Waleriy Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 У меня часто возникают проблемы с инетом, время от времени появляеться сообщение об ошибке Generic Host Process for Win32 Services после чего инет вырубаеться, помогает только перезагрузка компа, но и то ненадолго. Может кто сталкивался с таким!!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Roader Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 (изменено) Честно сказать, я сам ламерю с этим вопросом :D . Это сетевая атака, Win exploit... (могу поспорить, что в нет выходишь с реальным внешнем IP). Проявляется эта уязвимость и на XP SP2 (раньше думал что в SP2 уже профиксили :D ). Ранее думал, что это Sasser, использует уязвимость, описанную в Microsoft Security Bulletin MS04-011. Однако это опять таки касается Sp-1. В общем, самому охота узнать, что это за уязвимость и какое обновление устраняет её? У многих знакомых данная трабла была очень актуальна, сидят они на том же провайдере, что и я. Провайдер не фильтрует трафик и не закрывает порты (и правильно делает ИМХО). Решаю эту траблу людям, тупо ставя все обновления для Sp2 и закрывая 135 и 445 порт. Спасает от неё и KIS-овский АнтиХакер. Сам же прячусь за роутером, а трафик перенаправлю только по нужным "из вне" портам (хотя все обновления тоже поставил :) ). Трабла, соответственно, не проявляется. P.S. Кстати недавно сделал опять опыт, на виртуальную машину переправил все входящие пакеты из вне (Win Xp Sp2). Данная трабла проявилась через 10 минут. Изменено 8 апреля, 2007 пользователем Roader Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Roader Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 (изменено) Вот, для эксперемента щас вывел виртуальный WinXp SP2 (без исправлений), перенаправил на него все пакеты по всем портам и вот: Может упало и раньше 12 минут (свёрнуто окно было, не видел). :) P.S. Кстати, смотрите на эту прелесть у меня за 15 минут, при отключённом файрволе (с учётом того что атакирующий хост блокируется на час): Ataks.log Ataks.log Изменено 8 апреля, 2007 пользователем Roader Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 Решаю эту траблу людям, тупо ставя все обновления для Sp2 и закрывая 135 и 445 порт. А почему тупо ставя? :) На мой взгляд, тупо будет как раз не ставить + всё-таки пакет SP2 был выпущен в 2004 году. Наивно полагать, что с того времени в Windows не было найдено больше ни одной уязвимости критического характера. что это за уязвимость и какое обновление устраняет её? А речь по сути, чисто теоретически, может идти об уязвимости любой службы, запускающейся с помощью svchost.exe: Alerter / Оповещатель Application Management / Управление приложениями Automatic Updates / Автоматическое обновление Background Intelligent Transfer Service / Фоновая интеллектуальная служба передачи Bluetooth Support Service COM+ Event System / Система событий COM+ Computer Browser / Обозреватель компьютеров Cryptographic Services / Службы криптографии DCOM Server Process Launcher DHCP Client / DHCP-клиент Distributed Link Tracking Client / Клиент отслеживания изменившихся связей DNS Client / DNS-клиент Error Reporting Service / Служба регистрации ошибок Fast User Switching Compatibility / Совместимость быстрого переключения пользователей Help and Support / Справка и поддержка HTTP SSL Human Interface Device Access / Доступ к HID-устройствам Logical Disk Manager / Диспетчер логических дисков Messenger / Служба сообщений Network Connections / Сетевые подключения Network Location Awareness (NLA) / Служба сетевого расположения (NLA) Network Provisioning Service Portable Media Serial Number Service / Серийный номер переносного медиа-устройства Remote Access Auto Connection Manager / Диспетчер авто-подключений удаленного доступа Remote Access Connection Manager / Диспетчер подключений удаленного доступа Remote Procedure Call (RPC) / Удаленный вызов процедур (RPC) Remote Registry / Удаленный реестр Removable Storage / Съемные ЗУ Routing and Remote Access / Маршрутизация и удаленный доступ Secondary Logon / Вторичный вход в систему Security Center / Центр обеспечения безопасности Server / Сервер Shell Hardware Detection / Определение оборудования оболочки SSDP Discovery Service / Служба обнаружения SSDP System Event Notification / Уведомление о системных событиях System Restore Service / Служба восстановления системы Task Scheduler / Планировщик заданий TCP/IP NetBIOS Helper / Модуль поддержки NetBIOS через TCP/IP Telephony / Телефония Terminal Services / Службы терминалов Themes / Темы Universal Plug and Play Device Host / Узел универсальных PnP-устройств Upload Manager / Диспетчер отгрузки WebClient / Веб-клиент Windows Audio / Windows Audio Windows Firewall/Internet Connection Sharing (ICS) / Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS) Windows Image Acquisition (WIA) / Служба загрузки изображений (WIA) Windows Management Instrumentation / Инструментарий управления Windows Windows Management Instrumentation Driver Extensions / Расширения драйверов WMI Windows Time / Служба времени Windows Wireless Zero Configuration / Беспроводная настройка Workstation / Рабочая станция Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 Сто лет в обед этой уязвимости. Вот специальная тема о ней: http://forum.kaspersky.com/index.php?showtopic=30127 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 Сто лет в обед этой уязвимости. Вот специальная тема о ней: http://forum.kaspersky.com/index.php?showtopic=30127 Неужели вы также считаете, что ошибку "Generic Host Process for Win32 Services" может вызвать всего лишь одна единственная уязвимость? :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 Да... Она стабильно всплывает аж с самого ноября прошлого года, и все это один и тот же эксплойт. Других массовых репортов и жалоб с такими симптомами с тех пор не было. :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 8 апреля, 2007 Жалоба Поделиться Опубликовано 8 апреля, 2007 Да... Она стабильно всплывает аж с самого ноября прошлого года, и все это один и тот же эксплойт. Других массовых репортов и жалоб с такими симптомами с тех пор не было. :) Ага, и ошибка, допустим, в IE тоже, наверно, может возникать только лишь по какой-то единственной конкретной причине и всё?.. Если вы действительно занимались когда-либо бета-тестированием профессионально, то ваше мнение достаточно странное. Потому что кому, как ни бета-тестерам знать, что ошибку 'Generic Host Process for Win32 Services' может вызвать фактически любое внедрение постороннего кода в процесс svchost.exe. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 9 апреля, 2007 Жалоба Поделиться Опубликовано 9 апреля, 2007 Ага, и ошибка, допустим, в IE тоже, наверно, может возникать только лишь по какой-то единственной конкретной причине и всё?.. Если вы действительно занимались когда-либо бета-тестированием профессионально, то ваше мнение достаточно странное. Потому что кому, как ни бета-тестерам знать, что ошибку 'Generic Host Process for Win32 Services' может вызвать фактически любое внедрение постороннего кода в процесс svchost.exe. Вот как раз внедрение кода в 99% случаев проходит без эксцессов. :D Saule, ваша компетенция не вызывает сомнений, :( но вы рассуждаете теоретически, а я все-таки имею обширную практику. И могу уверить вас: эксплойт с такими симптомами на Windows XP SP1-2 только один. Я уже давно рекомендую ту тему, которую я упомянул выше, и эти рекомендации стабильно помогают (понятно, что моя рекомендация с брандмауэром более, так сказать, generic, но и патч успешно работает во всех случаях). Я, естественно, допускаю, что это может быть открытая три-четыре дня назад совершенно новая уязвимость, :) но такой вариант вызывает у меня сомнение. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Brox Опубликовано 9 апреля, 2007 Жалоба Поделиться Опубликовано 9 апреля, 2007 Еще одна заплатка, которая должна устранять эту ошибку: http://support.microsoft.com/kb/894391/ru Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 9 апреля, 2007 Жалоба Поделиться Опубликовано 9 апреля, 2007 Вот как раз внедрение кода в 99% случаев проходит без эксцессов. Хорошо, любой сбой в svchost может выдавать такую ошибку - так лучше? :) В общем, чтобы долго на пустом месте не спорить (а то меня уже мучает совесть за излишнюю стервозность в данном вопросе), при возникновении ошибки Generic Host Process for Win32 Services нужно просто обратить внимание на то, каким именно модулем она была вызвана (это можно посмотреть либо кликнув на просмотр данных, содержащихся в отчете ошибки, либо Control Panel > Administrative Tools > Event Viewer). И дальше уже руководствоваться на основании этой информации. К примеру, если будет "виновен" файл netapi32.dll (Faulting application svchost.exe, version x.x.x.x, faulting module netapi32.dll, version x.x.x.x, fault address 0x........), вам необходимо установить обьновление 921883 . Если msi.dll (Faulting application svchost.exe, version x.x.xxxx.xxxx, faulting module msi.dll, version x.x.xxxx.xxxx, fault address 0x........), то 927891 . Если ole32.dll (Faulting application svchost.exe, version x.x.xxxx.xxxx, faulting module ole32.dll, version x.x.xxxx.xxxx, fault address 0x........), то 894391 http://support.microsoft.com/kb/894391/ru' rel="external nofollow">. И т.д. Вариантов может быть много. P.S. Трудности могут возникнуть, лишь в случае, если модуль, вызвавший сбой svchost.exe будет unknown, т.е. неизвестен (Faulting application svchost.exe, version x.x.x.x, faulting module unknown, version x.x.x.x, fault address 0x........). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 9 апреля, 2007 Жалоба Поделиться Опубликовано 9 апреля, 2007 Ладно. Выражу надежду, что вы понимаете: в рамках этой темы я все время говорил о конкретной ошибке, имеющей место у топикстартера и второго участника. Эта ошибка связана с NetAPI, и именно для нее тот патч, который я рекомендовал в теме. :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
tel_man Опубликовано 4 июня, 2007 Жалоба Поделиться Опубликовано 4 июня, 2007 вот еще заплатка! ПРОВЕРЕННАЯ!!! http://depositfiles.com/files/939055 - тяните, и все будет ок! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.