9 replies to this topic

[Verendey]

не успел запомнить, так был ошарашен... выскакивает окошко что NT authorisation system вырубит комп через 60...59...58.. и т.д. сек//// и вырубил что это?

[MetroidZ]

XP без SP2 и без фаервола?
Это происходит только при активном подключении?
По признакам похоже на старый blaster или sasser.
В DCOM сервисе можно убрать перезагрузку пока.
Dr.Web CureIt надо посканировать комп на всякий случай.
В том окошке должно быть название службы, которая вызвала перезагрузку. Это действие можно выключить в "Службы".
Для перезагрузки вирусу на компе быть не обязательно. XP может так среагировать на специальным образом сформированный сетевой пакет.

В принципе ничего нового. Можно посмотреть:

http://forum.1dv.ru/index.php?s=&...st&p=227503
В таких случаях желательно приводить лог HiJackThis. Это помогает разобраться.
Администрирование/Просмотр событий
информацию об ошибке тоже можно показать. Там должно быть что то вроде этого:

Event Type: Information
Event Source: USER32
Event Category: None
Event ID: 1074
Date: 18.08.2006
Time: 9:08:58
User: NT AUTHORITY\SYSTEM
Computer: PDC
Description:
The process winlogon.exe has initiated the restart of computer PDC on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process 'C:\WINDOWS\system32\lsass.exe' terminated unexpectedly with status code -1073740972. The system will now shut down and restart.

Edited by MetroidZ, 12 Mar 2007 - 09:43.

[Valery]

Да,похоже на старый blaster.
А служба эта RPC. Выключи в службах перезагрузку и лечи комп.

Edited by Valery, 12 Mar 2007 - 11:02.

[DaLiV]

nachal schitatj - v komandnoj stroke:
shutdown -a
i lechitj daljshe ...

[Gereh]

DaLiV
Пытаюсь собирать подобные команды, потому хочу уточнить -
shutdown -a или shutdown? (смутил пробел и дефис)

[Jurij]

Использование: shutdown [-i | -l | -s | -r | -a] [-f] [-m <компьютер>]

				[-t xx] [-c "комментарий"] [-d up:xx:yy]

		Без аргументов		  Вывод справки по использованию (как и -?)

		-i					  Отображение интерфейса, д.быть первым параметром



		-l					  Выход (не совместим с параметром -m)

		-s					  Завершение работы компьютера

		-r					  Перезагрузка компьютера

		-a					  Прекращение завершения работы системы

		-m <компьютер>		Удаленный компьютер, на котором выполняется

								действие

		-t xx				   Таймаут завершения работы - xx сек.

		-c "comment"			Комментарий (не более 127 знаков)

		-f					  Принудительное завершение приложений без

								предварительного предупреждения

		-d [u][p]:xx:yy		 Код причины завершения работы

								u - пользовательский код

								p - код запланированного завершения

								xx - основной код причины (1 - 255)

								yy - дополнительный код причины (1 - 65535)

[Андрей К.]

Зайди через F8 с сейв режим и запусти это

[Verendey]

да вопрос не в лечении, я из образа восстановился за 5 минут и все дела.. вопрос как он пролез чероез лицензионные Outpost и NAV

[Андрей К.]

И на старуху бывает проруха....
Иногда инсталяторы имеют вирус, может что то проинсталировал и ....
Вот.

[MetroidZ]

вопрос как он пролез чероез лицензионные Outpost и NAV

Где то в сети валяется список портов, которые надо закрыть в Outpost.
По умолчанию некоторые служебные порты всё же открыты.
Во время эпидемии подобного вируса помог именно Outpost. В его логах посмотрел по какому порту идет пакет и перекрыл.
В том и прикол, что на компе нет вируса. Поэтому антивирус не срабатывает.
Вот например:

Рекомендации корпорации Майкрософт по безопасности (911052)
Отказ в выделении памяти через RPC
http://www.microsoft.com/rus/security/advi...511/911052.mspx

Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. На подключенных к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов.

А вот пример того, что может произойти если эти рекомендации не выполнять:

Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC. Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд.