могли :) Не городи огород, форматируй :) Тем более что винда уже этим засрана....

Хорошо. Только вот установочный диск возьму у кого нить? Какую винду лучше ставить?

Корпоративку SP2, а ваще лучше самому образ сделать с автоматической установкой и интегрированными дровами и прогами.

Это сложно? Мне тут в комментах говорят, что смысла сносить винду нет - червь использует ту же дыру. СССылочки дали, как лечить...

ну как знаешь...

Лучше ставить винду под названием Ubuntu. :)
Хоть он и линукс, но не такой страшный как кажеться. На самом деле он очень даже дружественный.
В любом случае советую выделить минут 30 для изучения этой темы; не пожалеете.
Линки:
http://ubuntu.ru/
https://wiki.ubuntu.com/RussianDocumentation
Если есть достаточно свободного места на диске то можете установить Ubuntu паралелльно с Windows. Если понравится, то переустановите еще раз снеся Windows полнистью.
https://wiki.ubuntu.com/Ubuntu710DesktopSetupRU

У дистриба есть косяк на новых мат-платах с внешним IDE-контроллером- просто не видит винт.

Что-то мне заранее страшно...

на самом деле, если без косяков, установка не сложнее винты...

Если без косяков...
Да и не в этом дело. Очень уж сносить неохота...

Как страшно жить (((

А прикинь, как страшно жить сисадминам!

Ужосс (

попробуй для начала http://www.symantec.com/security_response/writeup.jsp?docid=2003-081119-5051-99

отформатировать всегда успееш )

Попробовал. Вышла такая запись. Your system is vulnerable? please install the path for the vulnerabillty. Select Yes to open the Url wih the path.
Нажал да. Открылось это: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

Microsoft Security Bulletin MS03-026
Buffer Overrun In RPC Interface Could Allow Code Execution (823980)

Originally posted: July 16, 2003
Revised: September 10, 2003
Summary

Who should read this bulletin:
Users running Microsoft ® Windows ®

Impact of vulnerability:
Run code of attacker's choice

Maximum Severity Rating:
Critical

Recommendation:
Systems administrators should apply the patch immediately

End User Bulletin:
An end user version of this bulletin is available at:

http://www.microsoft.com/athome/security/update/bulletins/default.mspx.

Protect your PC:
Additional information on how you can help protect your PC is available at the following locations:
•

End Users can visit the Protect Your PC Web site.
•

IT Professionals can visit the Microsoft TechNet Security Center Web site.

И т.д. Что дальше делать, не подскажешь? У тебя аська есть?

хм.. чето у тя броузер какой-та кривой..
вощим не мудрствуя лукаво, на вышеуказанной мною ссылке есть директ линк на ремувал тул от Симантека:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixBlast.exe

Перед употреблением отключится от сети и отключить "автоматическое восстановление".

rpc удаленный вызов процедур... готов поспорить если ты не в инете то такое не случается... в сп2 этого быть не должно... так что странно.. включи на подключении брандмауер и закрой порт RPC-шный

вот что пишет по этому microsoft:
http://support.microsoft.com/kb/908472

Почитаю. Я, чувствую, за эти дни сильно поумнею )))

взломать могли. впрочем, кому сильно надо будет - все равно взломают. самый-самый безопасный вариант - и вправду линукс. только имхо он и сам по себе столько проблем создает, что проще жж бэкапить=)
а насчет форматов-переустановок торопиться не надо. сначала стоит попробовать вылечить ногу, а уж если ничего не выйдет, застрелить лошадь=)

Винду лучше снести, даже если ухлопаешь червя нагадить он уже успел. Когда поставишь новую пользуй браузер Firefox он скачивается бесплатно, это прога от линукса через нее ни один вирус не проскочит не та система.

Наверное, попробую...

надо снять винт, просканить у когонибуть полностью, и ставить пакет виндовых обновлений SP2

Где бы это сделать, интересно...

была такая фигня=( ох намучился я с ней... кстати если поменять время в часах, то можно отсрочить перезагрузку...
но выход один - format c!

Как я понял, это не выход.

На форумах пишут это:

Первым делом :

а) Залезть сюда и скачать обновление (XP only. Остальные - ниже).
Прямые линки:
Windows XP - RUS, ENG

Windows 2000 - RUS, ENG

Windows 2003 - RUS, ENG

Для остальных - сюда


Убиение файла msblast.exe в регистрах и стирание с винта без установки апдейта - абсолютно бесполезно.
На данный момент никакие антивирусы не помогут.
Это не троян, который "где-то случайно что-то запустил". Он лезет на машину удаленно по сети и получает полный доступ через дыру в RPC, которая была закрыта соответствующим патчем еще месяц назад. Сейчас вы платите за то, что своевременно его не поставили с WindowsUpdate.

б) Закрыть любым firewall'ом (см. ниже) на вход TCP порты 135,139,445, 593 и UDP 135, 137,138. Microsoft клятвенно заверяет, что встроенный в XP/2003 Internet Connection Firewall для этого вполне достаточен, ибо "it will by default block inbound RPC traffic from the Internet.". Этот способ предпочтительнее ибо как выяснилось - заплата от MS закрывает не все. Доступ получить не получается, однако scvhost валит. Приятного мало.


Только после этих процедур (любой из них, но лучше обе 8)) имеет смысл приступать к ..

Лечение:

Убить процесс msblast.exe, убрать из автозагрузок в регистрах (HKEY_LOCAL_MACHINE|HKEY_CURRENT_USER/
Software/Microsoft/Windows/CurrentVersion/Run).

Для кого слова "реестр" и прочее ничего не значат - сюда идти

Если вы не нашли у себя процесс/файл msblast.exe , а система все равно перегружается и/или выдает сообщения о сбое svchost.exe - см выше. В обязательном порядке патч и настоятельно рекомендуется firewall. В WindowsXP/2003 есть встроенный Internet Connection Firewall, который вполне должен справляться.
Дело в том, что отсутствие у вас на компьютере файла - значит лишь, что он пе пролез (в этот раз). Однако зачастую перезагрузки компьютера, происходят именно при НЕУДАЧНОЙ попытке. Существует новая модификация эксплоита, который может в УЖЕ ПРОПАТЧЕННОЙ винде вызывать сбои svchost.exe, перезагрузки и прочие неприятности. Спасение - опять же firewall.

Firewall, которые можно довольно легко настроить :

Internet Connection Firewall (встроенный в windows XP/2003, Где его найти. По умолчанию сам должен блокировать входящие RPC. "Должен" - потому что не пробовал).

AtGuard - древний, но имхо непревзойденный =)
Создать правила :
TCP; Inbound; Local List of services: 135, 139, 445, 593; Block.
UDP; Inbound; Local List of services: 135, 137,138; Block.

Agnitum Outpost
Outpost 2.0 по дефолту уже имеет правило с названием Block Remote Procedure Call (RPC) в System..
Надо лишь его расширить на порты 139, 445, 593 для TCP.
Если его нет - создать :
TCP; Inbound; Local Ports: 135, 139, 445, 593; Deny it.
UDP; Inbound; Local Ports: 135, 137,138; Deny it.

Kerio (если честно - даже в глаза не видел так что описать ничего не смогу).
etc.

update 14:53 13.08.2003 :
На сайте Microsoft/security есть оффициальный мануал, как с этим бороться. Там указываются более конкретные порты для закрытия. Их и здесь приписал везде, где надо.
[Исправлено: justMara, 14.08.2003 11:46]

ftp://ftp.avp.ru/utils/clrav/clrav.com
Эта утилита удаляет вирус без следа. Но, ты его подхватишь снова, если не установишь SP2 перед входом в интернет.
На сайте микрософта есть патч.

Ок, спасибо, Андрей! А фаерволл какой посоветуешь?

Думается, выбора нет. Agnitum Outpost Firewall
http://rapidshare.com/files/43645846/Outpost_Firewall_Pro_4.0.1025.700.303.rar
Версия не самая новая, но рабочая. Ключ регистрации в архиве. Как установишь, отключи "автоматическое обновление"

Интересно - кто включить советует, кто - отключить...

После того, как утилитой вычистишь компутер, заходить в жж только со включенным в режиме обучения файрволлом. Твой случай, на моей памяти, уже десятый.

Ок. Зашёл по твоей ссылочке, а там непонятно что...
Куда нажимать-та?

We host your files for free! Click here to upload files.

Сюда?

А что это даст?

Да, сюда. При попытке сканирования твоего компа или проникновения на него трояна, ты будешь получать уведомление, а атака будет предотвращаться. Тот вирус, который подхватил ты, заражает комп прямым проникновением, для того, чтобы заразиться не нужно запускать файлы в почте. Достаточно просто войти в инет без защиты.

Сейчас попробую. Так он пишет - выберете файлы для закачки...

Эта дрань ползет по локалке (по крайней мере ко мне). Антивирус Касперского ее в упор не видит. Кстати, а сообщение о том, что мол у вас в компе ошибки, скачайте наш апдейт на сайте (например) 64.ком и все будет чудествно, не вылезало? ))) Оно как мне казалось из той же компании. В общем если эта гадость вылезла можно резво перевести часы назад и сидеть себе дальше типа )))))
А насчет линукса убунто - часть можемов под него не настраиваится, к слову.

Кажется, я уже справился с этой дрянью...
А заодно и дыры в безопасности заткнул...