ПРЕМАХВАНЕ НА "MS BLASTER" ::...
1. Възстановяването на Интернет връзката
В повечето случаи на Windows 2000 и XP промяната на настройките на Remote Procedure Call (RPC) услугата може да ви позволят да се свържете с Интернет без да причините рестартиране на системата. За да възстановите връзката си с Интернет следвайте следните стъпки:
Натиснете Start > Run. Появява се диалоговата кутийка "Run".Напишете:
SERVICES.MSC /S
...натиснете ОК. Появява се прозореца "Services".
Локализирайте "Remote Procedure Call (RPC)" услугата в десния панел.
ВНИМАНИЕ: Има друга услуга, наречена "Remote Procedure Call (RPC) Locator". Да не вземете да се объркате.
Десен клик върху "Remote Procedure Call (RPC)" услугата, и Properties най-долу. Натиснете на езичето "Recovery". Използвайки падащата листа променете "First failure", "Second failure" и "Subsequent failures" на "Restart the Service". Натиснете "Apply" и след това "ОК".
ВНИМАНИЕ: След като премахнете червея трябва задължително да върнете стойностите обратно!
2. Спиране на зловредния процес
Натиснете Ctrl+Alt+Delete ВЕДНЪЖ.
Натиснете Task Manager /при 2000/.
Натиснете езичето "Process".
Сортирайте по азбучен ред с двоен клик върху "Image Name". Скролирайте през листата и се оглеждайте за Msblast.exe. Като го намерите, натиснете "End Process" и излезте от Task Manager-a.
3. Изтриване на файла на червея
Снабдете се с най-новите дефиниции за антивирусната програма, която ползвате.
Погледнете в настройките - да сканира във ВСИЧКИ файлове, вкл. и архивите с най-висока степен на дълбочина за евристиката!!! Трябва да намери и изтрие файла без проблем.
5. Да възстановим данните в регистъра
ВНИМАНИЕ: Бъдете много внимателни, когато боравите с регистъра. Ако знаете как най-добре направете негово копие - backup.
Натиснете "Start" и след това "Run", както преди. Напишете "regedit" (без кавичките) и натиснете ОК. Отваря се вграденият редактор на регистри на Windows - Regedit.
Навигирайте до ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
В десния панел изтриите единствената стойност - "windows auto update" с клавиша delete.
Излезте от Regedit.
6. И накрая - да се снабдим с кръпката, която оправя RPC DCOM пролуката
W32.Blaster.Worm е червей, който се възползва от RPC DCOM пролука, използвайки TCP порт 135, за да зарази компютъра ви. Той също се опитва да осъществи DoS (Denial of Service - Отказ от услуга) към "Windows Update" сървърът на Microsoft (windowsupdate.com).
За да оправите това използвайте този фикс (или потърсете в сайта на Microsoft за "Microsoft Security Bulletin MS03-039" - там е описано надълго и нашироко) :
http://wigger.data.bg/-=%20Hack%20=-/FixSasser+patch%20WinXP.rar
В него са включени и фикса за Windows, така и Remove Tool на Symantec, който ще ви спести труда.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
ПРЕМАХВАНЕ НА "SASSER" ::...
За да предпазите системата си от shutdown направете следното:
Прекъснете хардуерно връзката си с интернет. Рестиртирайте компютъра. Веднага, когато Windows се зареди натиснете Ctrl+R или отидете в Start => Run.
Напишете : cmd, появява се Command Prompt.
Напишете : "shutdown -i" (без кавичките) и натиснете Enter.
В прозореца Remote Shutdown, който се отваря напишете следното:
Натиснете Add, напишете името на компютъра си в диалоговата кутийка Add Computers, и натиснете OK. В полето "Display warning for", напишете 9999. В кутийката Comment напишете следното:
Delay Lsass.exe shutdown.
Натиснете OK. Така заваме много по-голям лимит от оригиналния 9999 секунди, което е 2 часа и нещо. Надявам се да ви стигнат.
Подновете връзката си с Интернет и инсталирайте съответната кръпка за вашата система
Windows NT 4.0 ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000 ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylan=en
Windows Server 2003 64 bit Edition ::...
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
Най-добре направо пуснете WindowsUpdate - http://windowsupdate.microsoft.com! Предназначението на тези кръпки е да ви пазят от повторно заразяване.След като вече сте закърпили системата си с подходящата кръпка трябва да премахнем самият червей.
Изтеглете "Removal Tool" от сайта на Symantec.
http://securityresponse.symantec.com/avcenter/FxSasser.exe
Инструментът си върши работата, сканира и чисти.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Сканиране ::...
И в двата случая накрая пуснете една АВ или един онлайн Антивирусен скенер, за да сте сигурни, че няма останали живи.
Надявам се това инфо да е било полезно. Поздрави на всички и успех в начинанието им да се освободят доживотно от тези две гадини, които между другото още се появяват тук-таме. Затова не сваляйте гарда.
-------------------
АВТОР - dEmON