Как и чем убить вирус

    Такая же зараза,тоже с позавчера.Вот что антивирус нашёл Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. .. Буду пробывать.

    Цитата

    По словам пользователя korneliy ...
    Никакое восстановление не поможет!
    Chuvak же написал ссылку на патч от микрософта (для ХР). Всем качать патч...



    nadeüs pomoschet a to menja Kunden usche saeb....li :D

    Вот ссылка на сам бюллетень
    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
    Там есть патчи для
    Microsoft Windows NT® 4.0
    Microsoft Windows NT 4.0 Terminal Services Edition
    Microsoft Windows 2000
    Microsoft Windows XP
    Microsoft Windows Server™ 2003

    Поможет 100%. Это началось в таком повальном масштабе вчера вечером, поставил патч - уже больше 12 часов работает без последствий...


    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. - тут можно просканировать компьютер на наличие этого бага.

    Цитата

    По словам пользователя korneliy ...
    Поможет 100%. Это началось в таком повальном масштабе вчера вечером, поставил патч - уже больше 12 часов работает без последствий...


    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. - тут можно просканировать компьютер на наличие этого бага.



    Hi, kak to4nee nazivaetsja PATCH???
    Po angliski ne bum bum...

    вот эта игрушка - эксплоит
    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
    Windows RPC DCOM Buffer Overflow Remote Exploit #4 win32 port


    Портированная win32 версия эксплоита для Windows RPC DCOM.
    Работает против w2k sp0 - sp4, WinXP sp0-sp1.
    Оффсеты в эксплоите работают и под русскими Win2k-XP.




    меня только удивляет, что только сейчас про эту проблемму стали говарить
    ведь эта проблемма была уже давно извесна ...
    это уже 6 или 7 эксплоит в своём роде.

    Wenn W32.Blaster.Worm durchgeführt wird, tut es das folgende:



    Verursacht ein Mutex, das genannt wird "BILLY.", Wenn das mutex besteht, nimmt die Endlosschraube heraus.



    Addiert den Wert:


    "Fensterautomobil update"="msblast.exe"


    zum Registerschlüssel:


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


    damit die Endlosschraube läuft, wenn Sie Windows beginnen.



    Errechnet das IP ADDRESS, basiert auf dem folgenden Algorithmus, 40% der Zeit:


    Wirts-IP: A.B.C.D


    stellt d-Gleichgestelltes bis 0 ein.


    wenn C > 20, einen gelegentlichen Wert weniger als 20 subtrahiert.


    Sobald errechnet, fängt die Endlosschraube an zu versuchen, das computer-gestützte auf A.B.C.0 auszunutzen und zählt dann oben.


    ANMERKUNG: Dies heißt, daß der lokale Subnet mit Anträgen des Tores 135 vor dem Herausnehmen des lokalen Subnet gesättigt wird.



    Errechnet das IP ADDRESS, basiert auf vielen gelegentlichen Nr., 60% der Zeit:


    A.B.C.D


    stellen Sie d-Gleichgestelltes bis 0 ein.


    Sätze A, B und C zu den gelegentlichen Werten zwischen 0 und 255.



    Sendet Daten bezüglich TCP-Tores 135, das die DCOM-RPC-Verwundbarkeit ausnutzen kann, um die folgenden Tätigkeiten auf dem verletzbaren Computer auftreten zu lassen:


    Verursachen Sie ein verstecktes Cmd.exe-Remoteoberteil, das auf TCP-Tor 4444 hört.


    ANMERKUNG: Wegen der gelegentlichen Natur von, wie die Endlosschraube die Großtatdaten konstruiert, kann sie Computer veranlassen abzubrechen, wenn sie falsche Daten sendet.



    Hört auf UDP-Tor 69. Wenn die Endlosschraube einen Antrag empfängt, bringt er das binäre Msblast.exe zurück.



    Schickt die Befehle zum Remotecomputer, zum angesteckten Wirt und zum Download wieder anzuschließen und Msblast.exe laufen zu lassen.



    Wenn der gegenwärtige Monat nach August ist oder wenn das Tagesdatum nach dem 15. ist, führt die Endlosschraube ein DOS auf "windowsupdate.com." durch,


    Mit der gegenwärtigen Logik aktiviert die Endlosschraube den DOS-Angriff auf dem 16. dieses Monats und fährt bis das Ende des Jahres fort.


    Die Endlosschraube enthält den folgenden Text, der nie angezeigt wird:


    Ich möchte gerade LIEBE sagen SIE San!!
    billy Gatter, warum Sie dieses ermöglichen? Stoppen Sie, Geld zu verdienen und reparieren Sie Ihre Software!!


    Symantec ManHunt
    Protokollabweichungs-Abfragungstechnologie Symantec ManHunt ermittelt die Tätigkeit, die dazugehörig ist mit dieser Großtat als "Portscan.", Obgleich ManHunt die Tätigkeit ermitteln kann, die mit dieser Großtat mit der Protokollabweichungs-Abfragungstechnologie dazugehörig ist, können Sie die RPC-Puffersammel"kundenspezifische Unterzeichnung" Microsofts DCOM benutzen, freigegeben im Sicherheitsupdate , um die Großtat genau zu kennzeichnen, die gesendet wird.







    Sicherheitsantwort Symantec regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:


    Drehen Sie weg und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein FTP SERVER, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehaltene Dienstleistungen.
    Wenn eine gemischte Drohung ein oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
    Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS-Dienstleistungen zugänglich sind.
    Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
    Bauen Sie Ihren emailbediener zusammen, um email zu blockieren oder zu entfernen, das Aktenzubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs-, bat-, exe-, pif- und scrakten zu verbreiten.
    Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
    Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet gedownloadet wird, es sei denn es auf Viren abgelichtet worden ist. Einer verglichenen Web site einfach besuchen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.




    Abbau, das Werkzeug des Abbaus verwendend Backdoor.Winshell.50
    Sicherheitsantwort Symantec hat ein Abbau- Werkzeug zur sauberen Infektion von W32.Blaster.Worm entwickelt. Dieses ist die einfachste Weise, diese Drohung zu entfernen und sollte zuerst versucht werden.


    Manueller Abbau
    Als Alternative zum Verwenden des Abbauwerkzeugs, können Sie diese Drohung manuell entfernen.


    Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen antivirusprodukte Symantec, Produktserien einschließlich Symantec AntiVirus und Norton AntiVirus.


    Wichtige Anmerkung: W32.Blaster.Worm nutzt die DCOM-RPC-Verwundbarkeit aus. Dieses wird in der Microsoft sicherheitsnachricht Ms03-026 beschrieben , und ein Flecken ist dort vorhanden. Sie müssen den Flecken downloaden und anbringen. In vielen Fällen müssen Sie dies tun, bevor Sie mit den Abbauanweisungen fortfahren können. Wenn Sie nicht in der LageSIND, die Infektion zu entfernen oder Wiederinfektion mit den folgenden Anweisungen zu verhindern, erstes Download und den Flecken anbringen.



    Sperren Sie SystemcWiederherstellung (Windows Me/XP).
    Aktualisieren Sie die Virusdefinitionen.
    Tun Sie eins vom folgenden:
    Windows 95/98/Me: Beginnen Sie den Computer im sicheren Modus wieder.
    Windows NT/2000/XP: Beenden Sie den Trojanprozeß.
    Lassen Sie einen vollen Systemscan laufen und löschen Sie alle Akten, die als W32.Blaster.Worm ermittelt werden.
    Heben Sie die Änderungen auf, die das Trojan zum Register vornahm.


    Für Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.


    1. SperrencSystemcWiederherstellung (Windows Me/XP)
    Wenn Sie Windows ich oder Windows XP laufen lassen, empfehlen wir, daß Sie vorübergehend weg Systemwiederherstellung drehen. Windows Me/XP benutzt diese Eigenschaft, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann Systemwiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.


    Windows verhindert äußere Programme, einschließlich der antivirusprogramme, an ändernder Systemwiederherstellung. Folglich können antivirusprogramme oder Werkzeuge nicht Drohungen im Systemwiederherstellungsheft entfernen. Infolgedessen hat Systemwiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.


    Auch ein Virusscan kann eine Drohung im Systemwiederherstellungsheft ermitteln, obwohl Sie die Drohung entfernt haben.


    Für Anweisungen in, wie man weg Systemwiederherstellung, lesen Sie Ihre Windowsunterlagen oder einen der folgenden Artikel dreht:

    патч ставить который на 32бита, 64бита - это процессоры для серверов. Обычных людей это не касается...

    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
    вот ещё одна игрушка


    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.



    KaHT II - Массивный RPC Dcom эксплоит
    Выпущен многопоточный, многоцелевой эксплоит, эксплуатирующий недавно обнаруженную уязвимость в RPC Dcom протоколе в Windows системах. Работает против большинства версий Microsoft Windows 2000/XP систем. Поддерживает различные макросы. Исходный код и откомпилированная Win32 версия прилагается. Код может использоваться для быстрой проверки вашей сети на уязвимость в RPC Dcom протоколе.
    пример работы:
    example: KaHT.exe 10.10.40.0 10.10.255.255 300
    _________________________________________________
    KAHT II - MASSIVE RPC EXPLOIT
    DCOM RPC exploit. Modified by aT4r@3wdesign.es
    #haxorcitos && #localhost @Efnet Ownz you!!!
    ________________________________________________


    [+] Targets: 10.10.40.0-10.10.255.255 with 300 Threads
    [+] Scan In Progress...
    - Connecting to 10.10.40.4
    Sending Exploit to a [Win2k] Server.... FAILED
    - Connecting to 10.10.40.9
    Sending Exploit to a [WinXP] Server.... FAILED
    - Connecting to 10.10.40.12
    Sending Exploit to a [WinXP] Server.... FAILED
    - Connecting to 10.10.40.21
    Sending Exploit to a [WinXP] Server...
    - Conectando con la Shell Remota...


    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.


    C:\WINDOWS\system32>.
    - Connection Closed
    - Connecting to 10.10.40.52
    Sending Exploit to a [WinXP] Server... FAILED
    . - Connecting to 10.10.40.50
    Sending Exploit to a [Win2k] Server...
    - Conectando con la Shell Remota...


    Microsoft Windows 2000 [Versión 5.00.2195]
    (C) Copyright 1985-2000 Microsoft Corp.


    C:\WINNT\system32>exit


    - Connection Closed
    - Connecting to 10.10.40.62
    Sending Exploit to a [WinXP] Server.... FAILED
    - Connecting to 10.10.40.78
    Sending Exploit to a [Win2k] Server...
    - Conectando con la Shell Remota...


    Microsoft Windows 2000 [Versión 5.00.2195]
    (C) Copyright 1985-2000 Microsoft Corp.


    C:\WINNT\system32>.
    C:\WINNT\system32>...exit
    - Connection Closed
    - Connecting to 10.10.40.105
    Sending Exploit to a [Win2k] Server... FAILED
    - Connecting to 10.10.40.97
    Sending Exploit to a [Win2k] Server... FAILED
    - Connecting to 10.10.40.116
    Sending Exploit to a [WinXP] Server...
    - Conectando con la Shell Remota...
    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.
    C:\WINDOWS\system32>
    C:\WINDOWS\system32>exit
    - Connection Closed
    - Connecting to 10.10.40.129
    Sending Exploit to a [WinXP] Server...
    - Conectando con la Shell Remota...


    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.
    C:\WINDOWS\system32>exit
    - Connection Closed
    - Connecting to 10.10.40.128
    Sending Exploit to a [Win2k] Server... FAILED
    - Connecting to 10.10.40.151
    Sending Exploit to a [WinXP] Server... FAILED
    - Connecting to 10.10.40.163
    Sending Exploit to a [Win2k] Server... FAILED
    - Connecting to 10.10.40.166
    Sending Exploit to a [WinXP] Server... FAILED
    - Connecting to 10.10.40.168
    Sending Exploit to a [WinXP] Server.... FAILED
    - Connecting to 10.10.40.233
    Sending Exploit to a [WinXP] Server... FAILED
    - Connecting to 10.10.40.83
    Sending Exploit to a [WinXP] Server... FAILED
    - Connecting to 10.10.40.238
    Sending Exploit to a [WinXP] Server... FAILED
    - Connecting to 10.10.40.250
    Sending Exploit to a [Win2k] Server...
    - Conectando con la Shell Remota...


    Microsoft Windows 2000 [Versión 5.00.2195]
    (C) Copyright 1985-2000 Microsoft Corp.


    C:\WINNT\system32>

    U menja takaja-she chirnja so wtscheraschnego.Sdelal microsoft.windowsupdate i wsö rabotaet!No poka update skatschiwal computer 3 rasa wiklutschalsja.Kogda update skatschaetsja i natschnöt installirowatsja, sowetuju srasu otklutschit internet poka ne pojawilsja meldung.

    проверил експлоиты у себя в LAN


    вот это лекарство помагает для
    Windows XP Professional
    Windows XP Home Edition


    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.


    или вот этот совсем свежий
    Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.



    пиплы: юзайте руторы ! Hardware рутор стоит примерно 40 ? с стандарными функциями.. :))

    У меня вчера такая же штука 2 раза была пока я заходил через т-онлине!!! Потом зашел через дфю и больше ошибка не выходила :))

    у кого какие успехи в решении этой проблемы?Я сделала вирус контроль фестпляты.он не обнаружил инфекции,но зато обнаружил целую кучу бешедиктых файлов.Что можно я удалила,а так зашла в интернет файлы и стёрла всё инфу за вчера вечер и сегодня.Теперь уже 20 мин комп работает,хотя раньше вырубался через каждые 5-6 минут.Посмотрим,что будет дальше.

    toka sto norton firewall postavil, ushe minut 20 rabotaet i antivirus nashol Пожалуйста зарегистрируйся для просмотра данного изображения.8)

    Po radio, FFN i drugie segodnya wse utro tres4at ob etom wiruse... Ne znaju kak u menya na WinXP - na nem do4ka zanimalas', no wrode ni4ego ne goworila. A ja poslegnie dni s Knoppixom zanimalsja (sej4as pischu iz nego), i teper' wischu 4to ne zrja: s nim wse wirusy po boku, moschno w inet wyjti, s wami poobschatsja :-) , lekarstwo ska4at' i potom spokojno na Windowse ustanowit'!
    Dumaju takaja BS 4to s CD startuet na krajnij slu4aj nikomu ne pomeschaet.