Organic:
Nemam virusa ni spywareova na kompu , a stalno posle mozda pola sata na kompu javi mi se neka greska i onda pocne ocitavanje(50 , 49 , 48...) i trazi mi da restartujem komp ... Zna li neko shta je ovo , pls help!!!
Imas MSBLAST i kod mene je bilo... I veoma je tezak za izbacivanje...
***EVO KAKO DA GA IZBACIS***
Posto svaka treca tema ovde izlazi sa ovim problemom, ovde cu objasniti ukratko sta se desava. Sve teme sa ovakvim subject-om bice ubuduce brisane bez obavestenja!
Dakle, ako vam se to dogadja, zakacili ste nesrecni MSBlast odnosno Lovesan ili njegove varijacije. Manifestuje se time sto vam posle odredjenog vremena GHP (Generic Host Process) otkaze, i Windows se sam restartuje posle 60 sekundi, bez ikakvog nacina da to zaustavite. Resenje mozete naci ako kliknete na 'Pretraga' u meniju ovog foruma, pa trazite: MSBlast, medjutim, evo, ponovicu sve o istom.
Koje sisteme napada?
Ovaj crv napada sve Windows NT sisteme, dakle: Windows NT, Windows 2000, Windows XP i Windows 2003.
Kako se instalira?
To je propust u svchost sistemu koji omogucava 'napadacu' (samom crvu) da vam fino udje u sistem i sam sebe instalira, bez vase intervencije. Ko se posle ovoga usudi da kaze da je Windows siguran sistem, udavicu ga u solju!
Kako se siri?
Postoje 2 verzije istog propust, jer je propust razlicit u zavisnosti od od operativnog sistema. Worm koristi neku svoju inteligenciju po kojoj je Windows XP i Windows 2003 (druga verzija) tri puta vise rasprostranjen od Windows NT i Windows 2000 (prva verzija).
Zato, kad se na nekom racunaru instalira, on skenira IP range-ove u potrazi za zrtvama i kad naleti na neku, pokusava da ubaci worm (ukoliko masina nije zasticena). Kao sto rekoh, salje sebe u 2 verzije, tako sto posalje 3 puta Windows XP/2K3 verziju, a jednom Windows NT/2k. Ukoliko pokusa XP verziju da ubaci na 2K, SVCHOST ce krahirati, ali nece se nista instalirati, i obrnuto. Ukoliko vam stigne prava verzija, dobicete simptome koji su gore navedeni (restartovanja i gasenja sistema prouzrokovana Generic Host Process-om).
Kako ocistiti vec zarazen sistem i zastititi sistem koji nije zarazen?
Za pocetak, morate zaustaviti napade istog. Worm se siri striktno preko portova: 135 i 1026. Dakle, ukoliko posedujete neki firewall program, imali ili nemali porblema sa MSBlast-om, obavezno zatvorite ove portove. I onako vecini korisnika nikad nece zatrebati.
Dalje, da bi ste mogli da skinete neki removal tool i Microsoft-ovu zakrpu, moracete da prekinete restartovanje. To cete odraditi na sledeci nacin:
1) Skoknite u Control Panel / Services, ili Control Panel / Administrative Tools / Services. Tu nadjite RPC (Remote Procedure Call), pa desni klik -> Properties (ili double click), pa idite na 'Recovery' jezicak. Za sva tri, tj. First Failure, Second Failure i Subsequent Failures umesto "Restart The Computer" odaberite "Take no action".
Sada mozete da skinete zakrpu sa microsoft-ovog sajta, a da vam se kompjuter ne restartuje. Dakle idite na: windowsupdate.microsoft.com, i tazite patch za vas OS. Evo shortcut-ova:
Windows NT Workstation 4.0:
http://download.microsoft.com/downl...146-x86-ENU.EXE
Windows NT Server 4.0:
http://download.microsoft.com/downl...146-x86-ENU.EXE
Windows NT Server 4.0, Terminal Server Edition:
http://download.microsoft.com/downl...146-x86-ENU.EXE
Windows 2000:
http://download.microsoft.com/downl...146-x86-ENU.exe
Windows XP Home/Professional/Tablet PC/Media Center Edition:
http://download.microsoft.com/downl...146-x86-ENU.exe
Windows XP 64-Bit, Version 2002:
http://download.microsoft.com/downl...46-ia64-ENU.exe
Windows Server 2003 (32-bit):
http://download.microsoft.com/downl...146-x86-ENU.exe
Windows Server 2003 (64-bit) and Windows XP 64-Bit, Version 2003:
http://download.microsoft.com/downl...46-ia64-ENU.exe
Kad skinete verziju vama potrebnu, ne pustajte je jos jer ce traziti restart. Prvo morate da ugasite 'System Restore'. Dakle, desni klik na My Computer na desktopu, i idite na Properties (ili obilazna putanja, Control Panel -> System). Kliknite na jezicak 'System Restore', i onda na 'Turn off System Restore on all drives'. Zatim idite na OK. Ako trazi restart, nemojte jos da restartujete.
Diskonektujte se (jer preko interneta opet moze uci crv ako ga ubijete).
Sad trebate da ubijete MSBlast-a. To cete lako uciiti ako pritisnete ctrl+alt+del (Task Manager), i odete na Processes jezicak. Ako tu nadjete jedan (ili cak vise) od navedenih:
msblast.exe
penis32.exe
teekids.exe
mspatch.exe
mslaugh.exe
enbiei.exe
Idite na End Task da ga/ih ubijete. Obavezno zapamtite koji su sve tu bili (ako ih je bilo vise, mada je to vrlo retko). Sada ih treba locirati i izbaciti iz registry baze, kako se ne bi startovali pri sledecem podizanju windows-a.
Idite na Start / Run, i tu kucajte: regedit
To ce vam otvoriti registry editor. U njemu idite na kljuc:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/
Odatle se taj famozni worm startuje pri svakom podizanju windowsa. U tom registry kljucu trazite fajlove koje ste malopre ubili iz Task Managera (naziv fajla se nalazi u Data delu tog kljuca). Uglavnom su nazivi (Name) tih kljuceva:
windows auto update
Microsoft Inet xp..
Nonton Antivirus
Windows Automation
www.hidro.4t.com
Svaki kljuc gde nadjete neki od onih .exe fajlova u Data delu obrisite. Tako, sada se vise MSBlast/Lovesan nece startovati. Sad trebate i fizicki da ga obrisete sa diska (da ga slucajno opet ne startujete). On sebe instalira u nekoliko razlicitih pod-direktorijuma u windows direktorijumu (direktorijum gde ste instalirali windows, najcesce c:\windows ). Dakle, tamo trazite sve ove .exe fajlove (standardni windows-ov find), i gde god ih nadjete, obrisite ih.
Tako, sada je MSBlast nestao sa vaseg sistema.
Sada trebate da se potrudite da se vise nikad ni ne pojavi. Startujte Microsoft-ov patch koji ste malo-pre skinuli. Kad zavrsi trazice restart, lepo resetujte.
Kad se podigne sistem, Windows je zauvek zasticen od ovoga (bar dok ga opet ne reinstalirate). Sada opet ukljucite System Restore (ako zelite, naravno) tamo gde ste ga iskljucili, i opet idite u Services (Control Panel / Services ili Control Panel / Administrative Tools / Services), nadjite RPC (Remote Procedure Call), i opet u Recovery vratite First Failure, Second Failure i Subseqent Failures na "Restart The Computer".
Resetujte, popnite se slobodno na net, i vidite kako ste prosli. Ako ste sve odradili kako sam ovde objasio. Vise necete imati tog problema.
Srecno!