помогите. "Ошибка приложения svchost.exe"

[Mixa155]

Здравствуйте
у меня такая проблема: через какое-то время после запуска Windows xp pro выскакивает ошибка:
svchost.exe - Ошибка приложения
Инструкция по адресу "0x58fc16e2" обратитесь к памяти по адресу "0x58fc16e2". Память не может быть "read".
"ОК" -- завершение приложения
"Отмена" -- отладка приложения


Нажимаю Отмена, explorer.exe вроде бы перезагружается, но после этого летят все кодэки, нельзя ничего запустить. в большинстве случаев выбивает ошибку, что звуковая карта не работает (хотя звуки Виндоуса есть) и т.д.
переустановка виндоуса ничего не дала. стоит Win XP SP2 , но раньше такого не бывало.
хелп

 

[superblast]

KB921883
KB958644
скачай и установи эти патчи.

 

[Mixa155]

а по подбробней можно что это за буквы и цыфры?
KB921883
KB958644
Где это качать? Подскажи плз)

 

[superblast]

ты хоть бы для приличия в гугле спросил сначала. Это имена патчей на сайте майкрософт.

You must be registered for see links

первый,
второй сам найдешь.

 

[Mixa155]

Скачал, установил, теперь нужно ждать выскачит ошибка опять или нет...

 

[ViRT]

XP 32-bit:

You must be registered for see links

You must be registered for see links

 

[Mixa155]

Пока что этой ошибки незамечал!

 

[Mixa155]

XP 32-bit:

You must be registered for see links

You must be registered for see links

Спасиб, но у меня уже есть)))

 

[Mixa155]

Я поставил заплатки:
WindowsXP-KB921883-x86-RUS
WindowsXP-KB958644-x86-RUS
и ошибки вроде небыло, все работает нормально, только в тотже час чтото случилось с сеткой и она стала очень лагать (скорость не более 50 кб, а в осле вообще 10кб)
Подскажите это случилось по вине телесвиита или же это после того как я поставил заплатки???

 

[Lion3D.cg]

Ввиду того, что ситуация начинает выходить из под контроля попытаюсь систематизировать знания об обсуждаемой проблеме. Судя по информации собранной в интернете мы имеем дело с новейшим очень сильно продвинутым сетевым червём :!:

1. Похоже никакого отношения к червю

You must be registered for see links

(ява-скрипт и подмена мак адресов) наш сегодняшний зверёк не имеет (хотя могу и ошибаться).

2. Краткое описание зверя - Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» критическую уязвимость, описанную в бюллетене безопасности Microsoft

You must be registered for see links

. Червь может также загружать и выполнять произвольные файлы.

You must be registered for see links

- общий список где видно какими антивирусами зверь был впервые зафиксирован и под какими именами. - основные имена по которым идёт обсуждение в интернете - Net-Worm.Win32.Kido в разных модификациях (по классификации лаборатории Касперского), и Win32 Conficker в разных модификациях (по классификации Майкрософт и NOD32)

3. Краткое описание уязвимости

You must be registered for see links

(KB958644)

Уязвимость существует из-за ошибки в библиотеке netapi32.dll при обработке RPC запросов в службе Server. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение буфера в стеке и вызвать отказ в обслуживании системы или выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

Технические подробности уязвимости

Уязвимость существует в библиотеке netapi32.dll из-за ошибки в механизме подсчета аргументов функции wcscpy_s(dest, len, source), расширяемой макрос _tcscpy_s(previousLastSlash, pBufferEnd - previousLastSlash, ptr + 2); который в цикле while() обрабатывает большое количество постоянно обновляемых аргументов.

Потенциальная опасность уязвимости

Уязвимость может эксплуатироваться анонимным пользователем на Windows 2000/XP/2003 и аутентифицированным пользователем на Windows Vista/2008. Для успешной эксплуатации уязвимости атакующему потребуется получить доступ к RPC интерфейсу системы. По умолчанию, межсетевой экран (МСЭ) включен на Windows XP SP2, Windows Vista и Windows Server 2008. Итак, злоумышленник может воспользоваться уязвимость в следующих случаях:

1. МСЭ отключен
2. МСЭ включен, но также разрешена служба доступа к файлам и принтерам

Windows 2000 – удаленное выполнение кода и отказ в обслуживании
Windows XP SP2 – удаленное выполнение кода и отказ в обслуживании (DEP без ASLR)
Windows Server 2003 – удаленное выполнение кода и отказ в обслуживании (DEP без ASLR)
Windows Vista - отказ в обслуживании (DEP+ASLR)
Windows Server 2008 - отказ в обслуживании (DEP+ASLR)

Патчи устранения уязвимости:

Windows 2000 SP4 -

You must be registered for see links

Windows XP SP2 -

You must be registered for see links

Windows XP SP3 -

You must be registered for see links

Windows XP x64 Edition -

You must be registered for see links

Windows XP x64 Edition SP2 -

You must be registered for see links

Windows 2003 SP1 -

You must be registered for see links

Windows 2003 SP2 -

You must be registered for see links

Windows 2003 x64 Edition -

You must be registered for see links

Windows 2003 x64 Edition SP2 -

You must be registered for see links

Windows Vista 32bit All -

You must be registered for see links

Windows Vista x64 Edition All -

You must be registered for see links

4 Основные симптомы проявления активности и заражения на компьютере: (вирус имеет разные модификации поэтому не все симтомы могут проявлятся)

1. Возможны сообщения о ошибки что-то вроде "инструкция обратилась к памяти ...... память не может быть written"
2. Возможны сильное падение производительности и зависание
3. Возможно изменение темы оформления Windows на упрощённую
4. Возможно сообщение об ошибке Generic Host Process for Win32 Services с подвисанием всех сетевых сервисов.

5 Действия вируса

Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:


Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:

http://trafficconverter.biz/<censored>/loadadv.exe

Worm:Win32/Conficker.X - из обсуждения на

You must be registered for see links

Поймал Conficker.X. Есть несколько вариантов как, но точно не знаю. Наиболее вероятно, что временно (около 10 минут) был открыт на вход 445 порт. Сеть доменная с двумя контролерами под win2003 ent. На контролерах и шлюзе NOD32. Обновляется через час. Все пропатчено по предложенному microsoft сценарию. Патч КВ958644 везде установлен!
Заражены контролеры, которые в свою очередь заражают клиентов. Чертов AVP ничего не видит. NOD32 борется только со следствием. Кое-как ограничил его действие, но вылечить не могу.
Проявление:
1. в system32 создаются файлы размером 157 к. с разными, но постоянным для каждой машины именем и расширением *.dll, y, q, ws. Обычным путем удалить нельзя( только в безопасном). + Доступность ВСЕ только чтение.
2. в D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 в подпапке с произвольным именем создаются файлы с расширением графических объектов (*.jpg, bmp, ...)
разных размеров. Это куски червя. В определенный момент ктото их собирает и появляется все тот же файл размером в 157 к. Это заготовка для нового пользователя.
3. в интернет идет непрерывное обращение по 445 порту по разным адресам.
4. периодически блокируются все учетнsе записи в АД
5. несколько раз останавливались DNS сервера
6. блокированы все сайты связанные с microsoft, AVP, NOD.

Чесно говоря мне блокировки всех пользователей уже за глаза хватает.
Есть подозрение что запуск идет через svchost.

Зараженные клиенты непонятным образом (право на создание и запись только у SYSTEM) создают в корнях DFS структур файл auturun.inf и каталог Recycled, а внем номерная папка типа "S-1-5-21-1960408961-2052111302-839522115-1000" а там файлик с расширением ws размером 157 к. И это всегда так - в паре.
На файл *.ws NOD32 говорит Conficker.X а АVP молчит. Зато с auturun.inf наоборот: NOD32 молчит а АVP определяет Trojan Win32/Agent.bcan.

На форуме касперского говорят что эта сволочь научилась использовать autorun.inf и брутить админские пароли.

Теперь знаю как они по сети размножались.
Если кто на мои грабли наступит:
1. На контролерах в system32 файл размером 157036 б (у меня odkcsr.y). Определяется NOD-ом как Conficer.X
2. На контролерах создаются назначенные задания c названием At1, At2 ... с запуском rundll32/exe odkcsr.y,<какой-то ключ> В коментарии: Составлено NetScheduleJobAdd. У меня таких заданий с разными ключами было по 5 штук.
3. На подключаемых носителях, в шарах, и корнях DFS создаются Рециклы и autorun.inf которые определяются как Conficer.АЕ
4. У клиентов в system32 файл размером 157036 б (названия разные, но расширения у всех DLL). Определяется NOD-ом как Conficer.X

При ручном лечении клиентских машин обнаружил три варианта по размерам:
157036 - большинство
160270
161547
Вычислить не сложно: атрибуты - скрытый, системный, для чтения; безопасность - всем ничего
С атрибутом "скрытый" автор лоханулся. Я не встречал ранее таких в корне system32, глубже - да.
Достаточно упорядочитьпо размеру и в вилке 150-170 кб их сразу видно просто в проводнике.

Ну кажись все уже выяснил.
Проходит он в сеть по 445 порту, используя дыры в ОС.
На контролерах размещается в system32 и создает назначенные задания. На рабочих станциях размещается там же и создает ветку в реестре [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic­es\<произвольное имя>. Сервис только для системы, по-этому поиск в реестре ничего не дает. Хорошо видно в regedt32 от Win2000 - служба отображена другим цветом. Если сам файл повредить то Гиена отображает службу желтым цветом со статусом Starting(!) (кажется так).
Клиенты вначале сканируют сеть, а потом бутят пароль пользователя "АДМИНИСТРАТОР" у других клиентов - видно по журналу событий. На одной из машин стояла родная англ. XP, а подбирался пароль все к той же записи "АДМИНИСТРАТОР" по русски!!!! И о чем это говорит?
Касперский после обновления 8.01.2009 начал определять клиентские вирусы как Kido.ih и Agent.bcan

5 Решение проблемы - антивирусы пока только обнаруживают червя но основательно с ним не борятся поэтому

советую начать с установки патчей:

You must be registered for see links

You must be registered for see links

и закрыть на вход порт 445.

You must be registered for see links

- рекомендации форума лаборатории Касперского по противодействию эпидемии этого вируса.


ЗЫ: привет всему техническому персоналу "ТРК Телесвит" - вы как всегда "на высоте" - то есть бездействуете и лишь посылаете людей самим разбираться с вирусными проблемами!