Почему NT AUTHORITY\SYSTEM shuts down XP?

KRoman5 · Post by **KRoman5** » 02 Dec 2003 08:49

Обьясните, кто может, а что это такое- NT AUTHORITY\SYSTEM?
Она упoрно выключает только что купленный laptop Sony во время пользовния местной фри internet company NOCHARGE, на 5 минуте. Постaвил national NETZERO, нет никаких проблем. Отдал после настройки Sony владельцу , а легкое недоумение осталось. Только что подключил знакомому нoвенькую Тошибу к NOCHARGE, не было никаких проблем.
Просветите. Photo is in attachment. Спасибо.

AIDS · Post by **AIDS** » 02 Dec 2003 10:45

MS Blast?

http://www.microsoft.com/security/security_bulletins/ms03-026.asp
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

KRoman5 · Post by **KRoman5** » 02 Dec 2003 19:47

Вирус не смог попасть. Софт был проверенный на многих компах. Тем более, что на Тошибе - никаких проблем, хотя там стоит Нортон Антивирус, а у соньки Макафи. Может дело в этом.
Сaмое интересное, что Сони после этого форсед ребоот пришлось обьменять на такую же. Она не смогла сделать ребут, а зависла на черном экране, ничего не помогло. А рековери диск у них нужо было самому записать. Вторая Сони прошла ребут нормально, но я убрал Nocharge и поставил NetZero тогда.

PavelM · Post by **PavelM** » 03 Dec 2003 06:08

Похоже на бластер или что-то подобное, оно же по сети перебегает от компа к компу, качество софта тут не причем. А может Вас эксплойтами по сети щупают. Если это XP, для начала Вам надо зайти в свойства сетевого соединения и поставить галочку "включить файервол", если не хр да и вообще на будующее поставьте себе персональный файервол.

KRoman5 · Post by **KRoman5** » 05 Dec 2003 11:32

Огромное спасибо вам, нашел по наводке в регистре и удалил MSBLAST.EXE.
AIDS http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
PavelM "включить файервол"

tchicago · Post by **tchicago** » 05 Dec 2003 21:13

Это msblast, или ему подобный. Живет он на компах других юзеров и постоянно прощупывают ip адреса. То что вы видите - попытка заразить ваш комп (валится rpcss.exe) Лечение - включить в новоинсталлированной xp firewall до первого подключения к интернету, и подключившись, первым делом пойти на windowsupdate.microsoft.com и установить все critical updates.

Антивирус тут непричем, поскольку он скорей всего не защищает от сетевых атак, а только следит за тем, что делается в файловой системе.

Та тошиба (если на ней такого эффекта не наблюдалось) просто видать имела уже некоторые critical updates.

KRoman5 · Post by **KRoman5** » 05 Dec 2003 21:37

[quote="tchicago"]Это msblast, или ему подобный. Живет он на компах других юзеров и постоянно прощупывают ip адреса. То что вы видите - попытка заразить ваш комп (валится rpcss.exe) Лечение - включить в новоинсталлированной xp firewall до первого подключения к интернету, и подключившись, первым делом пойти на windowsupdate.microsoft.com и установить все critical updates.

Антивирус тут непричем, поскольку он скорей всего не защищает от сетевых атак, а только следит за тем, что делается в файловой системе.
Та тошиба (если на ней такого эффекта не наблюдалось) просто видать имела уже некоторые critical updates.[/quote]
Да, я не включил и попался.
"Антивирус тут непричем, поскольку он скорей всего не защищает от сетевых атак, а только следит за тем, что делается в файловой системе."
Понимаю, так невозможно было сделать сканированние без активации. Нортон еще до такого издевательстав не додумался.
Это правильно, не было тех пачей для ХП. Но этот вирус-червяк появился летом и я удивляюсь, что новый лептоп их не имел. Хотя, может быть он старее вируса, я уже отдал его и не помню дату выпуска.
Ну это уже для Анти-Рекламы. Купил в Серкат Сити. За почти $2000. Так хоть бы те "солидные" продавцы сделали первYю проверку, чего надо Aпдаейт. А не сувать с длинной болтовней запечатанную коробку. Ну я понимаю, что капитализм, есть капитализм...

tchicago · Post by **tchicago** » 05 Dec 2003 22:46

KRoman5 wrote:
tchicago wrote:Это msblast, или ему подобный. Живет он на компах других юзеров и постоянно прощупывают ip адреса. То что вы видите - попытка заразить ваш комп (валится rpcss.exe) Лечение - включить в новоинсталлированной xp firewall до первого подключения к интернету, и подключившись, первым делом пойти на windowsupdate.microsoft.com и установить все critical updates.

Антивирус тут непричем, поскольку он скорей всего не защищает от сетевых атак, а только следит за тем, что делается в файловой системе.
Та тошиба (если на ней такого эффекта не наблюдалось) просто видать имела уже некоторые critical updates.

Да, я не включил и попался.

это еще хорошо на xp, где есть встроенный firewall. А если бы это была w2k?

"Антивирус тут непричем, поскольку он скорей всего не защищает от сетевых атак, а только следит за тем, что делается в файловой системе."
Понимаю, так невозможно было сделать сканированние без активации. Нортон еще до такого издевательстав не додумался.
Это правильно, не было тех пачей для ХП. Но этот вирус-червяк появился летом и я удивляюсь, что новый лептоп их не имел. Хотя, может быть он старее вируса, я уже отдал его и не помню дату выпуска.
Ну это уже для Анти-Рекламы. Купил в Серкат Сити. За почти $2000. Так хоть бы те "солидные" продавцы сделали первYю проверку, чего надо Aпдаейт. А не сувать с длинной болтовней запечатанную коробку. Ну я понимаю, что капитализм, есть капитализм...

Проблема в том, что самые дорогие ноутбуки - обычно более старые модели (которые очень тонкие, если обратите внимание, они практически все на p3), собраны давно, и тогда про этот вид атак ничего небыло известно, и патчей соответсвенно небыло. Вот они такие и идут со склада. Продавцы - обычно clueless, которые только и умеют тарабанить чушь, которую заучили. Если бы они соображали получше, то не работали бы продавцами.

Так что тут скорей всего претензии к Microsoft, хотя они и стараются изо всех сил. windowsupdate - лучший друг пользователя :umnik1:

KRoman5 · Post by **KRoman5** » 05 Dec 2003 23:08

tchicago wrote: дорогие ноутбуки - обычно более старые модели (которые очень тонкие, если обратите внимание, они практически все на p3), собраны давно, и тогда про этот вид атак ничего небыло известно, и патчей соответсвенно небыло. Вот они такие и идут со склада...
Так что тут скорей всего претензии к Microsoft, хотя они и стараются изо всех сил. windowsupdate - лучший друг пользователя

P4 и скорсть 2.8, т.е не старый.
Microsoft, конечно делает, что может, но я получил червья на 3 минуте на первом и на втором. Это видно стандартное время на дайлапе для этого вируса. На кабеле за секунды бы, пока бы я только открывал М-апдайт сайт. Какой то замкнутый круг получается.
Меня мучает такая тайна, подскажите, почему Нортон (уже aпдeйтед) не обнаружил вирус во время сканирования системы? Пришлось лезть в регистр. Ни в реальном времени не спасает и Ни после. Нахер они вообще эти АнтиВирус софт?

AIDS · Post by **AIDS** » 06 Dec 2003 12:19

Потому что его не было на вашем компьютере, еще.
Если Вы почитаете внимательно описание вируса (линк я Вам уже давал),
вирус использует exploit в RPC сервере, причем этот exploit зависит от версии Windows - 2000 или XP - если с версией не угадал - у Вас система упадет. Если угадал - начнет загрузку своего тела, нормальный антивирус перехватит его и не даст загрузиться.
До момента загрузки вируса - firewall должен работать, т.е. прикрыть порты и не давать доступа.
McAfee (да и ее конкуренты) работает над т.н. поведенческим анализом, т.е. отслеживанием событий происходящих в сети или локальной машине и анализом их с точки зрения безопасности. Несмотря на прогресс, это все еще далеко от совершенства.

KRoman5 · Post by **KRoman5** » 06 Dec 2003 19:36

AIDS wrote:...

Еще раз спасибо :gen1: