-
Junior Member
- Вес репутации
- 61
Generic Host Process и как устранить дыры
Здравствуйте!
Как вхожу в интернет примерно через пять минут появляется ошибка:
Generic Host Process for Win32 Services
C:\DOCUME~1\DRO.DRO\LOCALS~1\Temp\WER960d.dir00\sv chost.exe.mdmp
C:\DOCUME~1\DRO.DRO\LOCALS~1\Temp\WER960d.dir00\ap pcompat.txt
Что делать и какие дыры у меня есть?
Спасибо
Последний раз редактировалось dron; 29.12.2007 в 21:43.
qiq.su качать cs 1.6 droncs.ru мммкалк.рф
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\sempalong.exe"
віполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\ShellNew\sempalong.exe','');
DeleteFile('C:\WINDOWS\ShellNew\sempalong.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ClearHostsFile;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
-
-
Вряд ли проблема связана с этим sempalong'ом.
Скорее всего какой-то червячок в сети пытается использовать незакрытую уязвимость.
Рекомендую установить критические обновления Windows, вышедшие после SP2.
Процентов 99, что проблема тем самым решится.
Вот здесь то, что вам нужно (если вида русская, не MUI):
http://poleznosti.ru/soft/file_catal...20060821091454
И вот это хозяйство надо по возможности привести в порядок:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Большое спасибо, попробую разобраться
Какие антивирусы посоветуете при частом использовании интернета?
-
Сообщение от
dron
Большое спасибо, попробую разобраться
Какие антивирусы посоветуете при частом использовании интернета?
то что у вас , только последний и настроенный по максимуму а лучше ещё файрвол поставить или всё удалить и поставить kis7
Добавлено через 1 минуту
Сообщение от
dron
разобраться
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.
Добавлено через 56 секунд
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Последний раз редактировалось drongo; 14.09.2007 в 18:36.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 61
Здрасти
Я переставил винду с форматированием и установил Касперский Антихакер 1.7 и Нод 32, но через пару минут каспер выдал что меня атаковал DDoS, и потом снова стал терятся траффик, что делать?
-
-
-
Junior Member
- Вес репутации
- 61
Вот логи
А это мне нужно делать?
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun ', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Pa rameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.
Какие еще дыры нужно устранить?
Последний раз редактировалось dron; 29.12.2007 в 21:43.
qiq.su качать cs 1.6 droncs.ru мммкалк.рф
-
ничего зловредного в логах не вижу ...
потенциальных дыр теперь больше ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
решите что вам нужно ... остальное поможем отключить...
-
-
Junior Member
- Вес репутации
- 61
помогите отключить:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)(что это?)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)(что это?)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)(что это?)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)(что это?)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)(что это?)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)(что это?)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК домашний
>> Безопасность: разрешен административный доступ к локальным дискам к C (что это?)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
Если спрашиваете , значит не нужно
вот почитайте : http://soft.oszone.net/program/63/Sp..._v_Windows_XP/
Для закрытия выполнить следующий скрипт в AVZ:
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 61
Правда, что это ча службы? Где можно про них узнать?
RemoteRegistry
TermService
SSDP
Schedule
mnmsrvc
RDSessMgr
-
Сообщение от
drongo
вот ...
-
-
Junior Member
- Вес репутации
- 61
я сделал как вы сказали теперь у меня вылетают программ(исчезают через некоторое время): FrontPage, Skype...
qiq.su качать cs 1.6 droncs.ru мммкалк.рф
-
Junior Member
- Вес репутации
- 61
-
отключите восстановление системы ...
и давайте логи в студию....
-
-
Junior Member
- Вес репутации
- 61
ИСЧЕЗАЮТ ПРОГРАММЫ
Скрипт лечения/карантина и сбора информации пошел только на 5 раз в безопасном режиме, до этого программа AVZ просто исчезала, как и другие программы(что делать???)
Последний раз редактировалось dron; 29.12.2007 в 21:43.
qiq.su качать cs 1.6 droncs.ru мммкалк.рф
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\joslujc.pif','');
QuarantineFile('C:\WINDOWS\nview.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте дополнительный лог:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
У меня еще winlogon постоянно соединяется с 213.21.215.214 порт 80 и чего-то качает
Вот логи:
[moderated: Карантин нужно загружать в соответствии с приложением 3 правил!]
Последний раз редактировалось dron; 29.12.2007 в 21:43.
qiq.su качать cs 1.6 droncs.ru мммкалк.рф
-
joslujc.pif - Trojan-Downloader.Win32.Tiny.ly
nview.dll - Backdoor.Win32.Agent.byy
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\nview.dll');
DeleteFile('C:\WINDOWS\joslujc.pif');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Добавлено через 1 минуту
Поищите файлы E:\NTACCESS.sys и E:\NTGLM7X.sys
Если найдутся - пришлите по правилам.
Последний раз редактировалось Bratez; 12.10.2007 в 16:05.
Причина: Добавлено
I am not young enough to know everything...
-