Вопрос знатокам

Discussion:

Вопрос знатокам

(слишком старое сообщение для ответа)

Andrew Salenko

2009-02-16 13:45:04 UTC

Hello All!

Что делать, если вылазит окошко, что svchost выполнил
недопустимую операцию и есть только кнопка закрыть
После нажатия на данную кнопку выскакиевает окошко с
отсчетом времени как когда-то при повреждении вирусами
типа лавсан или сассер.
Полная проверка показала(свежим куреитом), что вирусов нет вообще

Заплатка от МС уже установлена (ссылка пролетала в данной эхе),
но глюки продолжаются.

Как можно сие побороть БЕЗ переустановки винды?

PS Windows XP SP2 corporate (pirate edition)+DrWeb 4.44
Пятая не все может лечить (а 4.44 лечит)

Ruslan Demidow

2009-02-16 20:55:18 UTC

Permalink

Привет Andrew,
16 фев 2009 ты писал(а) по поводу *Вопрос знатокам. *
AS> Что делать, если вылазит окошко, что svchost выполнил
AS> недопустимую операцию и есть только кнопка закрыть
AS> После нажатия на данную кнопку выскакиевает окошко с
AS> отсчетом времени как когда-то при повреждении вирусами
AS> типа лавсан или сассер.
AS> Полная проверка показала(свежим куреитом), что вирусов нет вообще
AS> Заплатка от МС уже установлена (ссылка пролетала в данной эхе),
AS> но глюки продолжаются.
Заплатка должна быть не одна, а минимум три.
И это при том, что заплатка должна быть установлена на излечённый компьютер.
В обычном режиме зверька не заметишь, а в безопасном скорей всего найдёшь
Autoruner.5555.
Так что сначала лечиться, после этого ставим все последние заплатки от MS (и не
последние тоже).

Всех благ тебе, Andrew.
ICQ 177792013 FmMB200016700 Windows up for: 0 days, 11:33:11
*Hа уши давит* - тишина...

Dennis Mysienko

2009-02-16 21:30:48 UTC

Permalink

Привет, Ruslan!

Понедельник 16 Февраля 2009 23:55:18, Ruslan Demidow писал(а) к Andrew Salenko:

AS>> Что делать, если вылазит окошко, что svchost выполнил
RD> И это при том, что заплатка должна быть установлена на излечённый
RD> компьютер. В обычном режиме зверька не заметишь, а в безопасном скорей
RD> всего найдёшь Autoruner.5555. Так что сначала лечиться, после этого

А в LiveCD в стиле BartPE?

С уважением, Денис Николаевич Мусиенко.

... Вялотекущая настройка...

Ruslan Demidow

2009-02-17 15:45:36 UTC

Permalink

Привет Dennis,
17 фев 2009 ты писал(а) по поводу *Вопрос знатокам. *
AS>>> Что делать, если вылазит окошко, что svchost выполнил
RD>> И это при том, что заплатка должна быть установлена на излечённый
RD>> компьютер. В обычном режиме зверька не заметишь, а в безопасном скорей
RD>> всего найдёшь Autoruner.5555. Так что сначала лечиться, после этого
DM> А в LiveCD в стиле BartPE?
Да. Только там не винда а линукс.
По крайней мере Autoruner.5555 вылечили только так. Ну и сейчас боремся на фоне
этой эпидемии заодно и с Boot5 (или Sector5). Как то так. Авира его определяет
как Sality. Бутовый. Лечится тоже только через лайв-сиди - в безопасный режим
на заражённом компе не зайти - синька или просто ребут.

Всех благ тебе, Dennis.
ICQ 177792013 FmMB200016700 Windows up for: 0 days, 7:14:24
*Hа уши давит* - тишина...

Dennis Mysienko

2009-02-16 21:27:02 UTC

Permalink

Привет, Andrew!

Понедельник 16 Февраля 2009 16:45:04, Andrew Salenko писал(а) к All:

AS> Что делать, если вылазит окошко, что svchost выполнил
AS> недопустимую операцию и есть только кнопка закрыть
AS> После нажатия на данную кнопку выскакиевает окошко с
AS> отсчетом времени как когда-то при повреждении вирусами
AS> типа лавсан или сассер.
AS> Полная проверка показала(свежим куреитом), что вирусов нет вообще

Когда-то давно было такое: стоял персоональный файрвол, сам вирус не проникал,
но сервис от атак из сети ложился даже сквозь файрвол...

AS> Заплатка от МС уже установлена (ссылка пролетала в данной эхе),

Какая именно? Их на RPC было много - последняя вроде (если ещё новее не вышло)
KB958644 - уже после SP3.

AS> но глюки продолжаются.

AS> Как можно сие побороть БЕЗ переустановки винды?

Поставить более свежую заплатку или аппаратный файрвол.

С уважением, Денис Николаевич Мусиенко.

... Вялотекущая настройка...

Andrew Salenko

2009-02-17 10:55:50 UTC

Permalink

Hello Dennis!

Tue Feb 17 2009 00:27, Dennis Mysienko написал к Andrew Salenko:

DM> Привет, Andrew!

DM> Понедельник 16 Февраля 2009 16:45:04, Andrew Salenko писал(а) к All:

AS>> Что делать, если вылазит окошко, что svchost выполнил
AS>> недопустимую операцию и есть только кнопка закрыть
AS>> После нажатия на данную кнопку выскакиевает окошко с
AS>> отсчетом времени как когда-то при повреждении вирусами
AS>> типа лавсан или сассер.
AS>> Полная проверка показала(свежим куреитом), что вирусов нет
AS>> вообще

DM> Когда-то давно было такое: стоял персоональный файрвол, сам вирус не
DM> проникал, но сервис от атак из сети ложился даже сквозь файрвол...

Сеть всего 4 компа вместе с пострадавшим, на нем есть инет и
файрвол Outpost 4

AS>> Заплатка от МС уже установлена (ссылка пролетала в данной эхе),

DM> Какая именно? Их на RPC было много - последняя вроде (если ещё новее
DM> не вышло) KB958644 - уже после SP3.

Именно эта ставиться четко, но не помогает

AS>> но глюки продолжаются.

AS>> Как можно сие побороть БЕЗ переустановки винды?

DM> Поставить более свежую заплатку или аппаратный файрвол.

Какая заплатка вышла после 958644?

Кстати, еще две рекомендованые заплатки (958687+957057) не ставяться -
"не найдена ветвь в inf-файле" и установщик прекращает работу

Почему именно так - непонятно ((

Но самое главное - может день два совсем не быть перезагрузок,
а может очень часто перезагружаться

Dennis Mysienko

2009-02-17 14:58:00 UTC

Permalink

Привет, Andrew!

Вторник 17 Февраля 2009 13:55:50, Andrew Salenko писал(а) к Dennis Mysienko:

DM>> Когда-то давно было такое: стоял персоональный файрвол, сам вирус
DM>> не проникал, но сервис от атак из сети ложился даже сквозь
DM>> файрвол...

AS> Сеть всего 4 компа вместе с пострадавшим, на нем есть инет и
AS> файрвол Outpost 4

Кстати аутпост и стоял, правда по тем временам 2-ой... Тогда посоветовали от
него избавится ;-)

DM>> Поставить более свежую заплатку или аппаратный файрвол.

AS> Какая заплатка вышла после 958644?

Может ещё не вышла, а уязвимость уже используют...

AS> Кстати, еще две рекомендованые заплатки (958687+957057) не ставяться

Всмысле 957097? Это т.с. более старая версия 958687, т.е. последняя заменяет
первую.

AS> - "не найдена ветвь в inf-файле" и установщик прекращает работу

AS> Почему именно так - непонятно ((

Если пытался поставить в обратном порядке, то всё понятно :)

AS> Но самое главное - может день два совсем не быть перезагрузок,
AS> а может очень часто перезагружаться

Похоже что это связано с временем работы заражённого компа. Если компов в сети
так мало, то проверить их все это реальная задача.

С уважением, Денис Николаевич Мусиенко.

... Windows NT emulation for DOS version 95 OSR2 not installed...

Ruslan Demidow

2009-02-17 15:46:54 UTC

Permalink

Привет Andrew,
17 фев 2009 ты писал(а) по поводу *RE Вопрос знатокам. *
DM>> Какая именно? Их на RPC было много - последняя вроде (если ещё новее
DM>> не вышло) KB958644 - уже после SP3.

AS> Именно эта ставиться четко, но не помогает
Не поможет на уже заражённой машине.

Всех благ тебе, Andrew.
ICQ 177792013 FmMB200016700 Windows up for: 0 days, 7:15:42
*Hа уши давит* - тишина...

Alexey Haritonov

2009-02-17 22:14:23 UTC

Permalink

Привет Andrew!

16 Февраля 2009г. 16:45, Andrew Salenko -> All:

AS> Как можно сие побороть БЕЗ переустановки винды?
AS> PS Windows XP SP2 corporate (pirate edition)+DrWeb 4.44

вылечить.
накатить sp3
обновляться через WU в 10-ых числах месяца.

Alexey.
Я топчу землю уже 316273 часа.
... [1-е января] ───┼────────────────────────── [31-е декабря]