Воскресенье, 22.12.2024, 10:30
Приветствую Вас Гость | Регистрация | Вход

Ремонт компьютера за час на дому и офисе

Каталог статей

Главная » Статьи » Статьи

Вирус нового поколения KIDO или Generic Host Process for WIN32 Services


Вопросы пользователей:

1) Это не оффтоп. Читайте. ))
Привет всем. Проблема недавняя, но доставшая меня по полной. Все по-порядку.

Началось все с постепенного зависания программы Metatrader - отсутствие связи. Далее стал пропадать и весь инет с локалкой. Программа FlyingDC++ пишет следующее: "невозможно подключится к сокету, тк буфер 

слишком мал или очередь переполнена". 
В поддержке посоветовали антивирус или переустановку. Я выбрал второе. Через несколько дней проблема появилась вновь. Стали грешить на Metatrader, потому как он требует порт 443, который, естественно, у меня 

не открыт, тем самым забивает буфер или что-то там еще. Но после второй переустановки проблема возникала заново при том, что Metatrader запущен или установлен не был. 
Стали думать (я и поддержка). Надумали на сетевую карту, мол, умирает. Поменял!! Проблема осталась. Потом мне посоветовали перепрошить БИОС. Сделал. Проблема осталась. 
Стал переподключать устройства компа с целью обнаружить устойчивую работу инета и локалки без какого-либо девайса ,например, без одной и планок оперативки. Не помогло. Лишь только одно пока работает, но 

ненадолго. А именно , отключение одного из хардов. В подозрениях материнка или все же программный сбой.  
Решил написать на этот форум, потому как на нем я нашел ветки по проблеме Generic Host...
Дело в том, что до начала всех проблем у меня неожиданно выскочила подобная штука. Через некоторое время пропал звук, а точнее звуковая карта. Помогла перезагруска. И вот только потом начались проблемы с 

инетом. После первой переустановки эта ошибка появилась вновь. После третьей ,четвертой, пятой и тд (их было много за посл. неск. дней) ошибка не выскакивала до сегодняшнего дня. 
Так что же это все-таки - программный сбой или железо? Почему не помогает переустановка, при этом "симптомы" ,кот. я нашел на этом форуме больше смахивают на программную ошибку с переполнением какого-то 

буфера. Ответьте пожалуйста, кто-нибудь. Заранее благодарен. 

2) Добрый день. Возникает аналогичная проблема - на работе отрубается Инет (через 3G модем Утела), а вчера ошибка возникла дома, но инет не вырубается, а пропадает звук в играх, проигрывателях, но если 

включить Диспетчер Realtek - там звук есть. Какая нужна дополнительная информация об ошибках - вечером могу предоставить? 
По поводу вирусов/троянов - на работе Аваст 4 ничего не находит, дома свеже переустановленная система (1 неделя) с постоянно включенным виндосовским брандмауэром и НОДом, проверка на вирусы через день - 

ничего не находит. 
Дома подключение через локальную сеть - если я сделаю как написано в первом посте, у меня Инет и локалка работать будут или нет? Папок с открытым общим доступом у меня нет.
Заранее спасибо!

3) Georgo.Также купил себе новый комп и коннект. Когда комп с коннектом работал в оддельности вроде такого не было. Но только включаеш под него второй и тут те Generic host process for win32 services.(И это 

только на той машине на которой модем) Установи вышеуказонное мной и ещё выше не мной обновление вроде всё решилось)
Во блин. Только заметил что время указано 16.45 а я пишу в 00.45)))
P.S
Подпись ошибки
szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown
szModVer : 0.0.0.0 offset : 001f1cb0  

4) Cтолкнулся с такой жe проблeмой, только у мeня ошибка Generic... вылeтаeт нeзависимо от того подключeн инeт, или нeт...
Подпись ошибки:
szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : ntdll.dll
szModVer : 5.1.2600.2180 offset : 00028bdd  
Включeнныe в отчёт файлы: 

C:DOCUME~1CaNeKLOCALS~1TempWERed3a.dir00svchost.exe.mdmp
C:DOCUME~1CaNeKLOCALS~1TempWERed3a.dir00appcompat.txt
Послe нажатия на "отправить отчёт" либо "нe отправлять", вылазит окошко, с отсчётом врeмeни до пeрeзагрузки, eсли проигнорировать и отвeсти сообщeниe

Решения проблем:

1) системная ошибка приложения svchost.exe - Generic Host Process for Win32 Services (решение от 24.09.2006 с дополнениями от 08.12.2008)  
Данная проблема связана с несколькими багами системной службы 'Сервер' (в частности, в модуле netapi32.dll) при работе в сети под Windows XP SP1/SP2/SP3. Для устранения данной проблемы пользователям 

одиночных машин (т.е. компьютеры которых не связаны с др. машинами локальной сеткой) необходимо проделать следующее: нажимаете комбинацию клавиш Microsoft+R (пояснение: 'Microsoft' - клавиша с изображением 

фирменного значка Микрософт); в появившемся окошке с командной строкой набираете текст msconfig и жмете 'ОК'; в открывшемся окне заходите в закладку 'Службы' (Services) и убираете галочки с пунктов 'Сервер' 

(Server) и 'Рабочая станция' (Workstation), после чего также жмете 'ОК'; перезагружаете компьютер и в появившемся окне с сообщением ставите галочку и жмете 'ОК'. Произведенные изменения никак не скажутся на 

работоспособности Интернет-коннекта или чего-либо др. Внимание! Важно! Если Ваш компьютер связан с др. компьютерами локальной сети и содержит общие папки и файлы, к которым должны иметь доступ остальные 

участники рабочей группы, или же Ваш компьютер является сервером-маршрутизатором (выполняет роль шлюза), через который др. компьютеры подключаются к Интернет-сети, или же имеется VPN-подлкючение, 

использующее шлюз на локальном транзитном сервере Вашего Интернет-провайдера, то службы 'Сервер' и 'Рабочая станция' отключать нельзя, т.к. это приведет к неработоспособности локальных соединений с др. 

компьютерами. В данной ситуации, для устранения вышеуказанной проблемы необходимо скачать с сайта Микрософт и установить у себя на компьютере патчи со следующими номерами: для Windows XP SP1 - KB921883 и 

KB923414; для Windows XP SP2 - KB923414, KB924270 и KB958644; для Windows XP SP3 - KB958644. Для русскоязычной версии Виндовс (если Вы использовали руссификатор системного интерфейса, то нижеуказанная ссылка 

Вам не подойдет; см. далее ссылку для англ. интерфейса) патчи можно скачать отсюда: http://www.microsoft.com/downloads/Search.aspx?displaylang=ru Для англоязычной версии Виндовс (с оригинальным английским 

интерфейсом или с русским, установленным при помощи руссификатора) используйте ссылку http://www.microsoft.com/downloads/Search.aspx?displaylang=en Перед установкой патчей обязательно выгрузите из системы 

(только из памяти - удалять ничего не нужно!) антивирусы и фаерволлы, такие, как, например, Outpost Pro, ZoneAlarm Pro, Kaspersky Internet Security и т.п. Учтите, что установка патчей при активном защитном 

ПО может привести к некорректностям в последующей работе системы; снова активизировать защиту Вы сможете сразу же после инсталляции патчей в систему. Также не забывайте после установки каждого из патчей 

перезагружать компьютер.

2) Анализ данной ошибки, произведенный на моем собственном компьютере, позволил установить, что даже на защищенном компьютере с установленным фаерволлом может происходить сбой в системном модуле 

%windir%\System32\rpcrt4.dll, который является компонентом службы DCOM (Distributed Component Object Model). При сбое наблюдается аварийное отключение от сети Интернет, падение службы Windows Audio Service, 

а также службы, связанной с Темами (настройками интерфейса) Рабочего стола. Поскольку на данный момент патча для устранения данной ошибки в модуле rpcrt4.dll, насколько мне известно, не существует, то я бы 

рекомендовал просто-напросто установить для этого компонента минимальные права доступа к сети в настройках фаерволла.

3) Насчет Generic Host Process for WIN32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Данная проблема возникает из-за "дырки" в винде, которая латается обновлением KB958644. На некоторых машинах помогает встроенный файрволл винды(брэндмауэр), точнее его включение, но обновление все же стоит 

установить. Кстати, на SP3 его тоже нужно стаивть :), т.к. там та же дырка. Обновление KB958644 заменяет вот это обновление - KB921883. Это все в случае, если червь еще не на машине. А если уже там - 

ставим либо касперского либо НОД, обновляем базы, убиваем червя, а потом ставим обновления, файрволл. Должно помочь.

4) На сайте Касперского описано решение проблемы вредоноса Net-Worm.Win32.Kido, действия которого связаны с проблемой GenericHost - http://support.kaspersky.ru/faq?chapter=207713971&print=true&qid=208636215
Конкретно в данной статье рекомендуется установка патчей KB957097, KB958687, KB958644.
Сложно сказать насколько повлияли рекомендации Касперского, но только после установки всех 3-х патчей проблема была решена (для Windows XP SP3).

5)При борьбе с трояном Trojan-Dropper.Win32.Agent.ztu утилита klwk.com предпринимает попытку установить рекомендуемые Вашим провайдером настройки интернета. Если по каким-либо причинам установить 

рекомендуемые настройки интернета не удалось, то устанавливаются настройки открытого для всех пользователей интернета сервиса (OpenDNS), которые позволяют Вам полноценно выходить в Интернет. Однако, в случае 

сбоев в работе OpenDNS Лаборатория Касперского не несет ответственности за последствия подобных сбоев и рекомендует обращаться в службу поддержки Вашего провайдера для установки первоначальных сетевых 

настроек.
Существуют такие вредоносные программы, которые после своей установки не дают работать Антивирусным пакетам в полнофункциональном режиме, а зачастую такие программы просто блокируют работу Антивирусных 

пакетов. Для борьбы с такими программами Лаборатория Касперского предлагает утилиту klwk.com, которую Вы можете скачать здесь: http://support.kaspersky.ru/downloads/utils/klwk.zip 
Если Ваш компьютер подвергся заражению одним из вирусов, с которой борется утилита klwk.com и используемый Вами Антивирусный пакет не может работать в полнофункциональном режиме или просто не запускается, то 

Вам необходимо проделать следующие действия: 
скачайте утилиту klwk.com: http://support.kaspersky.ru/downloads/utils/klwk.zip (рекомендуется сохранить исполняемый файл утилиты либо в отдельной папке, либо на отдельном носителе) 
распакуйте klwk.zip в ту же папку, в которую Вы сохранили архивный файл 
запустите исполняемый файл klwk.com без каких-либо параметров: утилита произведет сканирование памяти и выгрузит вирусные процессы 
дождитесь окончания процесса сканирования

http://support.kaspersky.ru/faq/?qid=180593202

6) «Лаборатория Касперского» предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.
Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.
Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.
«Лаборатория Касперского» рекомендует пользователям убедиться в том, что их антивирус использует новейшие базы данных. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для 

ОС Windows.
На нашем сайте опубликованы подробные описания Kido.bt, Kido.dv и Kido.fx, включающие инструкции по удалению этих вредоносных программ.
Также с сайта support.kaspersky.com вы можете скачать утилиту KidoKiller, позволяющую удалять с заражённого компьютера червь Net-Worm.Win32.Kido.

http://www.viruslist.com/ru/alerts?alertid=203698715

p.s. http://support.microsoft.com/kb/821690/ru

Уважаемые читатели моих статей и пользователи сайта,  я не беру с вас денег за информацию, не прошу вас об отправках смс, бесплатно и бескорыстно в каждой теме помогаю вам бороться с вирусами и прочей нечестью. Помогите и вы мне.

Оставьте, пожалуйста, отзыв на данном сайте http://www.gidbelgorod.ru/rubric/firm/id/1013/ptype/section/pid/322 или просто нажмите тут.  Данная ссылка не является вирусом, но если вы сомневаетесь, проверить ее можно на сайте доктора веба. Заранее спасибо за отзывы, это очень поможет мне в дальнейшем развитии.


Источник: http://daxa.com.ua/forum/topic_windows/id2/page4/
Категория: Статьи | Добавил: ipsyedinmk (05.04.2009) | Автор: Максим
Просмотров: 4950
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]