[Snaker]

Не знаю может у меня одного такое. Касперский(KIS 8) начал ежедневно отражать по несколько сетевых атак. Началось это примерно неделю назад. Чувствуется в сети завелся какой-то вирус.

Вот логи каспера за последние 3 дня

18.12.2008 0:17:30 TCP от 192.168.157.54 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:59 TCP от 192.168.153.83 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:49 TCP от 192.168.158.126 на локальный порт 139 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:38 TCP от 192.168.156.181 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:38 TCP от 192.168.157.52 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:36 TCP от 192.168.156.99 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:36 TCP от 192.168.145.69 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:14:34 TCP от 192.168.145.77 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:11:05 TCP от 192.168.149.239 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:10:57 TCP от 192.168.144.232 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
18.12.2008 0:10:55 TCP от 192.168.144.12 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit

17.12.2008 21:52:16 TCP от 192.168.157.81 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
17.12.2008 21:49:44 TCP от 192.168.153.215 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit

16.12.2008 23:14:32 TCP от 192.168.144.12 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 23:14:12 TCP от 192.168.147.48 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:23:59 TCP от 192.168.149.239 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:20:30 TCP от 192.168.153.51 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:14:10 TCP от 192.168.157.54 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:13:33 TCP от 192.168.158.154 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:11:47 TCP от 192.168.153.215 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:11:40 TCP от 192.168.158.34 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:11:08 TCP от 192.168.145.69 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 22:03:10 TCP от 192.168.145.77 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.12.2008 16:31:43 TCP от 192.168.144.232 на локальный порт 445 Защита от сетевых атак Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit

Что за хрень не знаю, но может надо владельцам этих IP на вирусы провериться

Сообщение отредактировал Snaker: 18 декабря 2008 - 11:10

[AdAn]

Подтверждаю. Panda IS также жалуется и обильно очень. Возможно еще и траф может утекать куданить беследно...

[DeCeRt]

Проблемы с Generic Host Process?

Многие пользователи Интернет имели знакомство с ошибкой в службе Generic Host Process for Win32 Services. Несколько дней назад я также столкнулся с ней и провел несколько дней в поисках решения проблемы.

Основной признак проблем со службой - появление сообщения об ошибке:

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Просим извинения за неудобства.

Она может появляться как сразу после подключения к Сети, так и спустя некоторое время. При нажатии на кнопку "Не отправлять" интернет-соединение прекращает работать и фактически зависает - его нельзя даже отключить. Помогает лишь перезагрузка. Как временная альтернатива - отодвинуть данное окно и продолжать работать. Это дает от нескольких минут до получаса работы. После чего соединение также зависает.

Причины:
Как уже было описано выше, служба Generic Host Process отвечает за сетевые подключения. Отсюда и причины возникновения ошибки:
Атаки хакеров. Используя уязвимости данной службы, злоумышленники пытаются проникнуть на ваш компьютер. Чаще всего, с целью инфицирования.
Вирусы. Чаще всего это трояны, пытающиеся получить интернет-доступ.
Программы с высокой нагрузкой на интернет-канал. В роли такой программы может выступать торрент-клиент (к примеру, µTorrent). Создавая огромное количество подключений (по умолчанию - около 60), программа вызывает нестабильную работу службы.

Способы решения проблемы

На просторах Сети приводится множество самых разнообразных способов решения. Но каждый из них направлен на обеспечение безопасности лишь одного аспекта. Мы же сведем все в единый список.

Установка обновлений на ОС (WinXP SP2)
Service Pack 2 для Windows XP был выпущен достаточно давно и за это время было выявлено множество уязвимостей. Большинство же пользователей не утруждает себя загрузкой обновлений с Windows Update. И зря - среди выпущенных обновлений есть и устраняющие уязвимости Generic Host Process.
Я рекомендую не экономить трафик и загрузить полный пакет критических обновлений, выпущенных с момента выхода SP2 - так называемый pre-SP3. Я рекомендую этот (~45 Мб), так как он содержит все высокоприоритетные обновления и при этом может устанавливаться поверх ОС, а не в ходе ее установки. Кроме того, данный пакет регулярно обновляется.
Если же трафик баснословно дорог, можно обойтись малой кровью - скачать лишь нужные пакеты обновлений. Это:
WindowsXP-KB894391-x86-RUS (2 Мб)
WindowsXP-KB920683-x86-RUS (600 Кб)
WindowsXP-KB921883-x86-RUS (692 Кб)
WindowsXP-KB923414-x86-RUS (715 Кб)

Устанавливать рекомендуется в приведенном порядке. Обновления рассчитаны на WinXP SP2 русской версии в 32-битном исполнении. В случае появления проблем с Windows Genuine Advantage см. статью "Проблемы с Windows Genuine Advantage?"

Проверка на наличие вирусов
В обязательном порядке устанавливаем антивирус (я отдаю предпочтение Kaspersky Internet Security 6.0, т.к. файерволл нам также понадобится), загружаем на него самые последние базы и проверяем весь компьютер.

Закрытие портов в файерволле
В сетевом экране (брандамауэре, файерволле) желательно закрыть локальные порты, к которым пытаются подключиться злоумышленники. Чаще всего это 445 порт, иногда - 139 порт.
Для закрытия их в KIS 6.0 заходим в настройки, слева выбираем "Анти-Хакер", проверяем галочки "Включить Анти-Хакер" и "Включить сетевой экран".

[luitzen]

Хоть бы указывал, откуда скопипастил-то…

[va-bank]

Вобщем нод32 постоянно тревогу бьет что сетевая атака фиксируется с ай пи адреса 192.168.151.197
Ладно бы токо тревогу бил, но вирус покоду проник уже и постоянно вызывает зависание процесса svchost.exe из-за чего и сеть и инет пропадают
комп проверял, не нашел вирусов..хот я и трезвонит постоянно..
вопрос: ЧО ЗА Х..? это вирус в сети появился или кто то спецом с етого ай пи атакует? что делать с этими атаками- или решение проблемы только в физическом уничтожении компа с етим ай пи?

[Snaker]

va-bank (Saturday, 24 January 2009, 0:40) писал:

Вобщем нод32 постоянно тревогу бьет что сетевая атака фиксируется с ай пи адреса 192.168.151.197
Ладно бы токо тревогу бил, но вирус покоду проник уже и постоянно вызывает зависание процесса svchost.exe из-за чего и сеть и инет пропадают
комп проверял, не нашел вирусов..хот я и трезвонит постоянно..
вопрос: ЧО ЗА Х..? это вирус в сети появился или кто то спецом с етого ай пи атакует? что делать с этими атаками- или решение проблемы только в физическом уничтожении компа с етим ай пи?

С добрым утром http://usunet.ru/for...?showtopic=5040

[AdAn]

501й раз говорю, говорил в каче млн раз, ПРОВЕРЯЙТЕ, еще раз говорю, ПРОВЕРЯЙТЕ СВОИ КОМПЫ НА ВИРУСЫ!!!

ЗЫ: насколько я знаю, раньше такие компы от сети отрубали... я думаю надо тоже будет делать

[AdAn]

Как, наверное, вы уже знаете, появился новый червь Conficker (Downadup). На данный момент заражено более 9 млн. компьютеров. Есть опасения, что само оно не издохнет и у нас тоже может начаться 'эпидемия'.
Всем пользователям необходимо установить следующий патч: http://www.microsoft...n/MS08-067.mspx
В Kaspersky Lab написали утилиту для обнаружения и удаления червя: http://support.kaspe.../?qid=208279973

[Snaker]

AdAn (Tuesday, 27 January 2009, 14:02) писал:

Всем пользователям необходимо установить следующий патч: http://www.microsoft...n/MS08-067.mspx

We're sorry, but the page you requested could not be found. You might want to try another entry or use the links on this page.
Причем тут magnet ссылки? Может так http://www.microsoft...n/MS08-067.mspx ?

[kl!m]

Snaker (Tuesday, 27 January 2009, 16:48) писал:

AdAn (Tuesday, 27 January 2009, 14:02) писал:

Всем пользователям необходимо установить следующий патч: http://www.microsoft...n/MS08-067.mspx

We're sorry, but the page you requested could not be found. You might want to try another entry or use the links on this page.
Причем тут magnet ссылки? Может так http://www.microsoft...n/MS08-067.mspx ?

ты прав. ссылки исправил.

[va-bank]

2 раза пришлось переставлять винду
не знаю, что былд за вирус но он обходил (ставил проги ДО установки сети) и нод32 2.7 и аутпост фаервол
в итоге переставил винду, установил касперки 6 и пока вроед никаких глюкков не наблюдается (так, толькот зафиксировал сетевую атаку на 445 порт с ай пи 192.168.157.84

а какие глюки наблюдались до этого?полный набор:
1)слетал инет
2) чуть поже сеть. причем восстановить ни инет ни сеть не удавалось
3) звук тожд слетал
4)explorer начинать глючить-например, сменять темы рабочего стола со стандартной ХП на тему 98
5) ваще капец

Вопрос админам: нельзя ли "вылечить" нашу сеть, а если в итоге не получится - просто бангить эти компы, чтобы наконец уж они что то сделали со своими железяками

вопрос ОКТРЫт уже пару недель, ждем решения..

Сообщение отредактировал va-bank: 07 февраля 2009 - 16:54

[vetal-t]

была таже проблема на xp, ставил comodo фаервол, перекрывал все svchost.exe и не было проблем, кроме оьновления антивируса, тот в нем как оказалось нуждался. а еще где то в инете была и есть прога, весит около 50кб, которая перекрывала уязвимые порты, так что справиться с этой проблемой можно

[ZenHarBinGer]

vetal-t (Saturday, 07 February 2009, 20:00) писал:

была таже проблема на xp, ставил comodo фаервол, перекрывал все svchost.exe и не было проблем, кроме оьновления антивируса, тот в нем как оказалось нуждался. а еще где то в инете была и есть прога, весит около 50кб, которая перекрывала уязвимые порты, так что справиться с этой проблемой можно

сделал обновление ХР и анти вируса NOD все просканировал и все....

[va-bank]

атаки все равно ФИКСИРУЕТ..
от предыдущего сообщения разь 6-7 атки регистрировал каспер

[SM_]

блин, вот и ко мне пришла беда (

[SM_]

главное проблема c svchostом появилась сразу после того как поставил SP3 на XP

Сообщение отредактировал SM_: 08 февраля 2009 - 19:02

[Snaker]

Вот кстати хорошая статья по удалению этого зверя
http://support.kaspe...r?qid=208636215

[Тина ис]

А у меня наверно вирусы в Биос въелись, какой раз переустанавливаю винду и процессор загружен на 100%, запущу старый добрый Fable и тот глючит, мож кто знает что делать? раньше такого не было.

[Тина ис]

А как только отключаю инет так всё как рукой сдувает, иногда сдувает..

[AdAn]

17.03.2009 15:20:48 TCP от 192.168.149.186 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
17.03.2009 14:23:38 TCP от 192.168.147.173 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
17.03.2009 12:04:35 TCP от 192.168.148.36 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit

Это прокричал привидение (каспер)

возможно по сетке опять бегает вирусня... хотя она и не прекращала бегать