Выпуск N18, 02.09.2003
Всем привет. Немного поработал над дизайном сайта - теперь он выглядит лучше, посмотрите. Так же на сайте заработал раздел Windows Support Tools. Теперь описание команд можно посмотреть не только в рассылке, но и прямо в разделе сайта. Команды будут появляться на сайте по мере их опубликование в рассылке.
 
Новости
В зарубежных СМИ появилась более подробная информация о создателе одной из модификаций червя Blaster, восемнадцатилетнем старшекласснике Джеффри Ли Парсоне. Парсон был арестован в прошедшую пятницу. Выйти на его след ФБР удалось с помощью свидетеля, видевшего как Парсон модифицировал исходную версию Blaster. Вскоре после ареста арестованный школьник признался в создании червя Blaster.B - модификации Blaster, содержащей функции трояна и позволявшей отслеживать зараженные машины через интернет.
В настоящее время Парсон находится под домашним арестом. Ему предъявлено обвинение по одному пункту - намеренной попытке нанесения ущерба компьютерным системам. Если суд признает подростка виновным, то ему грозит максимальное наказание в виде десяти лет тюрьмы и штрафа в размере 250 тысяч долларов США.
Что касается самого Парсона, то соседи и знакомые характеризуют его положительно. В частности, приятель хакера Майк Хелдт (Mike Heldt) отметил, что Парсон является вполне нормальным подростком и вляпался в дело с Blaster по недоразумению. С другой стороны, соседи отмечают, что создатель варианта Blaster был замкнутым, увлекался компьютерами, а его кумиром был не кто иной как Билл Гейтс. В то, что Парсон написал или модифицировал один из самых грозных интернет-червей, многие его соседи до сих пор не верят.
В ФБР, тем временем, отмечают, что модифицировать червь значительно проще, чем написать его с нуля, Парсону это было вполне по силам, и все свои действия он проделал намеренно. Арестовывали подростка как матерого преступника: 30 агентов ФБР окружили дом, загнали всю семью в гараж и конфисковали семь имевшихся в доме компьютеров. В настоящее время юный хакер не имеет права пользоваться интернетом и должен постоянно носить электронную метку для определения местонахождения.
 
Я давно хотел открыть раздел "Советы читателей", но никак не мог этого сделать, поскольку советов от вас не было. Но недавно мне пришло письмо нашего подписчика (который, кстати, активно отвечает на вопросы наших читателей), которое и откроет данный раздел. Если вы можете дать полезный совет нашим читателям, пришлите его на вдрес msprodfaq@ukr.net с темой Sovet.
 
Советы читателей
Совет прислал Дмитрий.
Здравствуйте!
Последнее время стало приходить очень много вопросов связанных с вирусом Lovsan (Blaster, Msblast).
Вопросы приблизительно одинаковые, например:
"При работе в Интернете по модему через 1-5 минут (каждый раз время разное) появляется сообщение:"Необходимо перезагрузить windows поскольку произошла непредвиденная остановка службы "удаленный вызов процедур (RPC). Отключение вызвано ntauthority system."И дается время 1 минута для того чтобы успеть сохраниться, после чего windows перезагружается. Что случилось? И как побороть?
Так вот в связи с этим, я думаю следует в самом начале рассылки написать примерно следующее: Внимание! Если у вас при выходе в Интернет появляется ошибка RPC, то у вас завёлся вирус Lovsan. Вам необходимо обновить антивирусные базы? или скачать бесплатную утилиту для лечения этого вируса по адресу ftp://ftp.kaspersky.com/utils/clrav.zip. Те кто не могут обновить антивирусные базы и скачать утилиту могут удалить вирус вручную. Делается это так, запускается редактор реестра, в нём по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run находится ключ windows auto update="msblast.exe" его нужно удалить, потом перезагружаете компьютер и запускаете поиск файла msblast (обычно он находится в C:\WINDOWS\system32).
Поле того как найдёте файл его следует удалить. Для того что бы вирус больше не приставал надо поставить заплатку для Windows.
Вот ссылки для скачивания заплаток:
Windows 2000
русский
http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe
английский
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

Windows XP 32 bit Edition
русский
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe
английский
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
С уважением, Дмитрий.
 
Вопросы профессионалам
000063. Всем привет. У меня вот какая проблема. Итак, MB MSI 6580 i845PE Sound S478 ATX при подключении FM Radio Tuner отключается встроенный звук на мамке. А при просмотре свойст звука он пишет: "Аудиоустройства необнаружены", (вообще FM Tuner находится в хорошем состоянии). Драйвера к FM Tuner установлены. Но звуковую карту комп не видит. А когда вынимаешь из компьютера FM Radio, встроенный звук снова появляется. Помогите чем нибудь. Напишите на мыло что мне делать. Спасибо. -- spawn Ответить...

---

000065. Здравствуйте! У меня есть проблема: Зашифровал файлы и папку работая Админом в ХРюхе ( диск в NTFS). Через месяц, попробовал расшифровать, не получается! Хотя расшифровывал также Админом. Говорит также, что к моему сертификату нет доверия!. Где найти этот центр сертификации? Что делать? В системе 3 учётные записи, 2 административные и 1 гостевая. Ответить...

---

Вопросы
000074. Доброго вам дня! У меня проблема. При удалении антивируса Нортон, случайно удалил корзину. Как теперь мне восстановить эту корзину. Благодарю за любой совет. Иван Мелынко, Казахстан. Ответить...

---

000075. Здравствуйте. У меня такой вопрос: У меня стоит Windows XP. Какой-то процесс под названием RASAUTOU.EXE постояно просится в Инет. Спасает только то, что модем внешний (сразу видно попытку подключиться) и то, что на подключении пароль вводится вручную. У меня стоит Доктор Веб с последним обновлением и ничего не находит. Настройки всех программ, в том числе обновления самой системы отключены. Элементы запуска почищены msconfig-ом. Просканировал весь реестр - в ветвях RUN ничего похожего не найдено. Прошу вас, помогите пожалуйста. Если это вирус, то прошу, объясните, что он делает и как от него избавиться. Кстати, файл с таким названием располагается по следующим путям: C:\WINDOWS\system32\ и C:\WINDOWS\system32\dllcache\ Как все-таки избавиться от такого процесса? Прошу, пишите на мыло Tsvetkoff-DV@Yandex.RU С уважением Цветков Д.В. Ответить...

---

000076. Вам знаком формат *.adf. Внем музыка, если знаете скажите как вытащить, разделить, или хотябы проигрывать эту музыку. Ответить...

---

000077. Здравствуйте, msprodfaq. Была, стояла и потерялась после переустановки замечательная утилитка. Не помню названия и не могу вспомнить где, в каком уголке инета я ее взял. Прога следит за выбранным диском и ВСЕ ИЗМЕНЕНИЯ, вплоть до удаления файлов, программ и т.д., ОТКАТЫВАЕТ после перезагрузки. Незаменима для тестирования нового софта (установка которого не требует перезагрузки) и экспериментов над системой. Если вы знакомы с такой программой, будте добры выслать ссылку на закачку. Благодарю, Юрий. mailto:usl@ua.fm Ответить...

---

000078. Привет! У меня модем Mororolla SM56 внутренний и он не поднимает трубку при callbackе . OC - WinXP . Посоветуйте . Спасибо. Ответить...

---

000079. HELP !!! После замены SOLTEK 75DRV5 (VIA KT333) на SOLTEK SL-KT400A (VIA KT400), в WIN 98 пропал звук, а в WIN XP всё отлично работает. У меня стоит WIN 98 на С:\ и WIN XP на D:/. В свойствах системы WIN 98 установлено CREATIVE SB LIVE 5.1, а в панели управления > мультимедиа нет ни одного доступного устройства воспроизведения, и на панели задач нет регулятора громкости. CREATIVE удалял до корня, чистил реестр и наново установил, ничего не помогло. Но до этого всё работало отлично. Может что-то не так с прерываниями? Можно ли их менять самому и как? Заранее спасибо !!! Ответить...

---

000080. Спасибо за ответ №58 о сервере терминалов. Сейчас пользуюсь - очень нравиться. Проблема теперь в следующем. Теперь надо как-то лицензировать эту службу, а то говорят загнется на 90 день. Включаю службу лицензировании – требует код. Где его взять ? Может подкинет кто на мыло OKB_KARAGANDA@mail.ru Заранее благодарен. Ответить...

---

Ответы на вопросы
000061. Имеется Win98, после переустановки отказался работать дисковод.Windows сидюк видит,в биосе он тоже есть.Пробовал удалить и переустановить не помогло.Драйвера брал с винта.За проводки и соединения дергал .Что еще можно сделать?

---

Ответ ведущего. 1. Попробуй не устанавливать на него драйвера, чтобы винда сама могла его определить и установить стандартные.
2. Найди досовые драйвера под сидюк и пропиши его в autoexec.bat и config.sys.
3. Установи систему Windows XP.

---

000062. В качестве заменителя текстового редактора Блокнот использую программу Bred2. Программа всем хороша, кроме плохо работающей функции поиска и в ней нет проверки орфографии. Посоветуйте небольшой текстовой редактор с русским интерфейсом, в котором исправлены эти недостатки.

---

Ответ ведущего. Небольшой редактор с проверкой орфографии ты вряд-ли найдешь. Ведь не зря над проверкой орфографии работают только монстры программного обеспечения. Можно после верстки странички перебрасывать текст в Word и проверять орфографию в нем.

---

000064. На компьютере два жестких диска. На первом винчестере установлена Windows 98 и Windows XP, а второй винчестер используется в качестве резервного. Windows 98 видит два диска, Windows XP- только первый диск. Почему? Файловая система везде FAT 32, включая Windows XP

---

Ответ от John. Hello msprodfaq.net, У меня был такой случай, что БИОС старый и не видел винт на 40гиг!, но однако при загрузке 98 винда определяла винт и он работал нормально (про такое я потом и в Инете читал). Соответственно на знаю определяет ли так ХР с ее ускоренной загрузкой, следовательно я бы посмотрел на БИОС если там винт определяется, то глючит ХРень -- Best regards, John mailto:Johnpol@mail.ru

---

000066. Ребята! Кто знает! Кто поможет! Не могу установить WindowsXP из под DOSa! Дело в том,что с диска С были удалены видимо из-за неправельнлго форматирования файлы: Сommand; io.sys; msdos; потом восстановлены ! Винт один, Разделён на С и E соответственно! При попытке ввести команду в DOSe БЕЗ! Win98- E:\install\winxp\i386\winnt.exe ничего не происходит,появляется новая командная строка! Хотя при установленной к примеру Win98 в DOSe всё проходит и установка начинается ! Win98 устанавливается из DOS нормально ! И вот еще чё! При загрузке,с загрузочной дискеты Невидно половина!!файлов из папки i386, в том числе winnt.exe. Xoтя они там есть!! В чем дело ! Помогите PLS !!

---

Ответ от John. Hello msprodfaq, Грузись с загрузочной дискеты 98 Винды, но сначало сотри с нее какой-нить ненужный TXT файл и запиши Smartdrv (утилита кэша винта -его потом надо запустить). Просматривать Dir-ом I386 не нужно - файл winnt.exe там есть, а вот в каталоге столько файлов, что ДОС не может тебе показать их все (глюк?). Так что smartdrv cd i386 winnt -- Best regards, John mailto:Johnpol@mail.ru

---

000067. Подскажите пожалуйста, как наладить или что не в порядке и где? У меня такая ситуация - я установила Win 98, а графика не смотрится. В настройках экрана максимальное количество цветов "16". Переустановили, опять "16". А где же потерялись "256" цветов? Что мне делать? Ответ прошу присылать на e-mail: yanasailar781@hotmail.com

---

Ответ от John. Hello msprodfaq, Дело в том что у тебя не установлены драйверы на видеосистему (видеокарту или встронный видеоконтроллер), но чтобы виндус функционировал, установлены стандартные видео драйвера. Вот их то и нужно заменить/обновить на родные драйвера видеокарты. Если видео встроеное, то они идут на диске с материнской платой, если внешнее, то их проще достать у знакомых или скачать в Инете. После установки драйверов видеокарты установить желательно установить драйвера на монитор или оставить стандартное "Монитор Plug&Play". После установки драйверов видеокарты у тебя будет и 256, и 65 000 цветов (может и 16млн), ну в обще все будет ок -- Best regards, John mailto:Johnpol@mail.ru

---

000068. Здравствуйте! Подскажите, где в реестре записываются данные DEMO- версии. После окончания срока DEMO весь реестр почистил вручную и с помощью jv 16 Power Tools, но при новой инсталяции этой же DEMO- версии, при первом же запуске выскакивает сообщение, типа, срок вышел, нужна регистрация и т.д. Спасибо. Владимир

---

Ответ от John. Hello msprodfaq, как говорится: "Знал бы прикуп-жил бы в сочи". 1. Если программа Демо версия без разблокирования, то она изначально с ограниченными возможностями 2. Если она Шаровая, т.е. у нее кончается срок, то данные ключи по ее сроку в реестре можно искать долго и не факт что они там есть. Иногда нужные ключи Демка прописывает в момент инсталляции. Вообще есть программы, которые следят за изменением реестра и они могут тебе сказать, что там изменилось в момент запуска Демки. Это будет уже взлом. -- Best regards, John mailto:Johnpol@mail.ru

---

000069. Здравствуйте!У меня такая проблема с внешним мопедом IDC-2814BXL\VR+ СОМ1 под Вынь ХР pro RU+ SP1.В 98-й все ок.При попытке дозвониться к провайдеру выдаётся сообщение об ошибке 633(Сетевое подключение удалённого доступа пытается использовать com-порт,который уже занят другим активным сетевым подключением или процессом,например программой наблюдения за телефонной линией (программой для работы с факсимильными сообщениями).Завершите работу приложения,занимающего даннный com-порт).В гипер терминале при дозвоне выпадает окно с номером телефона и надпись "Отключено".Ранее, при установке мопеда ХР пишет,что обнаружено новое устройство IDC-2814BXL\VR+,но в диспетчере устройств она его показывает не как не в модемах, а в других устройствах. Далее при установке "стандартного модема 33600" всё проходит гладко.В свойствах "стандартного модема 33600" при опросе модем откликается и показывает,что он IDC-2814BXL\VR+.В свойствах портов нет проблем устройства включены и работают нормально.На компе установлены на С:98se,D:XP pro RU.До этого на D была установлена XP pro(английская)и процесс установки модема проходил аналогично, но всё работало ок. Комп : Seleron 1000;128M ОЗУ;GF2MX\MX400;HDD MAXTOR 4 KO40H2;TEAC CD-W524E;SAMSUNG S\M 755DFX;MAMA CANYON 6SP2AS-T;звук GENIUS SOUND MAKER LIVE SERIES;принтер SAMSUNG ml-1250(lpt1);сканер UMAX ASTRA SLIM(USB1) Если кто-нибудь что-нибудь понял подскажите как решить эту задачу. Переустановка ОС(XP pro RU) не помогла. С уважением, Игорь.

---

Ответ ведущего. Вот здесь http://www.is.svitonline.com/gray2000/idc.zip лежат драйвера для твоего модема специально для Windows XP. Попробуй установить их. Должно помочь.

---

000070. Здравствуйте! При нажатии на кнопку "Пуск" правой кнопкой появляется меню с рядом программ. Вопрос: "Как удалить неиспользуемые названия программ из этого списка?"

---

Ответ от John. Hello msprodfaq.net, Я знаю только что эти параметры прописаны в реестре и по моему есть программы для редактирования побобных настроек в винде -- Best regards, John mailto:Johnpol@mail.ru

---

000071. У меня Windows XP.При входе на любой сервер Интернета система поработает минуты две,потом выдает сообщение:*Необходимо перезагрузить Windows,посколько произошла непредвиденная остановка Remote Procedure Call(RPC)* и перезагружается, и так всё время..В чем дело не могу разобраться.Если можно помогите Эдуард

---

Ответ от witaly.zlobinskyy. У меня было то же самое. Это работа вируса Blast. Надо в безопасном режиме удалить программу из Windows\system32\msblast.exe и ключ из реестра H_L_M \Software\Microsoft\Windows\CurrentVersion\Run - Windautoupdate=msblast.exe

---

Ответ от Дмитрий. Здравствуйте!!! Насчёт ошибки RPC - это новый вирус под названием "Blaster" или "Lovsan". Обновляй антивирусные базы! Этот вирус атакует сервер WindowsUpdate.com. Об этом уже писал автор этой рассылки. Вот здесь ftp://ftp.kaspersky.com/utils/clrav.zip лежит бесплатная утилита для лечения этого вируса! Можно его и самому удалить делай так:
запусти редактор реестра ( Пуск > Выполнить, набираешь regedit щёлкаешь OK) в реестре по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
есть ключ:
windows auto update="msblast.exe"
удали его, потом перезагрузи комп и запусти поиск файла mblast, он обычно находится по адресу C:\WINDOWS\system32. Удали этот файл. Вот и всё, но лучше все-таки воспользоваться утилитой т. к. вирус оставляет ещё некоторые ключи в реестре. Можешь сначала сам удалить вирус так как я тебе сказал, а потом загрузить и воспользоваться утилитой! После того как вылечишь вирус установи заплатку для Winows, а то он опять прицепится. Вот ссылки для скачивания заплатки:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe - эта для англоязычной версии XP,
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe - а эта для русской версии. PS. Если хочешь узнать побольше о этом вирусе посети эту http://www.viruslist.com/viruslist.html?id=2727712 страничку. И как ты мог такое допустить, об этом даже по телеку в новостях рассказывали, и Касперский по телеку рассказывал! Удачи!!!

---

Ответ от John. Hello msprodfaq.net, У меня было такая же ХРень , я поставил заплатку на винду от червя, переустановил антивирус с касперского на нортоновский, вроде работает (.т.е. причина осталась неясной, но я грешил на червя или хак). Чтобы не было перегруза в Пан Упр -Службы можно настроить, чтобы не было перегруза, на например попытка запуска службы, но это приведет к некоторым глюкам (у меня например не отправлялась почта) -- Best regards, John mailto:Johnpol@mail.ru

---

Ответ от Horror. Hello Эдик, вирус у тебю однако, MSBLAST или LOVESAN называется..... Зайди к дяде Жене Касперскому, скачай у него лечилку и почитай про ентот вирусок........ -- Best regards, Horror mailto:Horror@railway.aknet.kg

---

Ответ от Белинский Александр Дмитриевич. Салют msprodfaq.net,
Скорее всего это Worm.Win32.Blaster.a
Другие названия: W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp
Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Удалить данный червь достаточно просто.
1. Отключить соединение с Internet
2. Установить обновление для Windows (http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp)
3. Удалить ссылку в системном реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run на файл msblast.exe
5. Перезагрузить компьютер.
6. В папке %WinDir%\System32 найти и удалить файл msblast.exe
Поражает: Microsoft Windows NT® 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server™ 2003
-- Всего наилучшего, Белинский Александр Дмитриевич mailto:a_belinsky@okbm.nnov.ru

---

000072. Здравствуйте! Мой вопрос: Вычистил вирус Blast из WinXP. Все работает нормально, кроме того, что ни M.Outlook 2002, ни Outlook Express 6 не принимают *.exe файлы как attachment . Как предлагаете решить проблему? Спасибо. 19.08.2003 Alex Gluzman agluzman@asaf.health.gov.il

---

Ответ от Дмитрий. На 90% уверен что это не из-за вируса. Т.к. вирус не наносит никакой вред компу, он просто атакует сервер WindowsUpdate.com и перезагружается =). У меня тоже был этот вирус но такого я не замечал. Попробуй воспользоваться бесплатной утилитой для лечения этого вируса т. к. сам ты все следы этого вируса не удалишь. Утилита лежит тут ftp://ftp.kaspersky.com/utils/clrav.zip. Если не поможет, то кроме переустановки винды ничего не могу посоветовать. И вообще это не Outlook, а Аутглюк =).

---

От автора
Уважаемые читатели. Убедительная просьба не присылать вопросы и ответы на тему взлома программных продуктов, бесплатные ключи, регистрационные номера и прочую информацию, касающуюся нелегального использования ПО. Такие сообщения публиковаться не будут, поскольку эта информация противоречит правилам ведения рассылки.