Помогите, пожалуйста, справиться с глюком на компе. Через некоторое время после запуска системы она выдает надпись: "...вызвано NT AUTORITY\SYSTEM... остановка службы Удаленный вызов процедур (RPC)..." с большой красной кнопкой с крестом и благополучно перезагружает комп. На компе стоит XP, есть доступ в интернет (выделенка). Как с этой дрянью бороться? Она не дает работать в интернете больше нескольких минут. Неужто настало время сносить систему? Отпишите, не поленитесь. Буду вам очень признателен.
Нет, ну у меня просто наболело (товарищи, аккуратнее с главным по FAQ, в редакции заканчиваются успокоительные средства - прим. ред.)! Господа хорошие, ну как же так можно? Эпидемия вируса MSBlast, он же Lovesan, Lovsan, Blaster, Poza, началась уже достаточно давно, чтобы даже до самых неповоротливых пользователей не дошли слухи об этом опасном черве, но тем не менее в почтовый ящик все еще валятся вопросы на эту тему, а знакомые обрывают мобильник. Уважаемые, меня сильно удивляет такая позиция!
Во-первых, все, кто подцепил этот вирус, сами виноваты, поскольку не выполнили буквально самых элементарных требований сетевой безопасности: своевременная установка всех патчей и заплаток операционной системы и прикладных программ; использование качественного и хорошо настроенного файрволла; использование регулярно обновляемого антивируса. Во-вторых, мне непонятно, как можно, имея доступ в интернет (а без него не было бы и этого вируса), совершенно не быть в курсе происходящего?
Ведь достаточно было бы в любой поисковой службе ввести часть текста того сообщения, с которым Windows XP уходит в перезагрузку, как тут же вы получили бы подробнейшую информацию по борьбе с этим червем из самых первых рук - от антивирусных компаний! Кстати говоря, антивирусные компании очень оперативно предоставляли своим подписчикам всю необходимую информацию по новой эпидемии непосредственно по электронной почте.
Наконец, можно было просто заглянуть в какие-нибудь веб-конференции и почитать, что пишут люди. Но нет, в конференции журнала Upgrade вообще доходило до смешного, когда несколько сообщений о появлении странного сбоя RPC или файла MSBlast.exe шли почти одно за другим и при этом те, кто их писал, не удосуживались взглянуть ни на объявление в заголовке конференции, ни в чуть более ранние посты, где уже давно имелись все необходимые разъяснения по данной проблеме и все ссылки на подробные материалы, посвященные новому вирусу и борьбе с ним.
Тем не менее с целью разобраться с этой проблемой раз и навсегда, а заодно чтобы лишний раз напомнить нашим уважаемым читателям об элементарных правилах компьютерной гигиены, попробую вкратце пересказать все то, что уже давно известно. Итак, примерно с 12 августа Сеть серьезно потряс новый (но далеко не последний!) червь w32.Blaster.worm, использующий давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT / 2000 / XP / 2003 (соответственно, в Windows 9x червь проникнуть не может).
Для "успешного" заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. Голова червя - специальный пакет данных - проникает в атакованную систему беспечного пользователя через незащищенный файрволлом порт 135 и после этого без какого-либо участия пользователя закачивает все тело - файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) - с помощью законной системной программы TFTP.EXE - мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows: HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Current Version\Run "windows auto update"="ms-blast.exe"
И после перезагрузки компьютера вирус срабатывает во всей своей красе и сканирует сеть в поисках других жертв и продолжает свое распространение по интернету, генерируя огромный объем левого траффика (к слову, даже серверы windowsupdate.com компании Microsoft не справились), а на компьютере пострадавшего отныне могут выполняться любые действия - перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя, но то ли еще будет... Симптомы присутствия вируса в системе таковы: - в папке Windows\System32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE; - в списке запущенных процессов имеется один из вышеуказанных файлов; - в разделе реестра HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run присутствует команда на запуск вышеуказанного файла; - после нескольких минут работы в интернете происходит перезагрузка компьютера; - в работе программ MS Office наблюдаются многократные сбои; - появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE; - на экране появляется окно с сообщением об ошибке RPC Service. Для удаления червя, в том числе вручную, и защиты от подобных вирусов впредь необходимо сделать следующее: - во-первых, следует отключиться от интернета; - используя менеджер процессов (вызывается клавишами Ctrl+Alt+ Del), выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE; - удалите с диска соответствующий файл; - удалите в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Current Version\Run команду на запуск файла вируса; - перегрузите ПК; - тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с Lovesan: ftp://ftp.kaspersky.com/utils/clrav.zip; securityresponse.symantec.com/avcenter/FixBlast.exe; - установите патч www.microsoft.com/security/security_bulletins/ ms03-026.asp; - установите хороший файрволл и заблокируйте TCP- / UDP-порты 135, 139, 445, 69 и 4444. Файрволл можно использовать как англоязычный, например, Norton Internet Security http://www.symantec.com/, Sygate Personal Firewall http://www.sygate.com/, Network Ice Black ICE Defender http://www.networkice.com/, Zone Alarm http://www.zonelabs.com/, ConSeal PC Firewall http://www.signal9.com/, так и отечественный - Kaspersky Anti-Hacker www.kaspersky.ru/buyonline.html?info=1092732, Outpost www.agnitum.com/products/outpost.
