HELP!!! Win2K Дохнет!

[Palych]

Извините что к вам обращается...

Странные вещи творятся с Windows 2000 Professional SP3:
Пару дней назад выскочило сообщение о смерти svchost.exe. Я подумал - из-за разогнанного процессора. Вернул в default.
Сегодня перестали открываться ссылки в explorere, причем не только в Internet, но и например в Control Panel.
Причем Mozilla Firebird работает почти нормально, разве что иногда вырубается mouse wheel. Linux (RedHat тоже вроде нормально бегает.
Такое ощущение что беда конкретно с эксплорером...
Может это вирус?

"...Поможите
Люди Добрые!"

[Monster01]

Зайдите на их вебсайт(через Мозилу), скачайте и установите все service packs. Перезагрузите, прогоните через анти-вайрас. Если все чисто, но проблема остается - переустановите.

[Lazy44]

Палыч, та же беда. Но Мозиллы нет. 4 СП устанавливатся не хочет !!!, виснет все. Что делать ??? Хелп, Хелп. Хелп плииз

ПС Даже :cry не смог велеить

[uniqueman]

за последние две недели на домашнем компьютере четыре раза падал svchost.exe причем непонятно почему. Эффект от этого тот же самый что описал Палыч. Перестают работать ссылки...

Не знаю почему. Сейчас вроде успокоилось..

На работе опять стали падать сервера, хотя работали без сбоев несколько месяцев подряд. Наверняка сбываются прогнозы аналитиков по поводу серьезной атаки на Инет.. чур чур...

[Palych]

Похоже на DoS-атаку...
Соберем статистику: У пострадавших стоят firewall'ы?
У меня - нет
Будем надеяться эта гадость не проникает в систему, а просто рушит ее...

[Monster01]

Похоже на DoS-атаку...
Соберем статистику: У пострадавших стоят firewall'ы?
У меня - нет

У меня стоит firewall. Но я не пострадавший.

[SkyWalker]

Похоже на DoS-атаку...
Соберем статистику: У пострадавших стоят firewall'ы?
У меня - нет
Будем надеяться эта гадость не проникает в систему, а просто рушит ее...

Похоже на вирус или троян. Проблема в том, что сейчас трояны по одному не ходят. Механизм такой что есть вирус доставшик, который сажает в систему нескольких троянов, а уже они занимаются своими делами.
Что проверять:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices

Искать там запуск всего стороннего. Например:
LTM2 = "%Windows%\litmus\SVCHOSTÿ.exe"
Если находим ето, то берем removal tool:
http://securityresponse.symantec.com/av ... .tool.html

Далее проверить стандартный Startup (Start-Programs-Startup)
Далее c:\Documents and Settings\All Users\Start Menu\Programs\Startup

Далее идем c:\Program Files\Common Files

Ишем всякий мусор там. Может быть \GTM i t.d.

Последнее время паразиты стали цеплятся на IE и explorer.
Поетому если что-нибудь здесь находим, надо убить все IE и даже иногда explorer, а потом погрохать весь мусор



Ну и в заключение. Для того чтобы все ето дело предотврашать, регулярно ставим все заплатки от MS, не делаем шаринг ресурсов с обшим доступом, делаем не blank пароль локального администратора и всех еккаунтов, имеюших еквивалентные права, по возможности ставим firewall. При возникновении вопроса о доверии ActiveX контролу, перечитываем 10 раз, и нажимаем "Yes", только если уверены на 100 процентов что ето такое.

[SkyWalker]

Да,еше один момент. Прежде всего надо посмотреть на активные процессы. Как правило сразу становится видно паразитов. Процессы типа ~2.ехе ~3.ехе mhjhr.ехе и т.д. Кроме того, последнее время цепляют еше и программки удаленного доступа.

[Token]

Убейте процесс msblast.exe
Удалите windows\system32\msblast.exe
Закройте TCP порт 135, например включив файрволл

[Monster01]

Internet infection spreads rapidly

WASHINGTON (AP) -- A virus-like infection that was the subject of urgent U.S. government and industry warnings spread rapidly Monday across the Internet, causing computers to mysteriously restart and coordinating an electronic attack against Microsoft Corp.

http://www.cnn.com/2003/TECH/internet/08/11/internet.attack.ap/index.html

[Olegus]

Internet infection spreads rapidly

WASHINGTON (AP) -- A virus-like infection that was the subject of urgent U.S. government and industry warnings spread rapidly Monday across the Internet, causing computers to mysteriously restart and coordinating an electronic attack against Microsoft Corp.

http://www.cnn.com/2003/TECH/internet/08/11/internet.attack.ap/index.html

Во блин, у меня сегодня комп не с того ни с сего перезапустился. Файервол и антивирус есть. Срочно качать патчи!

[Vasik]

Ну вы меня народ просто озадачили. не знаю что и думать теперь...
У меня как раз перед выходными комп стал перегручаться минут через десять - есть подозрение что матиринка здохла, потому что все остальные компоненты со второго компа поменял а проблема осталась, а может таки с инета завалили. Firewall стоит, а антивирус нет.
Главное что перегружается как и в W2K Server так и в NT4.0 Server (стоят на двух разделах). Причём из последней выхода в инет не было, хотя зараза зацепиться и распространиться теоретически могла на все разделы. Может BIOS мне загнули?
прям не знаю плакать или смеяться - действительно железо здохло и совпало с описанной атакой или чего то поймал через инет?
На второй комп (раньше там солярка жила) был водружен опять W2K Server, поставлен SP4 и тот же Firewall (Agnitum Outpost), IE с последними заплатками, NetBIOS вообще отключен, а уж тем более ftp & http сервисы (да собственно как и раньше) и никаких глюков.
Во дела...

[StressedintheUS]

Это пресловутый Win32.Blaster

По утверждению Семантека, вирус совершенно безвредный, зарегистрирован всего на 49 компьютерах и легко убирается из системы. На самом же деле он в настоящее время нарезает кругами по всему миру, а попав на компьютер, пробивает DCOM насквозь, после чего нужно патчить Win2000 с помощью SP4 и кучи security updates. Ну или устанавливать всё заново, если вы живёте в Кентукки, изнывая от тоски.

svchost - это только сервисная оболочка, падает один из его инстансов, который запускает COM+ сервис.

Сходите на Windows Update, у них час икс наступит 15 авуста, когда Blaster перейдёт на массированный DDOS микрософтовских серверов. Пока худо-бедно сайт работает. Только имейте ввиду, что объёмы всех патчей приближаются к гигабайту (это то, что я прокачивал).

После установки этих мегапатчей проблема себя исчерпала.

[шпиён]

А у меня XP SP1 стала хотеть перезагрузиться из-за упавшего PRC-сервиса. Все патчи с windowsupdate поставил, но пока долго не гонял, так что не знаю, помогло ли. Где антивирусы бесплатно раздают?

[Drey]

Вот и меня подцепили вчера;)))
Усё заработало -- спасибо за солюшены.

[Isaev]

Конкретно вот этот http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp - он через windowsupdate еще недоступен.

[Token]

А у меня XP SP1 стала хотеть перезагрузиться из-за упавшего PRC-сервиса. Все патчи с windowsupdate поставил, но пока долго не гонял, так что не знаю, помогло ли. Где антивирусы бесплатно раздают?

См. мой пост выше.

Мы о двух разных вирусах говорим похоже. Падающий svchost не имеет отношения к перезапусканию системы. Последнее - следствие msblast.exe - он начал распространятся только вчера. К нему не только патчей но и даже описания полного нет еще. Патч MS03-026 помогает убрать не вирус а брешь которую он использовал чтобы пробраться на компьютер.

[Isaev]

Все может иметь отнощение. http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html.
Там же есть removal tool.

[Niky]

У Symantec вроде есть уже: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

[Amirko]

Сегодня с ним боролся. Вот закончу думал, пойду Привет почитаю. А тут то же самое...

[Lazy44]

Народ,
пытаюсь выкачать апдейты с МС, получаю svchost.exe has generated errors ... Апдейты не выкачиваются. От msblast.exe вроде бы избавился. Пытаюсь выкачать СервисПак 1 для експлорера 6, все повторяется. Что делать, может знает кто ?

[InnaBB]

)Be sure to have the latest DAT files from McAfee and Symantec both
dated 8/11/2003.

2)use the Symantec removal tool.
The instructions can be found at the following link:
http://securityresponse.symantec.com/av ... .tool.html


Virus Description

The W32/Blaster worm exploits a vulnerability in Microsoft's DCOM RPC
interface as described in VU#568148 and CA-2003-16. Upon successful
execution, the worm attempts to retrieve a copy of the file
msblast.exe from the compromising host. Once this file is retrieved,
the compromised system then runs it and begins scanning for other
vulnerable systems to compromise in the same manner. In the course of
propagation, a TCP session to port 135 is used to execute the attack.
However, access to TCP ports 139 and 445 may also provide attack
vectors and should be considered when applying mitigation strategies.
Microsoft has published information about this vulnerability in
Microsoft Security Bulletin MS03-026.

[Encephalon]

W32.Blaster.Worm Removal Tool -> http://securityresponse.symantec.com/av ... .tool.html

W32.Blaster.Worm Patch info -> http://securityresponse.symantec.com/av ... .worm.html

http://www.microsoft.com/technet/treevi ... 03-026.asp

[vaduz]

Народ,
пытаюсь выкачать апдейты с МС, получаю svchost.exe has generated errors ... Апдейты не выкачиваются. От msblast.exe вроде бы избавился. Пытаюсь выкачать СервисПак 1 для експлорера 6, все повторяется. Что делать, может знает кто ?

Закройте порты 135, 139, 445. Иначе, пока качаете, он опять прицепится.
svchost.exe падает в момент атаки.

[Encephalon]

.... Закройте порты 135, 139, 445. Иначе, пока качаете, он опять прицепится.
svchost.exe падает в момент атаки.

Подскажите чайнику как это делать. Спасибо!