Заплатка для XP срочно! NT-Autority\System - Операционные системы M$ - Страница 10

Flames · 21.08.2003, 16:29

до чего дело дошло, начались эксперименты над вирусами

В интернете появилась новая модификация сетевого червя "Sobig" (Sobig.f).
Sobig.f практически ничем не отличается от своих предшественников, первый из которых был найден в середине января 2003 г. Косметические изменения коснулись лишь признаков рассылаемых писем (тема, текст, имена вложенных файлов) и даты деактивации. 10 сентября червь переходит в спящий режим и никак более не выдает своего присутствия на компьютере.

Напомним, что "Sobig" распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии.

Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft. Среди побочных действий "Sobig" необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.

CODE_777 · 21.08.2003, 16:58

remove tools:
ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip
ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe

Xedfr · 22.08.2003, 08:08

Забавно, но помимо просто огромного количесвта писем с аттачем имеющим расширение *.pif (где и сидит червь Sobig), поступает еще много писем с темой Re, или Re:Re, где пишут, что с одного из моих ящиков к ним поступили письма содержащие тело этого червя! Хотя, регулярно проверяю антивирью и с письмами Bat! достаточно отсторожна.

Неприятно, что письма с вирусом идут на ящик данный провайдером...
Если эта тема интересна, то на сайте Компъютерры есть несколько весьма интересмных сообщений по поводу Sobig.
Вот ссылки: ~http://www.computerra.ru/news/2003/8/21/41063/~
там целый раздел посвящен данной тематике.

Добавлено через 6 минут:
Как избавиться от вируса Sobig.F
Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О наличии вируса в системе свидетельствуют следующие симптомы:

В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).
В реестре Windows присутствуют следующие строки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

$pher@ · 27.08.2003, 08:43

не неучит опыт нифига...червя Blaster схлопотала...вот блит и утилита Семантевская вылетает постоянно

ЧТО ДЕЛАТЬ""""????

Almega · 27.08.2003, 16:23

Sophos AntiVirus 3.73 ее лечит тоже !!! Смотри топик а заливаем Варез...

29.08.2003, 18:58

Symantec спаботал классно, но у меня нет гарантии, что меня этот Лавазан опять не достанет. Может мне пожалуйста кто нибудь ссылки на хорошие Firewallы посоветовать? Заранее спасибо!

sasvlad · 29.08.2003, 19:12

XPEH BAM
Юзай Agnitum Outpost Firewall Pro.
Про него много в форуме написано, найдешь по поиску.

shman · 30.08.2003, 16:08

Перечитал всю тему с самого начала... Читается как детектив, с интригой, кульминацией и концовкой. Вот же замутили вирусородители!

Но, все-таки, кто в курсе, была 16 августа обещанная атака на дядю Била? Какие последствия, какие потери?

Almega · 30.08.2003, 18:07

Атаки была, но сплыла. Мелкомягкие что-то сделали с адресом, и у виря ничего не получилось

. Но в итоге ФБР (как она клянеться) поймали одного из родителей этого и еще одного виря. Юному дарованию 19 лет. американец. Уу щерб от его шутки : около 65 млр. долларов. Если его вина будет доказана, он вылезет на свободу ближе к 3000-му году

sasvlad · 30.08.2003, 18:18

Ну что ж, заслужил. Что за кайф гадить ни в чем неповинным людям?
Мне пришлось винт форматнуть, сначала заплатку поставил, а потом комп. лечил. А нужно было наоборот. Потом при каждом старте вылазила пресловутая табличка.

elenah · 31.08.2003, 22:58

sasvlad
что не говори а прикольно... я с компом долго возился...

потом меня две недели мучала одна байда --- Trojan.Dyfuca --- антивирусники его могли найти только при активации, а его место откуда он распаковываеться не находили... потом я поставил одну прогу AD-AWARE и она нашела его в 5 местах и 10 ключей в реестре ... и еще 2 трояна --- ALEXA --- и не помню какой типа treefree или что то в этом роде... а прикольно сколько барахла в инете гуляет ... откуда цепляешь не поймешь !!!

P.S. чуть не забыл... эта прога и описание есть на форуме (заливаем):
Lavasoft Ad-aware Professional v6.0.181

02.09.2003, 20:19

Хлопцы! А как закрываются порты в Agnitum?

sasvlad · 02.09.2003, 20:25

Pashtet
Да очень просто! Нажимаешь Параметры - Системмные - Общие правила(Параметры). Потом Добавить, задаешь протокол, направление, адрес(если надо), порт. Задаешь Блокировать эти данные, даешь имя своему правилу - и ОК.
Всё, порт закрыт!

21.04.2005, 21:25

НАРОД вообщем все почитал и честно НИ**Я не понял (годко мне мало)

ета фихня у меня только вчера хотя на дворе 2004 год обьясниет для МАЛЬЧИКА каа ето удалить

(самый простой способ ПЛЗ)ЗАРАНЕЕ ВЕРИ БИГ СЕНКС

кето типо если будете писать закрой порт ТЫРЫ пыры ЛЯ ЛЯ ЛЯ сначала обьясните КАК его закрыть

22.06.2005, 14:02

а у меня вот не было етой дряни, хотя проблема старая, появилось недавно, файла этого нету, антивири ничего не находят, в процессах нет, что же это может быть?

qerst · 01.09.2005, 09:50

У меня стоит ХР SP 2 Rus Corp (без доп. заплаток) + Norton Corporate 10.0.1.1000. Вчера запустил диспетчер задач, чтобы прибить одну прогу и тут заметил штук 10 процессов SVHOST.exe. Начал их прибивать и на одном сразу выскачило знакомое всем в этой теме окошко NT AUTHORITY / SYSTEM. И как результат- перезагруз! Антивирус ничего не видит, в автозапуске в реестре ничего подозрительного! Скачал заплатку из поста 20, так при установке говорит, что у тебя все обновлено. Ну ладно, я переустановлю систему, а как потом подстраховаться? А в офисе если ТАКОЕ начнется?....
Поделитесь опытом, какой прогой предупредить?

HATTIFNATTOR · 01.09.2005, 11:24

10 штук SVHOST.EXE-не опечатка? может быть все же SVCHOST.EXE? Похоже одним из прибитых svchost'ов была служба RPC из-за чего и последовала перезагрузка...

qerst · 01.09.2005, 14:39

Точно, ошибся! SVCHOST.EXE! Только что на работе проверил, у меня их здесь запущено 6 штук. Я так понял, что это не факт, что у меня поселился червяк типа MSBLAST?

HATTIFNATTOR · 01.09.2005, 15:27

Конечно нет, тем более самопроизвольно система никаких фортелей не выкидывает, перезагрузка ведь произошла после остановки процесса вручную... а svchost если он в %windir%\system32\ это системный файл.
http://www.imho.ws/showthread.php?t=85474

22.08.2003, 08:08	# 183
Xedfr Junior Member Регистрация: 06.06.2003 Сообщения: 104	Забавно, но помимо просто огромного количесвта писем с аттачем имеющим расширение .pif (где и сидит червь Sobig), поступает еще много писем с темой Re, или Re:Re, где пишут, что с одного из моих ящиков к ним поступили письма содержащие тело этого червя! Хотя, регулярно проверяю антивирью и с письмами Bat! достаточно отсторожна. Неприятно, что письма с вирусом идут на ящик данный провайдером... Если эта тема интересна, то на сайте Компъютерры есть несколько весьма интересмных сообщений по поводу Sobig. Вот ссылки: ~http://www.computerra.ru/news/2003/8/21/41063/~ там целый раздел посвящен данной тематике. Добавлено через 6 минут:* Как избавиться от вируса Sobig.F Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О наличии вируса в системе свидетельствуют следующие симптомы: В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del). В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE. Последний раз редактировалось Xedfr; 22.08.2003 в 08:07.

27.08.2003, 16:23	# 185
Almega Full Member Регистрация: 29.03.2002 Адрес: Томск Сообщения: 1 366	Sophos AntiVirus 3.73 ее лечит тоже !!! Смотри топик а заливаем Варез... __________________ Пишу только о том, что сам проверил и лично пользуюсь

30.08.2003, 16:08	# 188
shman Junior Member Регистрация: 26.06.2002 Адрес: Кишинев Пол: Male Сообщения: 93	Перечитал всю тему с самого начала... Читается как детектив, с интригой, кульминацией и концовкой. Вот же замутили вирусородители! Но, все-таки, кто в курсе, была 16 августа обещанная атака на дядю Била? Какие последствия, какие потери? __________________ Привет!

30.08.2003, 18:07	# 189
Almega Full Member Регистрация: 29.03.2002 Адрес: Томск Сообщения: 1 366	Атаки была, но сплыла. Мелкомягкие что-то сделали с адресом, и у виря ничего не получилось . Но в итоге ФБР (как она клянеться) поймали одного из родителей этого и еще одного виря. Юному дарованию 19 лет. американец. Уу щерб от его шутки : около 65 млр. долларов. Если его вина будет доказана, он вылезет на свободу ближе к 3000-му году __________________ Пишу только о том, что сам проверил и лично пользуюсь

31.08.2003, 22:58	# 191
elenah Junior Member Регистрация: 19.10.2002 Адрес: Eesti . Tallinn . KOPLI !!! Сообщения: 143	sasvlad что не говори а прикольно... я с компом долго возился... потом меня две недели мучала одна байда --- Trojan.Dyfuca --- антивирусники его могли найти только при активации, а его место откуда он распаковываеться не находили... потом я поставил одну прогу AD-AWARE и она нашела его в 5 местах и 10 ключей в реестре ... и еще 2 трояна --- ALEXA --- и не помню какой типа treefree или что то в этом роде... а прикольно сколько барахла в инете гуляет ... откуда цепляешь не поймешь !!! P.S. чуть не забыл... эта прога и описание есть на форуме (заливаем): Lavasoft Ad-aware Professional v6.0.181 __________________ небойся САТАНЫ, он всегда с тобой !!! Последний раз редактировалось elenah; 31.08.2003 в 23:02.

21.08.2003, 16:29	# 181
Flames Full Member Регистрация: 10.12.2001 Адрес: Ru Сообщения: 587	до чего дело дошло, начались эксперименты над вирусами В интернете появилась новая модификация сетевого червя "Sobig" (Sobig.f). Sobig.f практически ничем не отличается от своих предшественников, первый из которых был найден в середине января 2003 г. Косметические изменения коснулись лишь признаков рассылаемых писем (тема, текст, имена вложенных файлов) и даты деактивации. 10 сентября червь переходит в спящий режим и никак более не выдает своего присутствия на компьютере. Напомним, что "Sobig" распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии. Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft. Среди побочных действий "Sobig" необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.

21.08.2003, 16:58	# 182
CODE_777 Newbie Регистрация: 13.08.2002 Сообщения: 30	remove tools: ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe

27.08.2003, 08:43	# 184
$pher@ ::VIP:: Регистрация: 27.12.2002 Адрес: Остров мысли в Океане разума Пол: Female Сообщения: 973	не неучит опыт нифига...червя Blaster схлопотала...вот блит и утилита Семантевская вылетает постоянно ЧТО ДЕЛАТЬ""""????

29.08.2003, 18:58	# 186
XPEH BAM Guest Сообщения: n/a	Symantec спаботал классно, но у меня нет гарантии, что меня этот Лавазан опять не достанет. Может мне пожалуйста кто нибудь ссылки на хорошие Firewallы посоветовать? Заранее спасибо!

29.08.2003, 19:12	# 187
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	XPEH BAM Юзай Agnitum Outpost Firewall Pro. Про него много в форуме написано, найдешь по поиску.

30.08.2003, 18:18	# 190
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	Ну что ж, заслужил. Что за кайф гадить ни в чем неповинным людям? Мне пришлось винт форматнуть, сначала заплатку поставил, а потом комп. лечил. А нужно было наоборот. Потом при каждом старте вылазила пресловутая табличка.

02.09.2003, 20:19	# 192
Pashtet Guest Сообщения: n/a	Хлопцы! А как закрываются порты в Agnitum?

02.09.2003, 20:25	# 193
sasvlad Member Регистрация: 02.07.2003 Адрес: Гора Ородруин Сообщения: 298	Pashtet Да очень просто! Нажимаешь Параметры - Системмные - Общие правила(Параметры). Потом Добавить, задаешь протокол, направление, адрес(если надо), порт. Задаешь Блокировать эти данные, даешь имя своему правилу - и ОК. Всё, порт закрыт!

21.04.2005, 21:25	# 194
Dragon10 Guest Сообщения: n/a	ПРОДОЛЖИМ тему!! НАРОД вообщем все почитал и честно НИ**Я не понял (годко мне мало) ета фихня у меня только вчера хотя на дворе 2004 год обьясниет для МАЛЬЧИКА каа ето удалить (самый простой способ ПЛЗ)ЗАРАНЕЕ ВЕРИ БИГ СЕНКС кето типо если будете писать закрой порт ТЫРЫ пыры ЛЯ ЛЯ ЛЯ сначала обьясните КАК его закрыть

22.06.2005, 14:02	# 195
Spartak Guest Сообщения: n/a	а у меня вот не было етой дряни, хотя проблема старая, появилось недавно, файла этого нету, антивири ничего не находят, в процессах нет, что же это может быть?

01.09.2005, 09:50	# 196
qerst Full Member Регистрация: 28.09.2002 Адрес: Москва Сообщения: 1 419	У меня стоит ХР SP 2 Rus Corp (без доп. заплаток) + Norton Corporate 10.0.1.1000. Вчера запустил диспетчер задач, чтобы прибить одну прогу и тут заметил штук 10 процессов SVHOST.exe. Начал их прибивать и на одном сразу выскачило знакомое всем в этой теме окошко NT AUTHORITY / SYSTEM. И как результат- перезагруз! Антивирус ничего не видит, в автозапуске в реестре ничего подозрительного! Скачал заплатку из поста 20, так при установке говорит, что у тебя все обновлено. Ну ладно, я переустановлю систему, а как потом подстраховаться? А в офисе если ТАКОЕ начнется?.... Поделитесь опытом, какой прогой предупредить?

01.09.2005, 11:24	# 197
HATTIFNATTOR Member Регистрация: 02.10.2004 Адрес: Москва Пол: Male Сообщения: 242	10 штук SVHOST.EXE-не опечатка? может быть все же SVCHOST.EXE? Похоже одним из прибитых svchost'ов была служба RPC из-за чего и последовала перезагрузка...

01.09.2005, 14:39	# 198
qerst Full Member Регистрация: 28.09.2002 Адрес: Москва Сообщения: 1 419	Точно, ошибся! SVCHOST.EXE! Только что на работе проверил, у меня их здесь запущено 6 штук. Я так понял, что это не факт, что у меня поселился червяк типа MSBLAST?

01.09.2005, 15:27	# 199
HATTIFNATTOR Member Регистрация: 02.10.2004 Адрес: Москва Пол: Male Сообщения: 242	Конечно нет, тем более самопроизвольно система никаких фортелей не выкидывает, перезагрузка ведь произошла после остановки процесса вручную... а svchost если он в %windir%\system32\ это системный файл. http://www.imho.ws/showthread.php?t=85474