Показано с 1 по 15 из 15.

Buffer Overrun!!! (заявка № 9890)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35

    Exclamation Buffer Overrun!!!

    Здравствуйте! Несколько дней назад произошла такая проблема: выскочило окошко проактивной защиты Касперского: Buffer Overrun. О том, что какая-то программа пытается перполнить буфер обмена (процесс в svchost). Я запретил попытку, но окошко возникло снова, затем снова. После 5 запретов выскочило сообщение об ошибке Windows:


    Программа Generic Host Process For Win 32 неожиданно завершила свою работу. Через 50 секунд произойдет вынужденная перезагрузка компьютера. Все несохраненые данные будут утеряны.


    После перезагрузки, минут через 5 вновь начали появляться Buffer Overrun'ы. Я, предчувствуя недоброе, установил файервол (да, у меня его не было до этого) Zone Alarm Pro и началось.... за 5 минут 30 хакерских атак, еще через 10 попытка доступа к svchost с рейтингом угрозы High.

    Я быстро перезагрузился в Безопасный Режим, сделал полную проверку Касперским (он нашел какой-то слабенький вирус), AdAware, SpyBot'ом. Несколько шпионов были уничтожены.

    Со спокойной совестью я презагрузился в нормальный режим, но не изменилось ровным счетом ничего: атаки, Buffer Overrun (даже сейчас это окошко висит!). С тех пор все повторяется... уже отражено 6677 (!) атак. а однажды всплыло сообщение:


    Zone Alarm Pro: перегрузка процесса, защита отключена.


    С тех пор скорость интернета упала в 2 раза, постоянно висит окошко Buffer Overrun, атаки... Не знаю, что делать....


    P.S. AVZ при проверке очень много пишет что-то вроде "Функция заблокирована........." и выделяет это красным цветом. Что это такое?

    P.P.S. Лог я решил не делать пока, т.к. антивирусом ничего не обнаруживается, но если нужно - только скажите, сделаю.

    P.P.S. Так как я столкнулся с подобным впервые, то не исключаю, что вел себя неправильно. Не ругайте сильно .

    Заранее, спасибо!
    Вложения Вложения
    Последний раз редактировалось Fabricator; 21.05.2007 в 19:55.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выполните скрипт, карантин по правилам.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\System32\ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\retadpu2000218.exe','');
     QuarantineFile('zlclient.exe','');
     QuarantineFile('c:\windows\retadpu2000218.exe','');
     QuarantineFile('c:\program files\ipwindows\ipwins.exe','');
     QuarantineFile('ljjhigh.dll','');
     QuarantineFile('$$.exe','');
     QuarantineFile('srescan.sys','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\xcrdisk.sys','');
     QuarantineFile('vidstub.sys','');
     QuarantineFile('cryptstd.sys','');
     QuarantineFile('C:\WINDOWS\System32\ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll','');
     QuarantineFile('c:\windows\system32\svshost.exe','');
     QuarantineFile('c:\nzlrs.exe','');
     QuarantineFile('c:\msetus.exe','');
     QuarantineFile('c:\windows\system32\drivers\imountsrv.exe','');
     QuarantineFile('c:\windows\system32\drivers\crauto.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35
    Спасибо, выполнил скрипт, однако, атаки (значительно меньше!) продолжают поступать.
    И еще одно:
    QuarantineFile('c:\windows\system32\svshost.exe'
    Может вы имели ввиду svchost?

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Может вы имели ввиду svchost?
    Alex_Goodwin имел ввиду именно svshost.exe

  6. #5
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35
    После всех проделанных действий в списке автозагрузки несколько элементов обозначены как $$. Я подумал, что это показаны заблокированные вирусы, но в списке этих программ и файервол тоже... Значит ли это, что он тоже заражен?
    P.S. Атаки все идут...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Цитата Сообщение от Fabricator Посмотреть сообщение
    Спасибо, выполнил скрипт, однако, атаки (значительно меньше!) продолжают поступать.
    Лечение еще не начиналось. Вас просили прислать карантин, по правилам. Вы этого до сих пор не сделали.
    Последний раз редактировалось anton_dr; 23.05.2007 в 17:53.

  8. #7
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35
    Карантин создал и выслал по правилам.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Почему-то в карантине отсутствуют файлы:
    c:\program files\ipwindows\ipwins.exe (=avz00001.dta)
    c:\nzlrs.exe (=avz00006.dta)
    хотя в *.ini указано, что они добавлены успешно.
    Поищите их и пришлите, как описано в приложении 2 правил.
    Да и новые логи надо сделать, столько времени прошло, многое могло измениться.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35
    Как и было предложено высылаю новые логи:
    P.S. Файлов ipwins.exe и nzlrs.exe не обнаружил. Может KAV удалил их?
    P.P.S. Извиняюсь за заминку с отправкой карантина. Были технические проблемы с соединением.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    1. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\system32\ljjhigh.dll','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\xcrdisk.sys','');
     QuarantineFile('vidstub.sys','');
     QuarantineFile('srescan.sys','');
     QuarantineFile('cryptstd.sys','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\imounter.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\hmonitor.sys','');
     QuarantineFile('Z:\Игры\Старые игры\Carmageddon\N3 vdmslaunchpad.v1.0.1.1\LaunchPad.dll','');
     QuarantineFile('C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\crauto.exe','');
     QuarantineFile('C:\WINDOWS\System32\atipdlxx.dll','');
     QuarantineFile('c:\windows\system32\drivers\imountsrv.exe','');
     QuarantineFile('c:\windows\system32\drivers\crauto.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Пофиксить:
    Код:
    O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O2 - BHO: (no name) - {CD1C0C84-288D-454C-A3F3-3505EFCE6145} - C:\WINDOWS\system32\ljjhigh.dll (file missing)
    O15 - Trusted Zone: *.p0rt2.com
    O20 - Winlogon Notify: ljjhigh - ljjhigh.dll (file missing)
    3. Карантин по правилам, только не затягивайте.

  12. #11
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35
    Карантин отослал, все, что нужно, - пофиксил. Жду дальнейших указаний...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Присланные файлы чистые. Проблемы остались?

  14. #13
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    35
    Да, атаки все еще идут. Мало, но идут. Плюс раз в неделю появляются 4 AdAware. Всегда одинаковые.

  15. #14
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Отключите службы из этого списка. Помогло?

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 48
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Fabricator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Intrusion.Win.NETAPI.buffer-overflow.exploit
      От Dargo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.10.2010, 21:35
    2. Intrusion.Win.NETAPI.buffer-overflow.exploit
      От Vovan27 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.05.2009, 14:30
    3. WinRAR 3.40-3.60 7ZIP Buffer Overflow
      От Shu_b в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 05.12.2006, 08:12
    4. Ошибка "Buffer overrun". Что делать?
      От tokareff в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.11.2006, 10:09
    5. MySQL buffer overflow
      От SDA в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 02.10.2005, 13:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00582 seconds with 24 queries