Вопросы и Ответы / Windows XP /  ?

  Вопрос от посетителя:  

Недавно поставил Интернет и столкнулся с проблемой: при работе в Интернете XP высвечивает окно: "Завершение работы системы, отключение вызвано NT AUTHORITY/SYSTEM, поскольку произошла непредвиденная остановка службы Удаленный вызов процедур (RPC)". После чего комп перезагружается.

  Ответы:  

  TU-154:
У вас вирус типа MSBlast или Sasser. Установите антивирус со свежими базами и просканируйте систему. Установите файрволл, настройте его и включайте при выходе в Интернет. Также закачайте критические обновления с сайта Microsoft с помощью Windows Update (особое внимание обратите на 823980 и 835732). Или установите сервис-пак SP2 - в нем эти дыры в системе безопасности закрыты.

  Юрий:
Вирус Lovesan. Зайди по этой ссылке и почитай: http://www.viruslist.com/index.html?tnews=1001&id=2734532. Для удаления надо использовать утилиту CLRAV. После этого установить заплатку, к примеру, с официального сайта Касперского. Чтобы успеть произвести необходимые действия, нужно найти файл TFTP.EXE (в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE) и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название.

  Сергей Анатольвич:
AUTHORITY\SYSTEM" ПРОИЗОШЛА НЕПРЕДВИДЕННАЯ ОСТАНОВКА. Удалённый вызов процедур (RPC) и комп перезагружаеться. FAQ по сетевому червю Lovesan 1. "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" - все эти имена относятся к одной вредоносной программе. 2. Признаками заражения компьютера являются: Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\); Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут; Многочисленные сбои в работе программ Word, Excel и Outlook; Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"; Появление на экране окна с сообщением об ошибке (RPC Service Failing) 3. "Lovesan" не несет существенной опасности непосредственно для зараженного компьютера. Червь не удаляет, не изменяет и не похищает данные. Его угроза состоит в нарушении нормальной работы Интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода 4. Червь заражает компьютеры под управлением Windows NT, Windows 2000, Windows XP 5. Существует несколько способов защиты от "Lovesan". Во-первых, необходимо загрузить последние обновления антивируса и ни в коем случае не отключать антивирусный монитор во время работы с интернетом. Во-вторых, используйте межсетевой экран (firewall) для блокировки портов 135, 69 и 4444. Наконец, установите обновление для Windows, закрывающее брешь, через которую "Lovesan" проникает на компьютеры. Последний способ является наиболее эффективным, поскольку предотвращает заражение не только "Lovesan", но также всеми его разновидностями и другими подобными червями, использующими описанную брешь Windows. 6. Межсетевой экран (англ. Firewall) - это специальная программа, которая защищает от хакерских атак, контролируя потоки данных между Интернетом и компьютером. Она допускает только безопасные соединения с сетью, фильтрует вредоносные пакеты данных и предотвращает доступ в интернет неавторизованных приложений. Существуют два типа межсетевых экранов: для защиты сетей и рабочих станций. Для защиты домашних компьютеров мы рекомендуем воспользоваться Kaspersky Anti-Hacker (http://www.kaspersky.ru/buyonline.html?info=1092732). 7. Вам необходимо загрузить обновление с сайта Microsoft. 8. Не могу загрузить обновление с сайта Microsoft - компьютер постоянно перегружается. Внезапная перезагрузка компьютера - одно из проявлений "Lovesan". Для обеспечения передачи обновления с сайте Microsoft мы рекомендуем найти файл TFTP.EXE (в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE) и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название. 9. Что мне делать, если вирус уже заразил мой компьютер? Для этого достаточно использовать установленный на вашем компьютере антивирус. Перед этим убедитесь, что антивирус содержит последние обновления базы данных. Также вы можете воспользоваться бесплатной утилитой для защиты от "Lovesan", предлагаемой "Лабораторией Касперского". Данная программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, восстанавливает системный реестр Windows. После завершения работы утилиты перезагрузите компьютер и запустите антивирусный сканер с последними обновлениями базы данных. Утилита является абсолютно бесплатной и доступна для загрузки по адресу: ftp://ftp.kaspersky.com/utils/clrav.com.

  Fazilzar:
Попробуй отключить все системные службы и включай их по одной, тогда обнаружишь свой глюк. Ну а дальше догадаешься что делать.

  Алексей:
Ответ на вопрос об ошибке svchost регулярно начинается с предположения - весьма часто оказывающегося верным, - что комп заражен, однако, что если антивирус обновлен (mcafee), firewall стоит, а ошибка svchost все равно есть?

  vlad:
открой сетевое окружение-свойства-поставь галочку-защитить мой компьютер=запусти ad-aware 6.

  Lammer:
В общем так, после установки обновлений KB823980 и KB824146 нужно выкачать и запустить KB833330 - это обновление собственно и занимается удалением вирусов msblast и lovesan с компьютера. Так же эти вирусы атакуют компьютер через 445 порт, нужно закрыть его с помощью какого либо фаервола, если все же не осведомлен как это делается, скачай програмку по типу SafeXP, в ее последней версии есть опция stop listening on por 445, что собственно тебе и нужно. Так же если сканишь машину антивирусником то желательно отключить все сетевые процессы (причем на уровне сервисов), иначе тот же касперский новых модификаций бластера не находит, что скорее всего связано, хотя точно не знаю, с защитой файлов Windows, ведь происходит заражение системного процесса svchost. Так что совет: выполни сначала cmd - sfc / scannow, винда проверит на соответствие исходных версий своих файлов и если файлы были изменены, то она заменит на прежние версии. После этого только пройдись антивирусником. Да кстати пройдись антивирусником на самом высоком его приоритете по пути:C:\WINDOWS\Driver Cache. А вообщето если все же просто хотите избежать перезагрузки - лечится элементарно :) - после появления окна введите в выполнить: cmd - shutdown -a, и окошко пропадет.

  Mulder:
Обнови антивирус и скачай все апдейты.

  Андрей Дедов:
Это вирус, срочно ставь самый свежий антивирус, и прочти насколько последних выпусков Izone, вопрос этот в каждом выпуске.

  Павел:
Это вирус - Msblast. Используй Касперский, постоянно обновляй для него антивирусные базы.

  Umnik:
Поставь антивирус Касперского пятой версии с последними базами (можно обновить) и лови вирус. Ставь заплатку от Microsoft.

  Юрий:
Однозначно вирус! Поставте антивирус касперского, у меня стоял доктор веб со своей задачей не справился.

  Юрий Доктор:
Пройдись по всем службам и во вкладке "Восстановление" посмотри, какя служба отвечает за перезагрузку после сбоя. Измени это значение на "Не выполнять никаких действий". Ставь антивирусник, обновляй базы и при работе в Инете не забывай включать антивируусный монитор. Установка заплаток дело длительное и не всегда помогает, проверено на собственном опыте. А быстрая помощь при поражении вирусами типа iWorm или подобными на сайте Касперского. Попробуй эту ссылку ftp://downloads1.kaspersky-labs.com/utils/clrav/clrav.zip. Моему компу помогла!

  Алёнка:
Попробовала вышеуказанную ссылку на Касперского - пишет, что ничего не найдено. А комп все равно перегружается регулярно! Что еще можно сделать?

  A948:
Ничего и не найдется, лучше скачать nLite (www.nLiteOS.com) и .NET Framework 2.0, затем это дело установить и "перебить" дистриб Win2000/XP/2003 под себя и не забыть закрыть порт 445.

  Ростислав:
У меня такая же штука, Касперский не справился, поставил AVG - нашел троян. Правда, комп дальше перегружается, но не сразу, а через некоторое время, или когда коннектишься к какому-то непонятному сайту.

Смотреть другие вопросы раздела FAQ Windows XP >>

***