Ну это я предполагаю, что это папка виндовского апдейта, может еще что, но я из нее несколько фалов удалила, ничего компьютер пока работает и еще когда удаляешь по одному файлы, их нет потом в корзине. Вообщем кошмар какой-то, незнаю что с ней делать. Вы думаете что надо удалять? Пожалуйста, объясните поподробнее как это удалить в Саф Моде?
Спасибо огромное.


Исправлено: Eglantine, 7:59 15-08-2003


Исправлено: Eglantine, 8:01 15-08-2003

Ginger
40dc704ed2111e6d2a8a5f5d6c9da0be
Это после неудачной попытки установки заплатки, такие папки именно Windows update оставляет.

Eglantine
При загрузке компа, перед появлением лого, нажимай F8, можно много раз нажимать, пока не попадёшь в загрузочное меню, там есть пункт "Безопасный режим" или Safe Mode - грузись в него и попробуй поудалять мусор лишний.
Убивание вируса:
1. ОБЯЗАТЕЛЬНО нажми CTRL+SHIFT+ESC, если в списке процессов есть файл msblast.exe, то ЗАВЕРШИ ЕГО!
2. Пуск-выполнить-msconfig-автозагрузка, найди файл msblast.exe и сними с него автозагрузку.
3. В папке \windows\system32 найди этот самый msblast.exe и УБЕЙ ЕГО!

После всех этих извращений попытайся установить заплатку заново, не перегружаясь.
Если чего, у меня все заплятки к Win2000 и WinXP есть, в том числе и eng.

У нас в локальную сеть тоже попал червь,  за несколько минут все уже заразились. Никто не сообщил на форуме что он удаляет что либо на  винте. У всех нас были отформатированы партиций под FAT32, NTFS червь не трогал. Возможно это модификация.

Guest
Да ничего он вроде не удаляет. Сидит себе "мирно" в system32 и вызывает ошибки в службе RPС.

Добавлено:

И ещё, червь этот кажись LoveSan зовётся.

Добавлено:

А группа NT AUTHORITY\SYSTEM содержит в себе Debugger Users, которые могут
Debugger users can debug processes on this machine, both locally and remotely
Чем-то трояна напоминает :biglaugh:

Siava one
Это после неудачной попытки установки заплатки, такие папки именно Windows update оставляет.
у меня, наверно просто никогда не было неудачных попыток...  :)

Чем-то трояна напоминает
да в ХР одни трояны.... М$-вские...

Guest
здесь, наверно, у всех НТФС, поэтому никому ничего не форматировали.

Попробовала удалить эту папку в Safe Mode, всей папакой не удаляется. Зашла в папку и удалила все файлы из нее, но там есть несколько папок: asms, download, ic, new, update - которые не удаляются, не открываются, при наводе на них курсора выходит надпись, что папка пустая. Вообщем когда пытаюсь открывать эти папки, выходит окошко, что C:\40dc704ed2111e6d2a8a5f5d6c9da0be\asms is not accessible.
Access is denied.
А если пробую удалять, то Cannot delete asms: Access is denied. Make sure the disk is not full or write-protected and that the file is not currently in use.
И место на диске увеличилось всего на 1%, сейчас стало 4%, но вроде больше ничего постороннего нет.

По всем этим пунктам, ничего похожего нет:
Убивание вируса:
1. ОБЯЗАТЕЛЬНО нажми CTRL+SHIFT+ESC, если в списке процессов есть файл msblast.exe, то ЗАВЕРШИ ЕГО!
2. Пуск-выполнить-msconfig-автозагрузка, найди файл msblast.exe и сними с него автозагрузку.
3. В папке \windows\system32 найди этот самый msblast.exe и УБЕЙ ЕГО!

Пыталась снова установить заплатку, но безуспешно, опять ругается: KB823980 Setup Error
Setup could not verify the integrity of the file Update.inf.
Make sure the Cryptographic service is running on this computer.

Может это троян мозги морочит? Вообщем, не так давно Dr.Web обнаружил у меня на компе трояна в двух местах, но лечить не предложил, я все излазила, пыталась найти как вылечить ничего не получилось и я их просто удалила. После этого проверяла Dr. Web неоднократно и Касперским и еще Бог знает чем, ничего не обнаруживалось больше. Незнаю может это все-таки где сидит?
Кошмар какой-то.

Вот сейчас залезла в сервисы проверить включен ли Cryptographic, он-то включен, но заметила там кое-что интересное, раньше мне кажется этого не было.
Вот:
Name: Error Reporting Service
Description: Allows error reporting for services and applictions running in non-standart environment.
Status: Started
Startup Type: Automatic
Log On As: Local System

А может все эти проблемы сейчас от этой строчки? А что с ней делать?

Eglantine
Всё не то. С самого начала.
Не надо было ничего скачивать на зараженную машину. Не стоило надеяться на антивирусы даже с регулярными обновленими. Большинство из них абсолютно ничего не знало о бластере вплоть до 11 августа. Насколько я знаю Семантек выпустил обновление обнаруживающее  вирус только 11 -го поздно вечером. Касперский и д-р Веб несколько позже. пытаться найти  вирус  с обновлениями раньше 12-го августа  бессмысленно.
Самое главное что надо было сделать - это убить процесс выкинуть blast.exe из авторуна в реестре и ВКЛЮЧИТЬ ФАЙЕРВОЛ. Заплата в такой ситуации- дело не первостепенное.
главное -удалить вирус и поставить Файервол потому что он закрывает этот поганый epmap(135 порт).
Надеюсь system restore ты не отключала?
если ты пыталась установить обновление оно обязано было сделать контрольную точку.
Вернись к ней, отключи ресторе,  очисти от всех контрольных точек (cleanmgr.exe), удали вирус отовсюду  и включи файервол, хотя бы встроенный. Затем можешь поставить патч. Включи ресторе - сделай контрольную точку и снова очисть диск - от всех контрольных точек кроме последнй  и только после этого подключай кабельки и модемы :)

PS C:\40dc70..  это папка незавершившегося  обновления

Вот такая, мама, здесь у нас программа

Надеюсь system restore ты не отключала?
если ты пыталась установить обновление оно обязано было сделать контрольную точку.
Вернись к ней, отключи ресторе,  очисти от всех контрольных точек (cleanmgr.exe), удали вирус отовсюду  и включи файервол, хотя бы встроенный. Затем можешь поставить патч. Включи ресторе - сделай контрольную точку и снова очисть диск - от всех контрольных точек кроме последнй  и только после этого подключай кабельки и модемы.

_____________________________________________-

System restore я не отключала.
Пожалуйста подскажите, где эта котрольная точка, я обычный чайник и если не сложно объясните поподробнее. PLS

Добавлено:

И еще подскажите пожалуйста, на диске С папка I386 (С:\I386), она и до этого всего была, но сейчас она просто огромная стала. Я незнаю, ведь такая же папка есть в С:\Windows\I386 можно что-то из нее удалять или можно ее всю удалить, вообще она должна быть на С?

Eglantine

пуск-программы-стандартные-служебные -восстановление системы
Запусти программу и ты увидишь что-то наподобие календаря, в котором жирным цветом будут выделены дни когда создавались контрольные точки (в один день их может быть несколько). Выбери последний (или какой захочешь) и нажми восстановить. Все будет восстановлено плоть до того состояния когда была создана эта к.т.
Имей ввиду, восстановление может затронуть все диски и если у тебя в этот промежуток времени (от сегодня до контрорльной точки) где-то были записаны, какие-либо важные даннные -они исчезнут. Чтобы избежать этого, надо на вкладке - мой компьютер-свойства -восстановление системы удалить наблюдение со всех дисков кроме системного (обычно диск с:/  )
Эта операция (восстановление системы) полностью обратима- т.е. если после восстановления системы тебе что-то не понравится, ты всегда посредством той же программы, сможешь отменить это восстановление *Там же можно самому принудительно создавать контрольные точки, обычно это делается перед каким либо сильными действиями, которые могут задеть систему.
Если что-то непонятно не забывай использовать клавишу f1 там все очень подробно описано


Добавлено:

папка I386- содержит файлы дистрибутива.
При наличии загрузочного диска XP, без неё вполне можно обойтись


Исправлено: mb, 2:19 16-08-2003

xcv
Кроме микрософтовских заплаток есть утилиты от касперского и symantec.

Почитай вот эту статейку: http://www.3dnews.ru/editorial/lovsan/

А это с новостей касперского: http://www.kaspersky.ru/news.html
Признаками заражения компьютера являются:
- Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32. EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)
- Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут
- Многочисленные сбои в работе программ Word, Excel и Outlook
- Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
- Появление на экране окна с сообщением об ошибке (RPC Service Failing)

Как вам такая новость?
"Welchia": антивирусный вирус

Обнаружен новый сетевого червя "Welchia", который ищет компьютеры, зараженные "Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows.

"Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE" или модификаций, принудительно прекращает его работу, а также удаляет с диска одноименные файлы. Далее "Welchia" сканирует реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.
Наконец, в "Welchia" существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течении недели червь сможет полностью погасить эпидемию "Lovesan". "Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус.
Извините за длинную цитату... мне по почте прислали, а линк долго искать, сори...

Млин кажется и я его словил. Просто как-то я разговаривал с Макслой по асе и он сказал мне, что кажется подхватил вирус и дал мне линк на этот топик. Я почитал запомнил, что-то про svhost 8). Вчера сидел в инете и мой svhost.exe "допустил недодопустимую...". я отрубился от инета. Запустил Ad-Aware 6 он нашел два троянца (или че там он ищет? 8)) потом Каспера - он ничего не нашел (может из-за того что я не обновлял базу антивирусную). Потом я пошел в смотреть телик, но комп не выключал, и позже комп сам вырубился... Я поискал файлы msblast.exe и teekids.exe и к счастью ничего не нашел и в автозагрузке ничего нет... Может это не он? Но интересно что это было?
А заплатку (http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe) я сегодня скачаю для своей win2k rus

lossen
файлы msblast.exe и teekids.exe  к счастью не нашел
В последней "С" модификации исполняемый файл вируса может называться...... PENIS32.exe :)

FAQ по уязвимостям в DCOM/RPC (http://www.securitylab.ru/?ID=40208)

После прочтения всей темы в целом, спешу сообщить, что кроме трех обсуждаемых "обличий" червя появилось еще одно - mslaugh.exe

Пытаюсь запустить программу Windows2000-KB823980-x86-RUS.exe - а ничего не получается, т.к. просит установления пакета обновления 2. Объясните - что это такое и где это взять?
Заранее благодарю.:biglaugh:

Windows2000-KB823980-x86-RUS.exe - а ничего не получается, т.к. просит установления пакета обновления 2. Объясните - что это такое и где это взять?На странице скачивания (http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en) этого патча сказано, что для того чтоб установить этот патч на компьютере с системой Windows 2000, там должен быть установлен как минимум Service Pack 3. Скачать его можно отсюда (http://www.microsoft.com/windows2000/downloads/servicepacks/)

у меня файла msblast.exe в системе не было, долго мучился, но в конце концов нашел файл svhost1.exe который и является телом этого грёбанного вируса, также советую в реестре искать строку "configuration loading", "svhost1.exe" и удалать безжалостно. На пока вирус не обнаруживается...

новый способ избавиться от перезагрузок:
нажымаете правой кнопкой мыши на *мой комп* >manage>services and applications>services>далее ищем в списке (RPC) первый открываем>recovery>first failure>restart the services жмём выполнить. тоже самое со вторым(RPC). и закрываем все  окна .  
удачи.