Служба сообщений

Vitaly Slobodskoy написал(а) к All в Apr 04 19:55:24 по местному времени:

Привет, All!

У меня WinXP Pro, обычно выключаю в ждущем режиме. Сегодня, после того, как
грузанул свой профилль, обнаружил странное сообщение, якобы от Службы сообщений
винды:


-----------------------------
Сообщение от MICROSOFT NETWORKS для WINDOWS USER на 10.04.2004 16:47:31

Microsoft Security Bulletin MS03-043

Buffer Overrun in Messenger Service Could Allow Code Execution (828035)

Affected Software:

Microsoft Windows NT Workstation
Microsoft Windows NT Server 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Win98
Microsoft Windows Server 2003

Non Affected Software:

Microsoft Windows Millenium Edition

Your system is affected, download the patch from the address below !

FIRST TYPE TНE ADDRESS BELOW INTO YOUR INTERNET BROWSER, TНEN CLICK 'OK'.
TНE ADDRESS WILL DISAPPEAR ONCE YOU НIT 'OK'.

www.windows-patch.info
--------------------------

Вот такая вот загогулина! Сестрёнку спросил - ничего сегодня не скачивала и не
запускала лишнего... опять механизм автозапуска как у msblast? (винда на
предмет RPC пропатчена) Вирус? Могет кто-то с подобным уже встречался, я ещё
про такое не слышал...
Подскажите, pls, откуда начать лечить... прогнал папку windows - AVP ничего не
нашёл... update недельной давности...

-+-
Slobodskoy Vitaly
e-mail: slvv<doggy>uic.nnov.ru
ICQ: 128334991


--- WP/95 Rel 1.78E (215.0) Reg.

Andrey Volkov написал(а) к Vitaly Slobodskoy в Apr 04 22:11:30 по местному времени:

Глаза мои видели, что 10 Apr 04 в 19:55 Vitaly Slobodskoy в NINO.НARD&SOFT
писал к All послание на тему <Служба сообщений>

VS> Вот такая вот загогулина!

Пpисоединяюсь.

Как отpубить под w2k сабж? Задолбал этот нетpадиционный спам, каждую ночь почти
выпpыгивало, когда в тыpнете сидел.

Андpей.

[Milinis & Co MD] [SOLTEK Fans] [Mineralka team]

--- FIPS/2001 Phoenix <build 1.09.02>

Alexey Gorbunov написал(а) к Vitaly Slobodskoy в Apr 04 08:27:00 по местному времени:

Доброго времени суток, Vitaly !

10 Апр 04 20:55, Vitaly Slobodskoy поюзал клаву и написал All:

VS> У меня WinXP Pro, обычно выключаю в ждущем режиме. Сегодня, после
VS> того, как грузанул свой профилль, обнаружил странное сообщение, якобы
VS> от Службы сообщений винды:

Поставь TweakXP и отруби все лишнее типа MSN Messenger для начала

VS> -----------------------------
VS> Сообщение от MICROSOFT NETWORKS для WINDOWS USER на 10.04.2004
VS> 16:47:31

VS> Microsoft Security Bulletin MS03-043

Такая штука имеет место быть, кстати.

VS> Your system is affected, download the patch from the address below !

А вот этого делать не надо ни в коем случае, поскольку...

VS> FIRST TYPE TНE ADDRESS BELOW INTO YOUR INTERNET BROWSER, TНEN CLICK
VS> 'OK'. TНE ADDRESS WILL DISAPPEAR ONCE YOU НIT 'OK'.
VS> www.windows-patch.info

...этот адрес явно не относиться к мелкософту.

VS> Вот такая вот загогулина! Сестрёнку спросил - ничего сегодня не
VS> скачивала и не запускала лишнего... опять механизм автозапуска как у
VS> msblast? (винда на предмет RPC пропатчена) Вирус?

Вероятнее всего.

VS> Могет кто-то с подобным уже встречался, я ещё про такое не слышал...
VS> Подскажите, pls, откуда начать лечить... прогнал папку windows - AVP
VS> ничего не нашёл... update недельной давности...

Неделя - это очень много.
Начни с обновления, затем прошерсти temporary internet files.
И включи встроенный firewall - на будущее.

WBR, Alg0r at work

--- Вот так и живем в W32...

Alexey Gorbunov написал(а) к Andrey Volkov в Apr 04 08:34:00 по местному времени:

Доброго времени суток, Andrey !

11 Апр 04 22:11, Andrey Volkov поюзал клаву и написал Vitaly Slobodskoy:

VS>> Вот такая вот загогулина!

AV> Пpисоединяюсь.

AV> Как отpубить под w2k сабж? Задолбал этот нетpадиционный спам, каждую
AV> ночь почти выпpыгивало, когда в тыpнете сидел.

Добрый вирус предупреждает вас, что на вашей машине есть дыра, через которую
возможно он к вам и ломится, а вы - отключить, отключить...
То, что этот добрый вирус предлагает скачать руками возможно вирус и возможно
более злой - другое дело...
Отрубить? Панель управления - Администрирование - Службы. Ищем соответствующую
службу, Свойства, ставим Отключено вместо Авто, а затем службу останавливаем.

WBR, Alg0r at work

--- Вот так и живем в W32...

Andrey Volkov написал(а) к Alexey Gorbunov в Apr 04 14:38:04 по местному времени:

Глаза мои видели, что 12 Apr 04 в 08:34 Alexey Gorbunov в LOCALMAIL
писал к Andrey Volkov послание на тему <Служба сообщений>

AV>> Как отpубить под w2k сабж? Задолбал этот нетpадиционный спам, каждую
AV>> ночь почти выпpыгивало, когда в тыpнете сидел.

AG> Добpый виpус пpедупpеждает вас, что на вашей машине есть дыpа, чеpез
AG> котоpую возможно он к вам и ломится, а вы - отключить, отключить...

Увеpен на 100%, что это виpус?
А то я подумывал, что это чё-то типа net send, пpосто на ip-шник спамит...

AG> Отpубить? Панель упpавления - Администpиpование - Службы. Ищем
AG> соответствующую службу, Свойства, ставим Отключено вместо Авто, а затем
AG> службу останавливаем.

Ага, спасибо, нашлась.

Андpей.

[Milinis & Co MD] [SOLTEK Fans] [Mineralka team]

--- FIPS/2001 Phoenix <build 1.09.02>

Alexander Myodov написал(а) к Alexey Gorbunov в Apr 04 22:56:36 по местному времени:

Приветствую, Alexey!

12 Апр 04 09:27, Alexey Gorbunov писал Vitaly Slobodskoy:

VS>> У меня WinXP Pro, обычно выключаю в ждущем режиме. Сегодня,
VS>> после того, как грузанул свой профилль, обнаружил странное
VS>> сообщение, якобы от Службы сообщений винды:
AG> Поставь TweakXP и отруби все лишнее типа MSN Messenger для начала
Это не MSN Messenger, а служба Messenger. Друг к другу оные отношения не имеют.
MSN Messenger - это такой IM типа Миранды :), а служба Messenger отвечает за
показ тебе на экране сообщений, которые тебе кто-нибудь шлёт посредством net
send.
Отключается оная посредством services.msc или FAR-а (не помню, правда,
дефолтный это плагин, или сторонний).

До встречи!
Александр

--- AuED+/W32 1.1.5-030809

Alexey Gorbunov написал(а) к Alexander Myodov в Apr 04 14:33:04 по местному времени:

Доброго времени суток, Alexander !

13 Апр 04 23:56, Alexander Myodov поюзал клаву и написал Alexey Gorbunov:

VS>>> У меня WinXP Pro, обычно выключаю в ждущем режиме. Сегодня,
VS>>> после того, как грузанул свой профилль, обнаружил странное
VS>>> сообщение, якобы от Службы сообщений винды:
AG>> Поставь TweakXP и отруби все лишнее типа MSN Messenger для начала
^^^^^^^^^^^^^^^

AM> Это не MSN Messenger, а служба Messenger. Друг к другу оные отношения
AM> не имеют.

Читаем внимательно подчеркнутое. По умолчанию в ХР много чего лишего включено,
в т.ч. и критичного с т.з. безопасности...

AM> Отключается оная посредством services.msc или FAR-а (не помню,
AM> правда, дефолтный это плагин, или сторонний).

Сторонний.
В стандарте - только список процессов.

WBR, Alg0r at work

--- Вот так и живем в W32...

Alexey Gorbunov написал(а) к Andrey Volkov в Apr 04 14:54:06 по местному времени:

Доброго времени суток, Andrey !

13 Апр 04 14:38, Andrey Volkov поюзал клаву и написал Alexey Gorbunov:

AV>>> Как отpубить под w2k сабж? Задолбал этот нетpадиционный спам,
AV>>> каждую ночь почти выпpыгивало, когда в тыpнете сидел.

AG>> Добpый виpус пpедупpеждает вас, что на вашей машине есть дыpа,
AG>> чеpез котоpую возможно он к вам и ломится, а вы - отключить,
AG>> отключить...

AV> Увеpен на 100%, что это виpус?

Нет.

AV> А то я подумывал, что это чё-то типа net send, пpосто на ip-шник
AV> спамит...

А вирусы - они разные. Просьба скачать "патч" для Windows с сайта, отличного от
windowsupdate.microsoft.com наводит на самые разные мысли, в зависимости от
уровня параноидальности.

AG>> Отpубить? Панель упpавления - Администpиpование - Службы. Ищем
AG>> соответствующую службу, Свойства, ставим Отключено вместо Авто, а
AG>> затем службу останавливаем.

AV> Ага, спасибо, нашлась.

И прикрой наружу все netbios порты - идеологически это гораздо более верно, чем
просто отключить службу :)

WBR, Alg0r at work

--- Вот так и живем в W32...

Andrey Volkov написал(а) к Alexey Gorbunov в Apr 04 19:27:20 по местному времени:

Глаза мои видели, что 14 Apr 04 в 14:54 Alexey Gorbunov в LOCALMAIL
писал к Andrey Volkov послание на тему <Служба сообщений>

AG> И пpикpой наpужу все netbios поpты - идеологически это гоpаздо более
AG> веpно, чем пpосто отключить службу :)

Как пpедлагаешь это сделать?

Андpей.

[Milinis & Co MD] [SOLTEK Fans] [Mineralka team]

--- FIPS/2001 Phoenix <build 1.09.02>

Alexey Gorbunov написал(а) к Andrey Volkov в Apr 04 01:11:00 по местному времени:

Доброго времени суток, Andrey !

15 Апр 04 19:27, Andrey Volkov поюзал клаву и написал Alexey Gorbunov:

AG>> И пpикpой наpужу все netbios поpты - идеологически это гоpаздо
AG>> более веpно, чем пpосто отключить службу :)

AV> Как пpедлагаешь это сделать?

Вроде в внитукее уже встроенный брандмауэр имеется?
Или - любым брандмауэром от стороннего производителя, типа NIS.

Счастливо. Alexey
[Team Бородатые дяди Лёши] [TEAM ВСЕ МАСТДАЙ]

... e-mail: algor@howto.at
--- Вот так и живем в W32...