Показано с 1 по 15 из 15.

Buffer Overrun!!! (заявка № 9890)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62

    Exclamation Buffer Overrun!!!

    Здравствуйте! Несколько дней назад произошла такая проблема: выскочило окошко проактивной защиты Касперского: Buffer Overrun. О том, что какая-то программа пытается перполнить буфер обмена (процесс в svchost). Я запретил попытку, но окошко возникло снова, затем снова. После 5 запретов выскочило сообщение об ошибке Windows:


    Программа Generic Host Process For Win 32 неожиданно завершила свою работу. Через 50 секунд произойдет вынужденная перезагрузка компьютера. Все несохраненые данные будут утеряны.


    После перезагрузки, минут через 5 вновь начали появляться Buffer Overrun'ы. Я, предчувствуя недоброе, установил файервол (да, у меня его не было до этого) Zone Alarm Pro и началось.... за 5 минут 30 хакерских атак, еще через 10 попытка доступа к svchost с рейтингом угрозы High.

    Я быстро перезагрузился в Безопасный Режим, сделал полную проверку Касперским (он нашел какой-то слабенький вирус), AdAware, SpyBot'ом. Несколько шпионов были уничтожены.

    Со спокойной совестью я презагрузился в нормальный режим, но не изменилось ровным счетом ничего: атаки, Buffer Overrun (даже сейчас это окошко висит!). С тех пор все повторяется... уже отражено 6677 (!) атак. а однажды всплыло сообщение:


    Zone Alarm Pro: перегрузка процесса, защита отключена.


    С тех пор скорость интернета упала в 2 раза, постоянно висит окошко Buffer Overrun, атаки... Не знаю, что делать....


    P.S. AVZ при проверке очень много пишет что-то вроде "Функция заблокирована........." и выделяет это красным цветом. Что это такое?

    P.P.S. Лог я решил не делать пока, т.к. антивирусом ничего не обнаруживается, но если нужно - только скажите, сделаю.

    P.P.S. Так как я столкнулся с подобным впервые, то не исключаю, что вел себя неправильно. Не ругайте сильно .

    Заранее, спасибо!
    Вложения Вложения
    Последний раз редактировалось Fabricator; 21.05.2007 в 19:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Выполните скрипт, карантин по правилам.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\System32\ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\retadpu2000218.exe','');
     QuarantineFile('zlclient.exe','');
     QuarantineFile('c:\windows\retadpu2000218.exe','');
     QuarantineFile('c:\program files\ipwindows\ipwins.exe','');
     QuarantineFile('ljjhigh.dll','');
     QuarantineFile('$$.exe','');
     QuarantineFile('srescan.sys','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\xcrdisk.sys','');
     QuarantineFile('vidstub.sys','');
     QuarantineFile('cryptstd.sys','');
     QuarantineFile('C:\WINDOWS\System32\ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll','');
     QuarantineFile('c:\windows\system32\svshost.exe','');
     QuarantineFile('c:\nzlrs.exe','');
     QuarantineFile('c:\msetus.exe','');
     QuarantineFile('c:\windows\system32\drivers\imountsrv.exe','');
     QuarantineFile('c:\windows\system32\drivers\crauto.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62
    Спасибо, выполнил скрипт, однако, атаки (значительно меньше!) продолжают поступать.
    И еще одно:
    QuarantineFile('c:\windows\system32\svshost.exe'
    Может вы имели ввиду svchost?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Может вы имели ввиду svchost?
    Alex_Goodwin имел ввиду именно svshost.exe

  6. #5
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62
    После всех проделанных действий в списке автозагрузки несколько элементов обозначены как $$. Я подумал, что это показаны заблокированные вирусы, но в списке этих программ и файервол тоже... Значит ли это, что он тоже заражен?
    P.S. Атаки все идут...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от Fabricator Посмотреть сообщение
    Спасибо, выполнил скрипт, однако, атаки (значительно меньше!) продолжают поступать.
    Лечение еще не начиналось. Вас просили прислать карантин, по правилам. Вы этого до сих пор не сделали.
    Последний раз редактировалось anton_dr; 23.05.2007 в 17:53.

  8. #7
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62
    Карантин создал и выслал по правилам.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Почему-то в карантине отсутствуют файлы:
    c:\program files\ipwindows\ipwins.exe (=avz00001.dta)
    c:\nzlrs.exe (=avz00006.dta)
    хотя в *.ini указано, что они добавлены успешно.
    Поищите их и пришлите, как описано в приложении 2 правил.
    Да и новые логи надо сделать, столько времени прошло, многое могло измениться.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62
    Как и было предложено высылаю новые логи:
    P.S. Файлов ipwins.exe и nzlrs.exe не обнаружил. Может KAV удалил их?
    P.P.S. Извиняюсь за заминку с отправкой карантина. Были технические проблемы с соединением.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ljjhigh.dll','');
     QuarantineFile('C:\WINDOWS\system32\ljjhigh.dll','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\xcrdisk.sys','');
     QuarantineFile('vidstub.sys','');
     QuarantineFile('srescan.sys','');
     QuarantineFile('cryptstd.sys','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\imounter.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\hmonitor.sys','');
     QuarantineFile('Z:\Игры\Старые игры\Carmageddon\N3 vdmslaunchpad.v1.0.1.1\LaunchPad.dll','');
     QuarantineFile('C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\crauto.exe','');
     QuarantineFile('C:\WINDOWS\System32\atipdlxx.dll','');
     QuarantineFile('c:\windows\system32\drivers\imountsrv.exe','');
     QuarantineFile('c:\windows\system32\drivers\crauto.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Пофиксить:
    Код:
    O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O2 - BHO: (no name) - {CD1C0C84-288D-454C-A3F3-3505EFCE6145} - C:\WINDOWS\system32\ljjhigh.dll (file missing)
    O15 - Trusted Zone: *.p0rt2.com
    O20 - Winlogon Notify: ljjhigh - ljjhigh.dll (file missing)
    3. Карантин по правилам, только не затягивайте.

  12. #11
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62
    Карантин отослал, все, что нужно, - пофиксил. Жду дальнейших указаний...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Присланные файлы чистые. Проблемы остались?

  14. #13
    Junior Member Репутация
    Регистрация
    20.05.2007
    Сообщений
    7
    Вес репутации
    62
    Да, атаки все еще идут. Мало, но идут. Плюс раз в неделю появляются 4 AdAware. Всегда одинаковые.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Отключите службы из этого списка. Помогло?

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 48
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Fabricator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Intrusion.Win.NETAPI.buffer-overflow.exploit
      От Dargo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.10.2010, 21:35
    2. Intrusion.Win.NETAPI.buffer-overflow.exploit
      От Vovan27 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.05.2009, 14:30
    3. Ошибка "Buffer overrun". Что делать?
      От tokareff в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.11.2006, 10:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00107 seconds with 20 queries