как раз после третьего ребута вижу тему на рувидео и ответ для дэбилов (вроде меня, которые апдейты не делают). Ну, думаю, это судьба! :w00t:

Ну млин, только что зашел на ивритский сайт новостей - а там это первой строкой.
http://www.ynet.co.il/articles/0,7340,L-27...2723755,00.html
Мол сейчас всем такая кака ломится.

:D :p :laugh:

А вот, специалисты, скажите мне не-специалисту в виндах. Почему эта кака решила именно сегодня случиться? И именно у всех?
Какая-то очень хитрая кака, получается :diablo:

Я тоже не спец в виндах. :) Вот что SANS об этом пишет: This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

Просто время пришло для этой каки. А две последние недели они почву прощупывали. Завтра утром почитаю что там за ночь повыпускали всякие там Сансы да Серты по этому поводу. :fear2:

Да КаКа не здоровая !!! :fu: :fear2:
А после патча у когото била ето КаКа?

Блииин...... Еле патч поставил. Винда перезагружалась через минуту после старта, и так каждый раз. Более 20-ти раз перезагрузился пока успел его поставить: на одном заходе на сайт зашёл - урл на десктоп кинул, на втором - скачал, на третьем - шорткат на патч сделал, на остальных - пытался поставить... Вот успел наконец-то, давно так быстро клавишами не клацал..... :w00t:

Вот что значит апдейты забыл после отпуска скачать.

А я ничерта не понял в начале...думал моя проблема, а потом отключил и модем и перезапускаться "перестало". Позвонил в матав, там послали в бэзэк бэйнлеуми, а там послали на майкрософт ком...)

Дык, я прочитал что это за штука уже после того как установил апдейт, и кабель сетевой выдернуть не догадался. Как-то за минуту работы операционки трудно читать что-то в интернете :). Хорошо хоть, что апдейт тот удалось быстро найти. Правда после него с WindowsUpdate ещё 13 критических апдейтов поставил, наклепать успели.

Мне сегодня все мои друзья начали звонить с этой проблемой. Почти все на диал-апе и когда лезут в инет, их начинает долбить и у них эта же проблема случается. Проадэйтили все, вроде все тихо. У самого, сижу через роутер. Бедняга все запросы и срезает :) Мне повезло !

мне блин друг в 2 часа ночи позовоноил я ему сказал видну переставь :) ну зачем он не подождла до утра а?

Понятненько. У меня w2k, перегружаться - не перегружалась, но окошко с "svchost.exe - Ошибка приложения : Инструкция по адресу "0xe06a3a68" обратилась к памяти по адресу "0xe06a3a68". Память не может быть "read"." выскакивало постоянно. Если не закрывать окошко - можно ыбло работать, если закрыть - мышкой иконки переставали перетаскиваться по desktop'у. И действительно как-то было связано с сетью - при отключении сети эта бодяга не выскакивала.

мне все-таки кажется это как-то с мулом связано. на работе ни на одном компе этой проблемы нету

на Win XP Pro без SP1, эта штука установится? Никто не пробовал? А то боязно как-то.....

Вся ента херня происходит от одного маленького ворма который попадает через 115-й и 445-й порты :fu: (порт перезагрузки - 67,68). Симантек сделала ремувал для этого ворма (через два часа после меня :p ). Кроме патча рекомендую врубить файрвол и убрать остатки ворма этой штуковиной.

Люди! Хэлп! А прямой линк под XP Professional Sp1 не дадите?
У меня просто вообще туда не заходит... "Сервер не найден"

Или может по почте кто пошлет?
А то очень нyжно :help:

До этого окна у меня доходит, а вот дальше...когда именно даyнлоад...
Может ты мне на почту пошлешь? (jemmer85@front.ru)
Сколько он там весит?

Спасибки! Буду ждать :wub:
2 forrest
Если не получится, то напиши в ПМ (я тебе адрем ФТП дам) :wub:

Всем привет . :smoke:

Называется это так RPC DCOM Worm Hits the Net.
Работает следующим образом поподая на PC она стартует tftp client переписывает себя с зараженного PCка переписывает msblast.exe и запускает его. Далее стартует Tftp server и начинает перебором просмотреть 135 порт в ближайших диапозонов ip адресов.

запускает он себя сам вот таким ключом
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update

проверить можно нажав 3 кнопки в списке запущеных процессов будет msblast .
:diablo:

microsoft patch

symantec

Прямые ссылки на заплатку.

Русская винда:

http://download.microsoft.com/download/7/0...980-x86-RUS.exe

Английская:

http://download.microsoft.com/download/9/8...980-x86-ENU.exe

Сама сегодня промучилась все утро.
И все произошедшее серьезный стимул к тому, чтобы апдейтиться вовремя. Эх... ;)

И для японской на всякий случай, мне пришлось именно ее искать.

http://download.microsoft.com/download/3/b...980-x86-JPN.exe

Вдруг кто тоже отсюда. :)

2 Forrest
Спасибо! Все получил!
А сколько он ставится? А то он у меня долговато систему проверяет :sick:

а у меня таких проблем не было, думаю стенка защитила

но апдейт, все равно, поставил :))

Я тоже думал что винда глучит. Поставил апдате к XP и глюк изчез :diablo:

файл с .exe твой сервер не принял. Переименовал в rar и отправил. Так что смени расширение :)

2 Jemmer85

сам я не устанавливал, т.к. ХР без SP1. Что-то боязно. Кто-нить устанавливал без SP1? :wub:

2 Forrest
Не бойся только что получил звонок от друга
с этой бедой у него тоже винда без СП
поставил он апдейт и все нормально работает

я уже винду переустановил!

У меня когда то был троян,который вырубал комп человеку таким вот образом,с выводом такой таблички...

Worm.Win32.Blaster.a


Приполз новый червяк
dl // 12.08.03 04:29
Proantivirus Lab сообщает о появлении нового опасного и быстро
распространяющегося (в том числе и по России) червя, использующего недавно
открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через
135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке
системы.
- Наличие в системном реестре ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"windows
auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill




http://www.proantivirus.com/info/1/180_1.html

ЗЫ: http://www.kaspersky.ru/news.html?id=1317864

Нет, не должно. Зайди на сайт Симантека, там есть описание как вычистить это пользуясь ихним ремувером, только обрати внимание на раздел об временной отмене System Restore для Хрю. :)

у кого стоит оутпост - волноваться нечего - стенка хорошо держит эту бяку, про другие знаю ;)

Этот червяк закачивается с и-нета и запускается, да ещё и в автозагрузне прописывается. Мало того, если он запущен, то ни последнии вирус-дифинишены Norton Antivirus через Live Update (поэтому качайте вручную) ни патч через Windows Update загрузить не удаётся (его тоже вручную надо качать).
Когда вчера эта напасть пришла ко мне на комп (а затем и на второй перебросилась), я был так зол, так зол!!!... :fear2: :wacko: :furious:

У меня этой проблемы не было т.к. Windows Update раз в неделю запускаю и патч это ещё недели 2 назад при обновлении установился. К тому же фаервол установлен.
А вот у моего брата была подобная проблема сегодня, у него Windows XP без SP и вобще какх либо обновлений. Как только подключиться к интернету то сразу выскакивает ошибка и виндовс перезагружаеться. Пришлось мне ему через HiperTerminal это патч передавать.

Осторожно с sp1 патчем, если вы его пытаетесь поставить поверх этого патча-заплатки, то этот sp1 у меня возвращал комп в обратное положение, и червь снова оказывался на компе. Рекомендую устанавливать только оффлайн sp1, а потом поверх него новый патч.
А вообще я рад, что это ещё был такой безобидный вирус. Представляете, если бы он данные ещё стирал. Я бы чокнулся. Вообще по моему самая наиогромнейшая дыра за всю историю microsoft, для заражения достаточно быть просто подключённым к инету.
Я где где то пару дней назад два раз получал это сообщение, но не придал этому значения. Вчера меня это просто всбесило, раз 10 перестартовался, никакой инфы не было. Нашёл этот сранный "msblast", закрыл порты на стене и всё врнулось на свои места. Вот хорошо сегодня патч узрел, ух полегчало.
Спасибо народ за полезную инфу.

И у меня эта чуш вчера вылетала........раз 5 :sick: перезагружал комп, потом не выдержал и выставил фаервол в экспишке, а затем настроил ICF, чтоб мулятина работала с хайт-айди..........а вот патч скачал, но решил не ставить почему-то...

Странно, у меня комп вырубался вчера раза три. Апдейт помог. После установки апдейта искал этот мсбласт и в реестре и на дисках, как написано в статье, приведенной heineken man. Не нашел... почему???

Прикол..
Сижу я это все читаю и думаю, почему это мой комп, который в сети 24 часа, работает и даже намека на вирус нету :pig:
Тут значит подруга звонит - блин комп сломался. Когда в инет выхожу 2 минуты и комп выбивает постоянно...
Я чуть со стула не упал. Почему у всех есть а у меня нет ? :punk:
Может с виндой чтото... :laugh:
Я ей беги в магазин за журналом ( с CD ) и посмотри что бы там фаервалл был..
Сам пока потихоньку скачал все 3 патча (рус анг нем) и полез на форум пост писать.. написал две строчки звонит друган - Он успел сказать только - привет у меня ком сломался...Я не выдержал. :laugh: :laugh:
Вот сижу жду его (у него нотбук так ) и жду пока подруга позвонит.. :pig:

Мне в техподдержке посоветовали в опции "Выполнить" поставить shutdown -a
Когда я ее вставил и выполнял во время появления бага, то он исчезал и я мог спокойно заходить на Майкрософт и скачивать патч.Буду рад если это кому то поможет :D

А я не удержался... переустоновил винд, думал в нем проблема... нужно было мне подождать чуток... :laugh:

А вообще никто не в курсе, зачем этот Distributed COM нужен?

Такая же вигня :diablo:
была...

Microsoft Ruuuuuulezzzz :punk:

У меня вообще прикол.
Сижу я тут читаю и думаю давай ка проадэйтим Винду. Залез я к ним на сайт а они говорят что типа у меня не Винда, ну я отрубил файрвол(Sygate) и тогда без проблем зашел к ним и стал устанавливать патч. и под конец (3 минуты до конца) я получил эту самую табличку.

Это типа что бы скачать патч я открылся и получил сам вирус. :lol: :lol: :lol:

Вот почему-то уже никто даже и не возмущается что существует в ОС сервис, который открывает сокет и КОТОРЫЙ НЕЛ"ЗЯ ЗАКРЫТ", даже если он не нужен. В самом деле, если компьютер не учавствует в МС сети, никакой РПС принимающий коннекты не нужен. Но остановить сервис или хотя бы чтобы порт не открывал - фиг. :diablo: Я помню еще в НТ долбались с 135 портом, при подготовке bastion host делается то что называется hardening - т.е. закрываются ненужные сервисы, ставятся апдейты и т.д. Так уже тогда от 135 порта избавиться было почти невозможно. ;)

Это первый раз что я за последне 10 лет заразился вирусом(до этого были только класики типа DirII Stoned1,Stoned2).
Обычно я потешился над вирусами в Линуксе. Вот обломался что сидел в Винде в это время а не в Линуксе, хотя сам виноват поставил много закачек в эмуль и не как не могу дать себе его вырубить(рука не поднимается оборвать :D ).


Может ты и прав вируса я так и не нашел у себя на компе.
Хотя когда поставил новый антивирус он нашел архив(там лежит почта из безопасного источника) с двумя вирусами Trojan.IframeExec и Win32.HLLM.Klez.4.
Может эта тварь мне их посадила или этот безопасный источник(универ) не такой уж и безопасный.

Господа,подскажите как этот порт 135 закрыть! Благодарю заранее

...да уж, весело, ничего не скажешь B) Вообще-то, судя по всему этот патч уже почти как полмесяца лежит у мелкософта... эт я так, к слову :smoke:

А у меня ничего такого не случилось, просто
вовремя качаю все апдейты на ХРюню :diablo:

Господа,подскажите как этот порт 135 закрыть! Благодарю заранее
ну пожалуйста!!!

Есть способ как вылечить ХП
Опробовал на друге вроде получилось. Значит так Помните Виндосовский фаирвол который для ослла-мула выключали? Так вот...

1. Выдергиваем шнур/кабель интернета(модема). Или просто выключаем кнопкой.
2. Поднимаем комп.
3. Идем в START --> My Network Places
4. Там сбоку кликаем на View Network connections.
5. Правой кнопкой кликаем на подсоединение к интернету и выбираем Properties.
6. На закладке Advenced ставим галку в Internet connections firewall.

7. Подсоединяем назад шнур к модему скачиваем апдате с мелкософта.

8. В том же порядке отключаем firewall.

:smoke:

меня как неделю назад раза три отимели этим эксплоитом я сразу заметил статейку на void.ru, и бистреньким шагом побрёл на мелкософт апдейт, где тут же нашёл лекарство от этого эксплоита, обидно другое, что теперь каждый лох недомороченный может атаковать этим эксплоитом, LSD team которые заявили об этой дырке не раскрывали всех подробностей, и видно сразу сообщили мелкомягким о этой уязвимости, а вот китайские крякеры, мать их так, быстренько изложили весь код и все подробности.. компайль и юзай, блин! :fu: :fu:

У меня все работало нормально (Win2000), но, поддавшись общему настроению, я решил установить этот патч. Зашел на www.windowsupdate.com и согласился установить все, что оно мне предложило. Начало оно с патча для IE6, установило, попросило перегрузиться. После перезагрузки появляется сообщение об ошибке svchost и при заходе на windowsupdate.com у меня появляется пустая страничка. Пробовал ходить по другим сайтам - все работает. Перегружал систему, переустанавливал эксплорер, очищал кэш и куки - ничего не помогает. Посмотрел source странички, а там написано, что мой браузер не поддерживает activex штучки. Что делать?

Сам ведь виноват - если работает, не трогай :)

А я регулярно загружаю мелкомягкие апдейты и про всё узнал утром от босса. А потом объяснил его секретутке, что червяк - это такая штука, которая тихо в компе сидит, а ночью прыгает на женщин. Эффект был... :D B)

Ну вот получил по голове от боса. Позвонили с американского офиса я им объяснил как чего сделать. Они чудненько включили стену затем запустили апдате после чего комп попросил рестарт. После рестарта получили NO SYSTEM DISK. OR DISK CORRUPTED. Я им конечно объяснил что я тут типа не причем и все претензии к Биллу. :fu: :fu: Ну а на меня смотрят как на виноватого. :fear2: А в супорт мелкософта они дозвониться не как не могут.

этот Апдэйт можно ставить на взломаный XP?

нужно :)

Ну мой Мул,Аська(передача файлов,Веб кам и микрофон),ФТП, и РАдмин не совсем согласны работать под мелкософтовской стеной.

дык мс стена все запрещает по умолчанию, надо кофигурировать...,
но как говорила одна птичка
"Лучше день потерять, но потом за 5 минут долететь" :D

ещё один способ избавится от неприятного действия эксплоита - поставить например Sygate Firewall и запретить доступ к NT Kernel Services, лично проверял, только так и спасался :)

ЭТО ОЧЕРЕДНОЙ БАГ майкрософта
поставте ФОЕРВОЛ и ЗАПРЕТИТЕ многие вещи :smoke:

В принципе любой нормальный фаервол не должен давать соединяться по 135-му порту. Я для себя сделал единственный вывод из этой эпидемии, хоть она меня и не затронула: нужно ежедневно проверять Windows Update на предмет обновлений системы безопасности :)

Вот тут неплохо написано про это заболевание. Коротко и ясно.

Я примерно неделю назад скачал этот патч с какого то сайта, где предупреждали: "Качайте, пока не поздно!!!"

собственно тупой вопрос: как в Outpost-е закрывать порты? какие то конкретные, например 135, 139

Такой вопрос, может кто знает.
Сможет ли этот червь пробиться в институт, где все компы ходят через прокси имеют локалку и не имеют внешних ip адресов. Причем на сервере, через который расшаривают компы инет, имеет закрытыми большинство портов, включая фтп.

порты для P2P там тоже закрыты
VPN с дома наладить можно

Так если ВПН из дома на работу не фильтруется на стене по 135 порту - то об этом и речь. Поди знай, откуда он адреса для дальнейшей рассадки берет. У Симантека написано что в первую очередь из локалки - но полной уверенности что-то не чувствуется. ;)

:offtopic:
Поздравьте меня - Я ОЖИЛ :akuma: :taz:
Описывать свои переживания и способы не буду т.к. их уже описали те, кто ожил раньше или был в ковчеге.
Ура Майкрософту :gun3: :gun5:

Вот зараза, я патч поставила, думала всё ОК, но решила заглянуть в HKEY_LOCAL_MASHINE, а она там сидит:( Удалила, надеюсь, больше не появится