Вирус отключает службы..

@Garinsk · Регистрация: 03.02.2009

Author24 — интернет-сервис помощи студентам

Всем привет!
Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время..
Похоже, что службы ещё некоторые остановлены..
Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...)
Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3
И еще не запускается MSConfig
Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига..
Чего может быть?

@Tiami · 18.03.2009, 21:07

Сообщение от Garinsk

Всем привет!
Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время..
Похоже, что службы ещё некоторые остановлены..
Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...)
Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3
И еще не запускается MSConfig
Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига..
Чего может быть?

может через Radmin Server пользуется кто то компом?проверь закрыты ли нужные порты установи Firewoll

19.03.2009, 08:35

Сообщение от Garinsk

Всем привет!
Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время..
Похоже, что службы ещё некоторые остановлены..
Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...)
Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3
И еще не запускается MSConfig
Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига..
Чего может быть?

Собрат по несчастью! У меня на 100% такая же ситуация в сети с 26 компами и серваком. Сервисы автоматически отключаются при работе через сеть с другими компьютерами.
Отступление-------------------------------------------------------------------------
Хотел написать тут по поводу НОД32, человеку, который рекомендует его снести. Не раздавайте таких советов, если вы не работали с этим антивирусом или он вам не нравится по субъективным причинам. К вашему сведению, НОД32 по степени обеспечения безопасности в мировой статистике стоит на несколько порядков выше Касперского.
--------------------------------------------------------------------------------------

Теперь о симптомах. Мой НОД отловил в сети не много, не мало а Conficker.AA и Conficker.Gen... Я подозреваю что это дело рук именно этой разновидности. Но к сожалению часть вредоносного кода НОД не видит, так же как и касперский.
И кстати, у меня лицензионные, корпоративные версии антивирусов, не сломанные и они так же продолжают пропускать вредоносный код.

Если кто-то действительно сталкивался с проблемой, описанной автором и решил её, или хотябы понял источник, то огромная просьба отпишитесь здесь.

Заранее, спасибо!

20.03.2009, 18:16

УРА!!! Я убил ГАДА!!! В полузаражённой сети, машины, над которыми я поколдовал остаются нетронутыми даже при контакте с инфицированными машинами. Сейчас я потихоньку добиваю этого мерзюка на оставшихся машинах. Сервер и машина с интернетом уже работают вовсю.

Автору темы:

Вот тебе ссылка, дружище, читай внимательно и сделай так как там написано, в точности, на каждой машине.

http://kukosh.com/pljus/net-wo... m-borolis/

Единственное что, я скачивал три заплатки не с этой ссылки а с сайта майкрософта, потому что одна из заплаток оказалась битой.

Короче, очень важно запустить утилиту поиска червей, фирмы майкрософт, она в этой ссылке помойму четвёртая идёт. Она находит даже то, чего антивирус не видит. убойная штука.

Сделай себе CD-диск и залей туда:
1. Инсталляцию антивируса, и обязательно в пути обновления пропиши не доменное имя сервера обновлений, а айпи адрес, потому что разновидность Conficker.Gen блокирует имена антивирусных сайтов. Лично я, айпи адрес узнал прямо в службе техподдержки производителя антивируса, объяснил ситуацию и он дал точную ссылку на скачивания. Если у тебя НОД тогда вот ссылка на сайт-обновления: ____http://89.202.157.132/eset_upd/
2. Запиши все программы с сылки, которую я дал выше.
------------------------------------------------------------------------------------

Когда будешь лечить машину, отключай сеть, после установки антивируса, включи сеть, закачай обновления и отключи сеть снова.
Потом прогоняй комп антивирем и убивай всё что попадётся. Когда закончишь запускай подряд все утилиты-убийцы конфикера (Кидо, Даунадуп).
Когда закончишь с утилитами, ставь и запускай полную проверку вот этой утилитой: "Средство удаления вредоносных програм для Windows"
Он на 70% найдёт у тебя дополнительных червей и убьёт.

А после всего ставь три заплатки с сайта майкрософт, которые указаны в ссылке, но лучше качай их прямо с сайта майкрософт а не с сылки, остальное работает наура!

Удачи!

P.S. Но лучше, если ты вылечишь машину и отключишь от сети, потом каждую так, а когда все будут здорвы вводи их в сеть и смотри как работают. Правильно мелкософт предупреждает о заплатках, правильно...

@samurai · 23.03.2009, 21:15

Была такая проблема. На диске С появляется скрытая папочка spooler или spol так вот вирус скорее всего в этой папкею Лично у меня нод ничего не видел. Только один нюанс эта папка не в системной папке system 32 и не в WINDOWS ,а просто отдельно висит. Проверь ее с помощью сканера нод с последним обновлением. Если такой папки нет то зайди в службы и попробуй поменять действия при отключении службы. (Администрирование-Службы (для принтера)-Диспетчер очереди печати) Да еще кое-что если найдешь эту папку в WINDOWS то не торопись удалять это дрова для принтераю

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
		1
	Вирус отключает службы.. 03.02.2009, 12:00. Показов 32868. Ответов 23 Метки нет (Все метки) Всем привет! Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время.. Похоже, что службы ещё некоторые остановлены.. Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...) Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3 И еще не запускается MSConfig Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига.. Чего может быть? 0

@Tiami Яростный кот 43 / 1 / 0 Регистрация: 10.03.2009 Сообщений: 220
	18.03.2009, 21:07	21
	Сообщение от Garinsk Всем привет! Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время.. Похоже, что службы ещё некоторые остановлены.. Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...) Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3 И еще не запускается MSConfig Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига.. Чего может быть? может через Radmin Server пользуется кто то компом?проверь закрыты ли нужные порты установи Firewoll 0

Genesis_x
	19.03.2009, 08:35	22
	Сообщение от Garinsk Всем привет! Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время.. Похоже, что службы ещё некоторые остановлены.. Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...) Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3 И еще не запускается MSConfig Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига.. Чего может быть? Собрат по несчастью! У меня на 100% такая же ситуация в сети с 26 компами и серваком. Сервисы автоматически отключаются при работе через сеть с другими компьютерами. Отступление------------------------------------------------------------------------- Хотел написать тут по поводу НОД32, человеку, который рекомендует его снести. Не раздавайте таких советов, если вы не работали с этим антивирусом или он вам не нравится по субъективным причинам. К вашему сведению, НОД32 по степени обеспечения безопасности в мировой статистике стоит на несколько порядков выше Касперского. -------------------------------------------------------------------------------------- Теперь о симптомах. Мой НОД отловил в сети не много, не мало а Conficker.AA и Conficker.Gen... Я подозреваю что это дело рук именно этой разновидности. Но к сожалению часть вредоносного кода НОД не видит, так же как и касперский. И кстати, у меня лицензионные, корпоративные версии антивирусов, не сломанные и они так же продолжают пропускать вредоносный код. Если кто-то действительно сталкивался с проблемой, описанной автором и решил её, или хотябы понял источник, то огромная просьба отпишитесь здесь. Заранее, спасибо!

Genesis_x
	20.03.2009, 18:16	23
	УРА!!! Я убил ГАДА!!! В полузаражённой сети, машины, над которыми я поколдовал остаются нетронутыми даже при контакте с инфицированными машинами. Сейчас я потихоньку добиваю этого мерзюка на оставшихся машинах. Сервер и машина с интернетом уже работают вовсю. Автору темы: Вот тебе ссылка, дружище, читай внимательно и сделай так как там написано, в точности, на каждой машине. http://kukosh.com/pljus/net-wo... m-borolis/ Единственное что, я скачивал три заплатки не с этой ссылки а с сайта майкрософта, потому что одна из заплаток оказалась битой. Короче, очень важно запустить утилиту поиска червей, фирмы майкрософт, она в этой ссылке помойму четвёртая идёт. Она находит даже то, чего антивирус не видит. убойная штука. Сделай себе CD-диск и залей туда: 1. Инсталляцию антивируса, и обязательно в пути обновления пропиши не доменное имя сервера обновлений, а айпи адрес, потому что разновидность Conficker.Gen блокирует имена антивирусных сайтов. Лично я, айпи адрес узнал прямо в службе техподдержки производителя антивируса, объяснил ситуацию и он дал точную ссылку на скачивания. Если у тебя НОД тогда вот ссылка на сайт-обновления: ____http://89.202.157.132/eset_upd/ 2. Запиши все программы с сылки, которую я дал выше. ------------------------------------------------------------------------------------ Когда будешь лечить машину, отключай сеть, после установки антивируса, включи сеть, закачай обновления и отключи сеть снова. Потом прогоняй комп антивирем и убивай всё что попадётся. Когда закончишь запускай подряд все утилиты-убийцы конфикера (Кидо, Даунадуп). Когда закончишь с утилитами, ставь и запускай полную проверку вот этой утилитой: "Средство удаления вредоносных програм для Windows" Он на 70% найдёт у тебя дополнительных червей и убьёт. А после всего ставь три заплатки с сайта майкрософт, которые указаны в ссылке, но лучше качай их прямо с сайта майкрософт а не с сылки, остальное работает наура! Удачи! P.S. Но лучше, если ты вылечишь машину и отключишь от сети, потом каждую так, а когда все будут здорвы вводи их в сеть и смотри как работают. Правильно мелкософт предупреждает о заплатках, правильно...

@samurai 2 / 2 / 0 Регистрация: 03.03.2009 Сообщений: 28
	23.03.2009, 21:15	24
	Была такая проблема. На диске С появляется скрытая папочка spooler или spol так вот вирус скорее всего в этой папкею Лично у меня нод ничего не видел. Только один нюанс эта папка не в системной папке system 32 и не в WINDOWS ,а просто отдельно висит. Проверь ее с помощью сканера нод с последним обновлением. Если такой папки нет то зайди в службы и попробуй поменять действия при отключении службы. (Администрирование-Службы (для принтера)-Диспетчер очереди печати) Да еще кое-что если найдешь эту папку в WINDOWS то не торопись удалять это дрова для принтераю 0