Ошибка:
Система завершает работу. Сохраните
данные и выйдите из системы. Все
несохраненные изменения будут
потеряны. Отключение системы вызвано
NT AUTHORITY\SYSTEM

Время до отключения 00:01:00

Сообщение
Необходимо перезагрузить Windows,
поскольку произошла непредвиденная
остановка службы Удаленный вызов
процедур (RPC)

http://polygon.iphosting.ru/img/virus.jpg

Что делать?
[hr]
Решение проблемы изложено вот здесь (http://polygon.iphosting.ru/win/lovesan.php)!
[hr][hr][hr]
Помогите, пожалуйста!
вчера вечером вдруг снова появилась эта чума.
Win XP ENG, стоят все заплатки с самого начала, и до вчерашнего дня все было ОК.
внешнее проявление точно как BLAST, только теперь ссылается
на WINDOWS\System\lsass.exe

http://img.photobucket.com/albums/v121/Vadikan/lsass-error.jpg
[hr]
Компьютер заражен червем Worm.Win32.Sasser

Краткое oписание Worm.Win32.Sasser.a (http://www.viruslist.com/alert.html?id=145080265)
Краткое описание Worm.Win32.Sasser.b (http://www.viruslist.com/alert.html?id=145080269)
Утилита для удаления червя W32.Sasser от Kaspersky (ftp://ftp.kaspersky.com/utils/clrav/)
Утилита для удаления червя W32.Sasser от Symantec (http://securityresponse.symantec.com/avcenter/FxSasser.exe)
Инструкции по ручному удалению червя от Symantec (на англ.) (http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html#removalinstructions)
Заплатка от M$ (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx), которую необходимо установить во избежание повторного заражения.

Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Настоятельно рекомендуется обновить антивирусы и/или пропатчиться.

By NNM.ru
Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp или рус: http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe)! Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку.

При обращении к svhost данная хрень вешает Вашу машину... Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.

Там картинка есть, симтомы точь-в точь: http://www.nnm.ru

Качай заплату

http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

я удалила файл в Safe Mode и вроде пока сижу....
а как червь распространяеться? я ничего не качала...

http://forums.lair.ru/cgi-bin/ikonboard.cgi?s=1304c42645bfae9e681e2336c52b23d8;act=ST;f=2;t=8080;

Для тех кто не хочет или не может вручную ковыряться в реестре *можно скачать утилитку
W32.Blaster.Worm Removal Tool
(http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html) от Symantec, которая вычистит эту хрень. Затем конечно нужно установить патч от M$
Вообще - эпидемия какая-то, прямо codered для ХP, какой-то. Практически все мои XP-знакомые, кто не ставил файерволл и выходил в интеренет вчера и сегодня, заполучили эту гадость.
:(

У меня в 2k(и XP) svchost дохнет времы от времени при коннекте к Инету. Это случайно не из-за этой дыры в RPC?

Добавлено:

to rus alexey
Вот это забыл сказать для пользоателей W2k:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

люди никто не выяснил, как эта гадость цепляется?
я ничего с инета не качала. вобще только наголо ХР переставила...

читайте
http://www.proantivirus.com/info/1/181_1.html
http://www.proantivirus.com/info/1/180_1.html

Ginger вирус червь заражает удаленно через 135 порт .Удалите  msblast.exe и обязательно поставьте патч заплатку чтобы эта гадость вновь удалённо не проникла к вам на машину

fSergey
Удалите  msblast.exe и обязательно поставьте патч заплатку
это не помогло. пришлось переустанавливать систему. хотя я ничего не потеряла... если только время....

Ginger
если бы ты вовремя прикрылась фаерволом, то у тебя бы не было этой проблемы. так что в очередной раз идем перечитывать топик "Файеры (http://forum.oszone.net/topic.cgi?forum=17&topic=2)"

ArtemD
я пользуюсь только ХР-шным - для меня, лучше фаера нет.
вспомнила, что сразу после переустановки и подключения забыла вкдючить фаер.... всё так шустро...

Переставлять не надо.
Отключаешься от сети, в сэйф моде удаляется вся эта дрянь из C:\windows\ , в реестре -run, затем патч, и включение файера. Потом можно опять в сеть При этом очень интересно смотреть на логи файервола.
Достаточно  минимального времени  в интернете  без патча или файервола, чтобы заразиться. Я вчера наблюдал по логам, как с разных адресов ко мне рвутся на 135-й порт и все это с интервалом 1-2 мин.

Ginger
Я уже поправил несколько машин у знакомых (еще вчера начал :)  )
Там всё помогает.
Только не стоит ставить заплатку на инфицированную машину или в  интернет выходить на непропатченной (или без файервола) машине,- заразишься снова, причем в течении нескольких секунд.



Добавлено:

Во как!

Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com

Диалог Наука (http://www.dials.ru/inf/news.php?id=563)

Поторопитесь кто не успел!

to mb
Я уже думал об атаке на Мелкософт

Если дыра есть и Вы лезете в Инет и винда говорит типа сдох svchost.exe, то значит вирус пытался залезть к Вам, но не смог(кстати, и не сможет!!! но другой???)-> срочно качайте апдейт. Я проверял на нескольких машинах - червь криво написан и не везде может установиться.
Если червь проявил, читайте весь топик!!!

Только что прочитал о том что обнаружена новая модификация червя
Технологически новая модификация ничем не отличается от
оригинала. Изменения коснулись только имени файла-носителя червя
(TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG
вместо UPX) и текстовых строк внутри программного кода, которые содержат
ненормативную оскорбительную лексику в адрес Microsoft и антивирусных
компаний.

Ребята! Помогите, чайнику!
Эти окошки выскакивали и выскакивали все чаще и чаще, отключив кабельный модем я проверила через DrWeb на вирусы - чисто, запустила Ad-aware - ничего. Вечером компьтер не включался с кабелькой, и я запустила Windows Update, потом мониторе было окно, что Windows Update прошло успешно.
Все вроде заработало. Я еще раз проверила компьютер антивирусниками DrWeb, Касперским, потом Symantec нашла, но ни один из них не обнаружил никаких признаков вируса.
Окно больше не выскакивает, но на сегодня проблема такая заплатка не ставиться, ругается, многие параметры (или как их там) Windows не загружает, ругается, Firewall не подключается. Сегодня я решила запустить Дефрагментацию диска, когда открыла, то увидела, что у нас на компьютере, вместо 45% свободного места, сейчас только 3%.
И появилась папка на диске С: 40dc704ed2111e6d2a8a5f5d6c9da0be
Я думаю, что это Update сохранило старые данные. Пробовала ее удалить - не удаляется, если всей папкой, начинается все нормально, но буквально через пару секунд окошко удаления просто исчезает, а если зайти в папку, то по одному файлы (в основном .dll) можно удалить, но как-то так медленно оно удаляется, что аж жутко, вдруг что нужное удаляю. И незнаю что сней делать - папка эта на 214MB.

Eglantine
40dc704ed2111e6d2a8a5f5d6c9da0be
такое имя для папки виндовского апдейта весма подозрительно.
а удалить попытайтесь в Саф Моде