[Eglantine]

Ну это я предполагаю, что это папка виндовского апдейта, может еще что, но я из нее несколько фалов удалила, ничего компьютер пока работает и еще когда удаляешь по одному файлы, их нет потом в корзине. Вообщем кошмар какой-то, незнаю что с ней делать. Вы думаете что надо удалять? Пожалуйста, объясните поподробнее как это удалить в Саф Моде?
Спасибо огромное.


[s]Исправлено: Eglantine, 7:59 15-08-2003[/s]


[s]Исправлено: Eglantine, 8:01 15-08-2003[/s]

[Siava one]

Ginger

Цитата:

40dc704ed2111e6d2a8a5f5d6c9da0be

Это после неудачной попытки установки заплатки, такие папки именно Windows update оставляет.

Eglantine
При загрузке компа, перед появлением лого, нажимай F8, можно много раз нажимать, пока не попадёшь в загрузочное меню, там есть пункт "Безопасный режим" или Safe Mode - грузись в него и попробуй поудалять мусор лишний.
Убивание вируса:
1. ОБЯЗАТЕЛЬНО нажми CTRL+SHIFT+ESC, если в списке процессов есть файл msblast.exe, то ЗАВЕРШИ ЕГО!
2. Пуск-выполнить-msconfig-автозагрузка, найди файл msblast.exe и сними с него автозагрузку.
3. В папке \windows\system32 найди этот самый msblast.exe и УБЕЙ ЕГО!

После всех этих извращений попытайся установить заплатку заново, не перегружаясь.
Если чего, у меня все заплятки к Win2000 и WinXP есть, в том числе и eng.

[Guest]

У нас в локальную сеть тоже попал червь,  за несколько минут все уже заразились. Никто не сообщил на форуме что он удаляет что либо на  винте. У всех нас были отформатированы партиций под FAT32, NTFS червь не трогал. Возможно это модификация.

[Siava one]

Guest
Да ничего он вроде не удаляет. Сидит себе "мирно" в system32 и вызывает ошибки в службе RPС.

Добавлено:

И ещё, червь этот кажись LoveSan зовётся.

Добавлено:

А группа NT AUTHORITY\SYSTEM содержит в себе Debugger Users, которые могут

Цитата:

Debugger users can debug processes on this machine, both locally and remotely

Чем-то трояна напоминает

[Ginger]

Siava one

Цитата:

Это после неудачной попытки установки заплатки, такие папки именно Windows update оставляет.

у меня, наверно просто никогда не было неудачных попыток...  

Цитата:

Чем-то трояна напоминает

да в ХР одни трояны.... М$-вские...

Guest
здесь, наверно, у всех НТФС, поэтому никому ничего не форматировали.

[Eglantine]

Попробовала удалить эту папку в Safe Mode, всей папакой не удаляется. Зашла в папку и удалила все файлы из нее, но там есть несколько папок: asms, download, ic, new, update - которые не удаляются, не открываются, при наводе на них курсора выходит надпись, что папка пустая. Вообщем когда пытаюсь открывать эти папки, выходит окошко, что C:\40dc704ed2111e6d2a8a5f5d6c9da0be\asms is not accessible.
Access is denied.
А если пробую удалять, то Cannot delete asms: Access is denied. Make sure the disk is not full or write-protected and that the file is not currently in use.
И место на диске увеличилось всего на 1%, сейчас стало 4%, но вроде больше ничего постороннего нет.

По всем этим пунктам, ничего похожего нет:
Убивание вируса:
1. ОБЯЗАТЕЛЬНО нажми CTRL+SHIFT+ESC, если в списке процессов есть файл msblast.exe, то ЗАВЕРШИ ЕГО!
2. Пуск-выполнить-msconfig-автозагрузка, найди файл msblast.exe и сними с него автозагрузку.
3. В папке \windows\system32 найди этот самый msblast.exe и УБЕЙ ЕГО!

Пыталась снова установить заплатку, но безуспешно, опять ругается: KB823980 Setup Error
Setup could not verify the integrity of the file Update.inf.
Make sure the Cryptographic service is running on this computer.

Может это троян мозги морочит? Вообщем, не так давно Dr.Web обнаружил у меня на компе трояна в двух местах, но лечить не предложил, я все излазила, пыталась найти как вылечить ничего не получилось и я их просто удалила. После этого проверяла Dr. Web неоднократно и Касперским и еще Бог знает чем, ничего не обнаруживалось больше. Незнаю может это все-таки где сидит?
Кошмар какой-то.

[Eglantine]

Вот сейчас залезла в сервисы проверить включен ли Cryptographic, он-то включен, но заметила там кое-что интересное, раньше мне кажется этого не было.
Вот:
Name: Error Reporting Service
Description: Allows error reporting for services and applictions running in non-standart environment.
Status: Started
Startup Type: Automatic
Log On As: Local System

А может все эти проблемы сейчас от этой строчки? А что с ней делать?

Eglantine
Всё не то. С самого начала.
Не надо было ничего скачивать на зараженную машину. Не стоило надеяться на антивирусы даже с регулярными обновленими. Большинство из них абсолютно ничего не знало о бластере вплоть до 11 августа. Насколько я знаю Семантек выпустил обновление обнаруживающее  вирус только 11 -го поздно вечером. Касперский и д-р Веб несколько позже. пытаться найти  вирус  с обновлениями раньше 12-го августа  бессмысленно.
Самое главное что надо было сделать - это убить процесс выкинуть blast.exe из авторуна в реестре и ВКЛЮЧИТЬ ФАЙЕРВОЛ. Заплата в такой ситуации- дело не первостепенное.
главное -удалить вирус и поставить Файервол потому что он закрывает этот поганый epmap(135 порт).
Надеюсь system restore ты не отключала?
если ты пыталась установить обновление оно обязано было сделать контрольную точку.
Вернись к ней, отключи ресторе,  очисти от всех контрольных точек (cleanmgr.exe), удали вирус отовсюду  и включи файервол, хотя бы встроенный. Затем можешь поставить патч. Включи ресторе - сделай контрольную точку и снова очисть диск - от всех контрольных точек кроме последнй  и только после этого подключай кабельки и модемы

PS C:\40dc70..  это папка незавершившегося  обновления

Вот такая, мама, здесь у нас программа

[Eglantine]

Надеюсь system restore ты не отключала?
если ты пыталась установить обновление оно обязано было сделать контрольную точку.
Вернись к ней, отключи ресторе,  очисти от всех контрольных точек (cleanmgr.exe), удали вирус отовсюду  и включи файервол, хотя бы встроенный. Затем можешь поставить патч. Включи ресторе - сделай контрольную точку и снова очисть диск - от всех контрольных точек кроме последнй  и только после этого подключай кабельки и модемы.

_____________________________________________-

System restore я не отключала.
Пожалуйста подскажите, где эта котрольная точка, я обычный чайник и если не сложно объясните поподробнее. PLS

Добавлено:

И еще подскажите пожалуйста, на диске С папка I386 (С:\I386), она и до этого всего была, но сейчас она просто огромная стала. Я незнаю, ведь такая же папка есть в С:\Windows\I386 можно что-то из нее удалять или можно ее всю удалить, вообще она должна быть на С?

Eglantine

пуск-программы-стандартные-служебные -восстановление системы
Запусти программу и ты увидишь что-то наподобие календаря, в котором жирным цветом будут выделены дни когда создавались контрольные точки (в один день их может быть несколько). Выбери последний (или какой захочешь) и нажми восстановить. Все будет восстановлено плоть до того состояния когда была создана эта к.т.
Имей ввиду, восстановление может затронуть все диски и если у тебя в этот промежуток времени (от сегодня до контрорльной точки) где-то были записаны, какие-либо важные даннные -они исчезнут. Чтобы избежать этого, надо на вкладке - мой компьютер-свойства -восстановление системы удалить наблюдение со всех дисков кроме системного (обычно диск с:/  
Эта операция (восстановление системы) полностью обратима- т.е. если после восстановления системы тебе что-то не понравится, ты всегда посредством той же программы, сможешь отменить это восстановление *Там же можно самому принудительно создавать контрольные точки, обычно это делается перед каким либо сильными действиями, которые могут задеть систему.
Если что-то непонятно не забывай использовать клавишу f1 там все очень подробно описано


Добавлено:

папка I386- содержит файлы дистрибутива.
При наличии загрузочного диска XP, без неё вполне можно обойтись


[s]Исправлено: mb, 2:19 16-08-2003[/s]