постоянные перезагрузки

[Oxygene]

Гы. Голос из норы:
to NRG:
"антивирь находит червя только после того, как в MS разродятся на спецификацию процесса."
Да, да все антивирусные конторы только и делают, что ждут когда MS дизассемблирует очередное тело и проанализирует его поведение. Куда ж им самим то!
"но я еще не видел сети (провайдерские не в счет), где все машины защищены фаерами"
А че у провайдеров уже другие сетки? Я чей-то пропустил? А что сейчас модно ставить стенки на все машины в локалке? Раньше было принято на внешку ставить шлюз и делать зону отчуждения.
"очень хотелось бы посмотреть на грамотея, который антивирем убил хотя бы сассера в момент его появления, без установки заплатки"
А че руками его убить религия не позволяет?

to Tasya:
А номер KB не скажешь? Шоб мы тоже были в курсе ситуации.

[NRG]

Гы. Голос из норы:
to NRG:
"антивирь находит червя только после того, как в MS разродятся на спецификацию процесса."
Да, да все антивирусные конторы только и делают, что ждут когда MS дизассемблирует очередное тело и проанализирует его поведение. Куда ж им самим то!

RTFM

"но я еще не видел сети (провайдерские не в счет), где все машины защищены фаерами"
А че у провайдеров уже другие сетки? Я чей-то пропустил?

разницу между внутренней сетью организации или провайдерской сетью осчусчаим?

А что сейчас модно ставить стенки на все машины в локалке?

читаем внимательно, что я написал, не перекручиваем, ибо моветон

А че руками его убить религия не позволяет?

ммммм, месье может руками перебрать lsas..
завидую

[Oxygene]

RTFM


разницу между внутренней сетью организации или провайдерской сетью осчусчаим?

читаем внимательно, что я написал, не перекручиваем, ибо моветон


ммммм, месье может руками перебрать lsas..
завидую

Гы, дайте работать.
Да нет принципиальной разницы между внутренней и провайдерской сетью. Ну нет ее! Сеть она и в африке сеть.
А по поводу lsass. Если мене не изменяет память, saccer использовал уязвимость lsass только для ребута машины и не более того. Для того чтобы его убить не нужно быть семи пядей во лбу и дизассемблить все ядро ОС.

[NRG]

Да нет принципиальной разницы между внутренней и провайдерской сетью.

архитектурно - нет, согласен. ну почи нет
я говорил про наличие фаерволов на отдельных клиентских машинах

А по поводу lsass. Если мене не изменяет память, saccer использовал уязвимость lsass только для ребута машины и не более того.

немного все же более
кстати, под сассером можно было работать, если отрубить машину от сети.
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fSasser

вычищать его полностью - дело гемморное, надо было знать последовательность присвоения имен файлов.
окончательно он затыкался лишь заплаткой
когда же сассер начинает гулять по внуренней корпортавной сетке, продившись за защиту фаера, выловить его вручную - геммор еще тот.

но!
но мы удалились от сабжа - ребуты машины топикстартера
тот же сассер (как и другие ему подобные) ребут сопровождают грозным надписьйом. в данном случае этого не было. потому есть подозрения на блок питания недостаточной мощности, либо каличного производителя.

[Oxygene]

В приведенной тобой статье написано ровно то, что я и сказал ранее.
А че там было чистить? Он создавал, по моему, только три файла.
Другое дело что он стэлсился, это да, но и опять гемора не много. Грузишься в safe или с чистой системы, убиваешь в реестре его загрузку, ну и дальше по цепочке файлы на диске.
А по поводу БП, я бы не был столь категоричен, очень вероятен еще и перегрев и битая память. Кстати, я видел модификацию saccera, который бутил машину безо всяких сообщений, правда только в сети. Так что и его списывать со счетов еще рано.

[NRG]

В приведенной тобой статье написано ровно то, что я и сказал ранее.

и есче немношка больше
более поздние модификации сассера бали куда умнее, хотя у них оставалось общее - приходили с почтой или по сетке, сами прописывались, потом начинали спамить запросами на порты (в ранней модификации 1 порт юзали, но видел вроде до 3-х)

А че там было чистить? Он создавал, по моему, только три файла.

видел версию, которая прописывалась по всему винту - т.е. по все логическим разделам, оставляла себя в моих документах, в корнях дисков

А по поводу БП, я бы не был столь категоричен, очень вероятен еще и перегрев и битая память.

тут могут фактора - БП и недостаточное напряжение в сети.
но топикстартер куда-то пропал, так что можно только на кофейной гуще гадать
про сасера более я не коментец - это холивор, а мне пальтсоф жалко