Ошибка с IE

[Waleriy]

У меня часто возникают проблемы с инетом, время от времени появляеться сообщение об ошибке Generic Host Process for Win32 Services после чего инет вырубаеться, помогает только перезагрузка компа, но и то ненадолго. Может кто сталкивался с таким!!!

[Roader]

Честно сказать, я сам ламерю с этим вопросом :D . Это сетевая атака, Win exploit... (могу поспорить, что в нет выходишь с реальным внешнем IP). Проявляется эта уязвимость и на XP SP2 (раньше думал что в SP2 уже профиксили :D ). Ранее думал, что это Sasser, использует уязвимость, описанную в Microsoft Security Bulletin MS04-011. Однако это опять таки касается Sp-1.

В общем, самому охота узнать, что это за уязвимость и какое обновление устраняет её?

У многих знакомых данная трабла была очень актуальна, сидят они на том же провайдере, что и я. Провайдер не фильтрует трафик и не закрывает порты (и правильно делает ИМХО). Решаю эту траблу людям, тупо ставя все обновления для Sp2 и закрывая 135 и 445 порт. Спасает от неё и KIS-овский АнтиХакер.

Сам же прячусь за роутером, а трафик перенаправлю только по нужным "из вне" портам (хотя все обновления тоже поставил :) ). Трабла, соответственно, не проявляется.

P.S. Кстати недавно сделал опять опыт, на виртуальную машину переправил все входящие пакеты из вне (Win Xp Sp2). Данная трабла проявилась через 10 минут.

Изменено 8 апреля, 2007 пользователем Roader

[Roader]

Вот, для эксперемента щас вывел виртуальный WinXp SP2 (без исправлений), перенаправил на него все пакеты по всем портам и вот:

Может упало и раньше 12 минут (свёрнуто окно было, не видел). :)

P.S. Кстати, смотрите на эту прелесть у меня за 15 минут, при отключённом файрволе (с учётом того что атакирующий хост блокируется на час): Ataks.log

Ataks.log

Изменено 8 апреля, 2007 пользователем Roader

[Saule]

Решаю эту траблу людям, тупо ставя все обновления для Sp2 и закрывая 135 и 445 порт.

А почему тупо ставя? :)

На мой взгляд, тупо будет как раз не ставить + всё-таки пакет SP2 был выпущен в 2004 году. Наивно полагать, что с того времени в Windows не было найдено больше ни одной уязвимости критического характера.

что это за уязвимость и какое обновление устраняет её?

А речь по сути, чисто теоретически, может идти об уязвимости любой службы, запускающейся с помощью svchost.exe:

Alerter / Оповещатель

Application Management / Управление приложениями

Automatic Updates / Автоматическое обновление

Background Intelligent Transfer Service / Фоновая интеллектуальная служба передачи

Bluetooth Support Service

COM+ Event System / Система событий COM+

Computer Browser / Обозреватель компьютеров

Cryptographic Services / Службы криптографии

DCOM Server Process Launcher

DHCP Client / DHCP-клиент

Distributed Link Tracking Client / Клиент отслеживания изменившихся связей

DNS Client / DNS-клиент

Error Reporting Service / Служба регистрации ошибок

Fast User Switching Compatibility / Совместимость быстрого переключения пользователей

Help and Support / Справка и поддержка

HTTP SSL

Human Interface Device Access / Доступ к HID-устройствам

Logical Disk Manager / Диспетчер логических дисков

Messenger / Служба сообщений

Network Connections / Сетевые подключения

Network Location Awareness (NLA) / Служба сетевого расположения (NLA)

Network Provisioning Service

Portable Media Serial Number Service / Серийный номер переносного медиа-устройства

Remote Access Auto Connection Manager / Диспетчер авто-подключений удаленного доступа

Remote Access Connection Manager / Диспетчер подключений удаленного доступа

Remote Procedure Call (RPC) / Удаленный вызов процедур (RPC)

Remote Registry / Удаленный реестр

Removable Storage / Съемные ЗУ

Routing and Remote Access / Маршрутизация и удаленный доступ

Secondary Logon / Вторичный вход в систему

Security Center / Центр обеспечения безопасности

Server / Сервер

Shell Hardware Detection / Определение оборудования оболочки

SSDP Discovery Service / Служба обнаружения SSDP

System Event Notification / Уведомление о системных событиях

System Restore Service / Служба восстановления системы

Task Scheduler / Планировщик заданий

TCP/IP NetBIOS Helper / Модуль поддержки NetBIOS через TCP/IP

Telephony / Телефония

Terminal Services / Службы терминалов

Themes / Темы

Universal Plug and Play Device Host / Узел универсальных PnP-устройств

Upload Manager / Диспетчер отгрузки

WebClient / Веб-клиент

Windows Audio / Windows Audio

Windows Firewall/Internet Connection Sharing (ICS) / Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS)

Windows Image Acquisition (WIA) / Служба загрузки изображений (WIA)

Windows Management Instrumentation / Инструментарий управления Windows

Windows Management Instrumentation Driver Extensions / Расширения драйверов WMI

Windows Time / Служба времени Windows

Wireless Zero Configuration / Беспроводная настройка

Workstation / Рабочая станция

[NickGolovko]

Сто лет в обед этой уязвимости. Вот специальная тема о ней: http://forum.kaspersky.com/index.php?showtopic=30127

[Saule]

Сто лет в обед этой уязвимости. Вот специальная тема о ней: http://forum.kaspersky.com/index.php?showtopic=30127

Неужели вы также считаете, что ошибку "Generic Host Process for Win32 Services" может вызвать всего лишь одна единственная уязвимость? :)

[NickGolovko]

Да... Она стабильно всплывает аж с самого ноября прошлого года, и все это один и тот же эксплойт. Других массовых репортов и жалоб с такими симптомами с тех пор не было. :)

[Saule]

Да... Она стабильно всплывает аж с самого ноября прошлого года, и все это один и тот же эксплойт. Других массовых репортов и жалоб с такими симптомами с тех пор не было. :)

Ага, и ошибка, допустим, в IE тоже, наверно, может возникать только лишь по какой-то единственной конкретной причине и всё?..

Если вы действительно занимались когда-либо бета-тестированием профессионально, то ваше мнение достаточно странное. Потому что кому, как ни бета-тестерам знать, что ошибку 'Generic Host Process for Win32 Services' может вызвать фактически любое внедрение постороннего кода в процесс svchost.exe.

[NickGolovko]

Ага, и ошибка, допустим, в IE тоже, наверно, может возникать только лишь по какой-то единственной конкретной причине и всё?..

Если вы действительно занимались когда-либо бета-тестированием профессионально, то ваше мнение достаточно странное. Потому что кому, как ни бета-тестерам знать, что ошибку 'Generic Host Process for Win32 Services' может вызвать фактически любое внедрение постороннего кода в процесс svchost.exe.

Вот как раз внедрение кода в 99% случаев проходит без эксцессов. :D

Saule, ваша компетенция не вызывает сомнений, :( но вы рассуждаете теоретически, а я все-таки имею обширную практику. И могу уверить вас: эксплойт с такими симптомами на Windows XP SP1-2 только один.

Я уже давно рекомендую ту тему, которую я упомянул выше, и эти рекомендации стабильно помогают (понятно, что моя рекомендация с брандмауэром более, так сказать, generic, но и патч успешно работает во всех случаях).

Я, естественно, допускаю, что это может быть открытая три-четыре дня назад совершенно новая уязвимость, :) но такой вариант вызывает у меня сомнение.

[Brox]

Еще одна заплатка, которая должна устранять эту ошибку:

http://support.microsoft.com/kb/894391/ru

[Saule]

Вот как раз внедрение кода в 99% случаев проходит без эксцессов.

Хорошо, любой сбой в svchost может выдавать такую ошибку - так лучше? :)

В общем, чтобы долго на пустом месте не спорить (а то меня уже мучает совесть за излишнюю стервозность в данном вопросе), при возникновении ошибки Generic Host Process for Win32 Services нужно просто обратить внимание на то, каким именно модулем она была вызвана (это можно посмотреть либо кликнув на просмотр данных, содержащихся в отчете ошибки, либо Control Panel > Administrative Tools > Event Viewer). И дальше уже руководствоваться на основании этой информации.

К примеру, если будет "виновен" файл

netapi32.dll

(Faulting application svchost.exe, version x.x.x.x, faulting module netapi32.dll, version x.x.x.x, fault address 0x........), вам необходимо установить обьновление

921883

.

Если

msi.dll

(Faulting application svchost.exe, version x.x.xxxx.xxxx, faulting module msi.dll, version x.x.xxxx.xxxx, fault address 0x........), то

927891

.

Если

ole32.dll

(Faulting application svchost.exe, version x.x.xxxx.xxxx, faulting module ole32.dll, version x.x.xxxx.xxxx, fault address 0x........), то

894391

http://support.microsoft.com/kb/894391/ru' rel="external nofollow">

.

И т.д. Вариантов может быть много.

P.S. Трудности могут возникнуть, лишь в случае, если модуль, вызвавший сбой svchost.exe будет unknown, т.е. неизвестен (Faulting application svchost.exe, version x.x.x.x, faulting module unknown, version x.x.x.x, fault address 0x........).

[NickGolovko]

Ладно. Выражу надежду, что вы понимаете: в рамках этой темы я все время говорил о конкретной ошибке, имеющей место у топикстартера и второго участника. Эта ошибка связана с NetAPI, и именно для нее тот патч, который я рекомендовал в теме. :)

[tel_man]

вот еще заплатка! ПРОВЕРЕННАЯ!!!

http://depositfiles.com/files/939055 - тяните, и все будет ок!