помогите. "Ошибка приложения svchost.exe"

Mixa155

hoster
Здравствуйте
у меня такая проблема: через какое-то время после запуска Windows xp pro выскакивает ошибка:
svchost.exe - Ошибка приложения
Инструкция по адресу "0x58fc16e2" обратитесь к памяти по адресу "0x58fc16e2". Память не может быть "read".
"ОК" -- завершение приложения
"Отмена" -- отладка приложения


Нажимаю Отмена, explorer.exe вроде бы перезагружается, но после этого летят все кодэки, нельзя ничего запустить. в большинстве случаев выбивает ошибку, что звуковая карта не работает (хотя звуки Виндоуса есть) и т.д.
переустановка виндоуса ничего не дала. стоит Win XP SP2 , но раньше такого не бывало.
хелп
 

Mixa155

hoster
а по подбробней можно что это за буквы и цыфры?
KB921883
KB958644
Где это качать? Подскажи плз)
 

superblast

Member
ты хоть бы для приличия в гугле спросил сначала. Это имена патчей на сайте майкрософт.

первый,
второй сам найдешь.
 

Mixa155

hoster
Скачал, установил, теперь нужно ждать выскачит ошибка опять или нет...
 

ViRT

куда хочу - туда лечу :)
XP 32-bit:

 

Mixa155

hoster
Я поставил заплатки:
WindowsXP-KB921883-x86-RUS
WindowsXP-KB958644-x86-RUS
и ошибки вроде небыло, все работает нормально, только в тотже час чтото случилось с сеткой и она стала очень лагать (скорость не более 50 кб, а в осле вообще 10кб)
Подскажите это случилось по вине телесвиита или же это после того как я поставил заплатки???
 

Lion3D.cg

В поиске абсолютной истины
Ввиду того, что ситуация начинает выходить из под контроля попытаюсь систематизировать знания об обсуждаемой проблеме. Судя по информации собранной в интернете мы имеем дело с новейшим очень сильно продвинутым сетевым червём :!:

1. Похоже никакого отношения к червю (ява-скрипт и подмена мак адресов) наш сегодняшний зверёк не имеет (хотя могу и ошибаться).

2. Краткое описание зверя - Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» критическую уязвимость, описанную в бюллетене безопасности Microsoft . Червь может также загружать и выполнять произвольные файлы.

- общий список где видно какими антивирусами зверь был впервые зафиксирован и под какими именами. - основные имена по которым идёт обсуждение в интернете - Net-Worm.Win32.Kido в разных модификациях (по классификации лаборатории Касперского), и Win32 Conficker в разных модификациях (по классификации Майкрософт и NOD32)

3. Краткое описание уязвимости (KB958644)

Уязвимость существует из-за ошибки в библиотеке netapi32.dll при обработке RPC запросов в службе Server. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение буфера в стеке и вызвать отказ в обслуживании системы или выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

Технические подробности уязвимости

Уязвимость существует в библиотеке netapi32.dll из-за ошибки в механизме подсчета аргументов функции wcscpy_s(dest, len, source), расширяемой макрос _tcscpy_s(previousLastSlash, pBufferEnd - previousLastSlash, ptr + 2); который в цикле while() обрабатывает большое количество постоянно обновляемых аргументов.

Потенциальная опасность уязвимости

Уязвимость может эксплуатироваться анонимным пользователем на Windows 2000/XP/2003 и аутентифицированным пользователем на Windows Vista/2008. Для успешной эксплуатации уязвимости атакующему потребуется получить доступ к RPC интерфейсу системы. По умолчанию, межсетевой экран (МСЭ) включен на Windows XP SP2, Windows Vista и Windows Server 2008. Итак, злоумышленник может воспользоваться уязвимость в следующих случаях:

1. МСЭ отключен
2. МСЭ включен, но также разрешена служба доступа к файлам и принтерам

Windows 2000 – удаленное выполнение кода и отказ в обслуживании
Windows XP SP2 – удаленное выполнение кода и отказ в обслуживании (DEP без ASLR)
Windows Server 2003 – удаленное выполнение кода и отказ в обслуживании (DEP без ASLR)
Windows Vista - отказ в обслуживании (DEP+ASLR)
Windows Server 2008 - отказ в обслуживании (DEP+ASLR)

Патчи устранения уязвимости:

Windows 2000 SP4 -
Windows XP SP2 -
Windows XP SP3 -
Windows XP x64 Edition -
Windows XP x64 Edition SP2 -
Windows 2003 SP1 -
Windows 2003 SP2 -
Windows 2003 x64 Edition -
Windows 2003 x64 Edition SP2 -
Windows Vista 32bit All -
Windows Vista x64 Edition All -
4 Основные симптомы проявления активности и заражения на компьютере: (вирус имеет разные модификации поэтому не все симтомы могут проявлятся)

1. Возможны сообщения о ошибки что-то вроде "инструкция обратилась к памяти ...... память не может быть written"
2. Возможны сильное падение производительности и зависание
3. Возможно изменение темы оформления Windows на упрощённую
4. Возможно сообщение об ошибке Generic Host Process for Win32 Services с подвисанием всех сетевых сервисов.

5 Действия вируса

Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:


Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm executable filename>.dll"

Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:

http://trafficconverter.biz/<censored>/loadadv.exe

Worm:Win32/Conficker.X - из обсуждения на

Поймал Conficker.X. Есть несколько вариантов как, но точно не знаю. Наиболее вероятно, что временно (около 10 минут) был открыт на вход 445 порт. Сеть доменная с двумя контролерами под win2003 ent. На контролерах и шлюзе NOD32. Обновляется через час. Все пропатчено по предложенному microsoft сценарию. Патч КВ958644 везде установлен!
Заражены контролеры, которые в свою очередь заражают клиентов. Чертов AVP ничего не видит. NOD32 борется только со следствием. Кое-как ограничил его действие, но вылечить не могу.
Проявление:
1. в system32 создаются файлы размером 157 к. с разными, но постоянным для каждой машины именем и расширением *.dll, y, q, ws. Обычным путем удалить нельзя( только в безопасном). + Доступность ВСЕ только чтение.
2. в D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 в подпапке с произвольным именем создаются файлы с расширением графических объектов (*.jpg, bmp, ...)
разных размеров. Это куски червя. В определенный момент ктото их собирает и появляется все тот же файл размером в 157 к. Это заготовка для нового пользователя.
3. в интернет идет непрерывное обращение по 445 порту по разным адресам.
4. периодически блокируются все учетнsе записи в АД
5. несколько раз останавливались DNS сервера
6. блокированы все сайты связанные с microsoft, AVP, NOD.

Чесно говоря мне блокировки всех пользователей уже за глаза хватает.
Есть подозрение что запуск идет через svchost.
Зараженные клиенты непонятным образом (право на создание и запись только у SYSTEM) создают в корнях DFS структур файл auturun.inf и каталог Recycled, а внем номерная папка типа "S-1-5-21-1960408961-2052111302-839522115-1000" а там файлик с расширением ws размером 157 к. И это всегда так - в паре.
На файл *.ws NOD32 говорит Conficker.X а АVP молчит. Зато с auturun.inf наоборот: NOD32 молчит а АVP определяет Trojan Win32/Agent.bcan.
На форуме касперского говорят что эта сволочь научилась использовать autorun.inf и брутить админские пароли.
Теперь знаю как они по сети размножались.
Если кто на мои грабли наступит:
1. На контролерах в system32 файл размером 157036 б (у меня odkcsr.y). Определяется NOD-ом как Conficer.X
2. На контролерах создаются назначенные задания c названием At1, At2 ... с запуском rundll32/exe odkcsr.y,<какой-то ключ> В коментарии: Составлено NetScheduleJobAdd. У меня таких заданий с разными ключами было по 5 штук.
3. На подключаемых носителях, в шарах, и корнях DFS создаются Рециклы и autorun.inf которые определяются как Conficer.АЕ
4. У клиентов в system32 файл размером 157036 б (названия разные, но расширения у всех DLL). Определяется NOD-ом как Conficer.X
При ручном лечении клиентских машин обнаружил три варианта по размерам:
157036 - большинство
160270
161547
Вычислить не сложно: атрибуты - скрытый, системный, для чтения; безопасность - всем ничего
С атрибутом "скрытый" автор лоханулся. Я не встречал ранее таких в корне system32, глубже - да.
Достаточно упорядочитьпо размеру и в вилке 150-170 кб их сразу видно просто в проводнике.
Ну кажись все уже выяснил.
Проходит он в сеть по 445 порту, используя дыры в ОС.
На контролерах размещается в system32 и создает назначенные задания. На рабочих станциях размещается там же и создает ветку в реестре [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic­es\<произвольное имя>. Сервис только для системы, по-этому поиск в реестре ничего не дает. Хорошо видно в regedt32 от Win2000 - служба отображена другим цветом. Если сам файл повредить то Гиена отображает службу желтым цветом со статусом Starting(!) (кажется так).
Клиенты вначале сканируют сеть, а потом бутят пароль пользователя "АДМИНИСТРАТОР" у других клиентов - видно по журналу событий. На одной из машин стояла родная англ. XP, а подбирался пароль все к той же записи "АДМИНИСТРАТОР" по русски!!!! И о чем это говорит?
Касперский после обновления 8.01.2009 начал определять клиентские вирусы как Kido.ih и Agent.bcan
5 Решение проблемы - антивирусы пока только обнаруживают червя но основательно с ним не борятся поэтому

советую начать с установки патчей:


и закрыть на вход порт 445.
- рекомендации форума лаборатории Касперского по противодействию эпидемии этого вируса.


ЗЫ: привет всему техническому персоналу "ТРК Телесвит" - вы как всегда "на высоте" - то есть бездействуете и лишь посылаете людей самим разбираться с вирусными проблемами!
 
Зверху