Прехвърляне към съдържание


Снимка

Buffer overflow


  • Моля, влезте, за да отговорите
18 отговора по тази тема

#1 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 21 April 2011 - 17:37

Здравейте!
Има много такива теми , но тъй като всеки потребител е различен пускам нова тема .
Вече няколко пъти ми излиза съобщение от проактивната ми защита .
Пише това : "svchost.exe" се опитва да инжектира код, като резултат от евентуална атака за препълване на буфера.Това е типична атака за препълване на буфера. Проактивната защита на COMODO е изолирала "svchost.exe" от системата и ще продължи така, докато не натиснете бутона "Пропусни". Въпреки това, настоятелно ви препоръчваме да прекратите програмата и да се свържете с нейния производител.
Като натисна "Прекрати" всичко замръзва , не мога да правя нищо и се принуждавам да рестартирам машината.
Със Windows XP SP3 и COMODO Internet Security съм.
Какво представлява този "буфер" и опасно ли е това препълване ? Как мога да предотвратя това препълване и от какво се причинява ?

#2 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 21 April 2011 - 18:06

Ето какво означава Буфер,иначе мисля че щом буфера ти се препълва това е дело на вирус.
* Изтеглете OTL.exe го запазете на десктопа.
* Стартирайте файла Изображение с двукратен клик на мишката.
* Направете следните настройки:
Прикрепен файл  6e0c9b60372e7a69.jpg   139.4К   9 Брой изтегляния
Под Прикрепен файл  c814d031472c0ac1.png   544байта   7 Брой изтегляния Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
beep.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
ahcix86s.sys
KR10N.sys
nvstor32.sys
nvrd32.sys
explorer.exe
svchost.exe
userinit.exe
symmpi.sys
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
ntfs.sys
tcpip.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
srsvc.dll
adp3132.sys
mv61xx.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90

* Натиснете маркираният в синьо бутон: Run Scan
* Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt.
* Публикувайте лог файловете в следващия си коментар.

#3 Night_Raven

Night_Raven

    Subject Delta

  • Администратори
  • ПипПипПипПипПипПип
  • 23007 мнения
  • Пол:Мъж
  • Живущ в:Русе

Публикувано: 21 April 2011 - 19:20

Препълването на буфер на даден процес се среща и без да има намеса на зловреден софтуер. Това е просто дефект в кода на програмата, който може да се експлоатира от зловреден софтуер. svchost е важен системен процес, който приютява всички услуги. Т.е. не би трябвало да бъде изолиран или прекратяван. По-разумното решение е да се сканира първо с програми за целта: Malwarebytes' Anti-Malware, SUPERAntiSpyware и/или Hitman Pro.
Напълно възможно е просто Comodo да реагира параноично.

Love is just a chemical, no matter the origin. We give it meaning by choice.
 


- Eleanor Lamb (BioShock 2)


#4 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 21 April 2011 - 19:33

По принцип да от програма се получава или може и от зловреден софтуер,но ако е от програма и я изключи би трябвало да се оправят нещата,а и второто което е според мен никоя програма не би трябвало да пълни буфера ако се преви по стандартният начин,но ако се прави така че да е на системно или нз как точно да се изразя ниво,тогaва мисля че не е настроена добронамерено :) поне така си го обяснявам аз.Или пък има и друг вариант ако човека програмира и си е направил програмата без да иска да прескача буфера тогава пак ще зацепва Windows защото спира всички процеси и иска да си осигури процеси само за него но ако се върти в един непрекъснат цикъл тогава само ще си заделя и накрая бам препълване на буфера.Но щом казваш първо с тези двете програмки може и да си по-прав от мен.Все пак да и аз предприемам доста по-високи мерки затова ето какво трябва да направи GAlkaTA


Провери ето с тзи двете програмки и дай списъците както е обяснено по-долу.
Malwarebytes' Anti-Malware:
- стартирай програмата;
- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканиране);
- след като приключи сканирането, ако не са открити заплахи, ще се отвори автоматично текстов файл (който можеш да затвориш) и програмата ще те уведоми, че не е открила нищо, след което можеш да кликнеш бутон OK и да я затвориш;
- ако са открити заплахи, кликни бутон OK и после Show results (Покажи резултатите);
- кликни бутон Remove Selected (Премахни избраните);
- ще се появи текстов файл (дневник/лог), копирай съдържанието му тук.

SUPERAntiSpyware:
- стартирай програмата;
- кликни бутон Scan your Computer (Сканиране на компютъра);
- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);
- кликни Next и изчакай програмата да сканира;
- кликни OK на съобщението;
- ако има засечени заплахи, кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;
- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);
- копирай съдържанието му тук.

#5 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 21 April 2011 - 21:21

Тава съобщение пак излезна и след като цъкнах да продължа(да не го прекратявам) антивирусната ми откри два червея .
1,NetWorm.Win32.Kido.A@132026498
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HLJI08I9\gwuypdck[1].png

2,NetWorm.Win32.Kido.A@132026498
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HLJI08I9\gwuypdck[1].png
Относно SAS и MBAM те не откриха нищо.

Прикрепен(и) файл(ове)

  • Прикрепен файл  otl.rar   21.78К   4 Брой изтегляния


#6 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 22 April 2011 - 11:03

Стартирайте пак OTL.exe и с Copy/ Paste под колонката Custom Scans/Fixes въведете скриптовия текст от цитата по-долу, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта!
Иконите от Desktopa може да изчезнат,но след рестарт всичко ще се оправи

След като въведете скрипта от цитата натиснете бутона, маркиран в червено:Run Fix
Ще се създаде лог файл. Копирайте и поставете този файл в следващия си коментар.
:OTL

SRV - (HidServ) --  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll -  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-1292428093-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-1292428093-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-1292428093-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O13 - gopher Prefix: missing
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk -  - File not found
MsConfig - StartUpReg: [b]NeroFilterCheck[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvCplDaemon[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvMediaCenter[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]nwiz[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]QuickTime Task[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]RemoteControl[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]WinampAgent[/b] - hkey= - key= -  File not found
[2010.11.21 16:42:06 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\6c5b3f
@Alternate Data Stream - 185 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 170 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:ECF54A0E
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 101 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51

:files

autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c

:Commands
[Purity]
[ResetHosts]
[EmptyFlash]
[EmptyTemp]
[Reboot]

След като изпълниш всичко това и ми дадеш логовете изтегли ето този инструмент:
KK.zip
1.Запази го на работният плот
2.Изключи антивирусната си и за предпочитане е да спреш достъпа до интернет
3.Разархивирай да кажем пак на работният плот
4.Стартирай файла KK.exe
5.Изчакай процеса да завърши и след това рестартирай компютъра
6.След това вече можеш да стартираш антивирусната и да премaхнеш инструмента
7.Ще те помоля да направиш още едно сканиране с OTL след приключване на всички процеси изброени по-горе.

#7 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 25 April 2011 - 16:03

Преди да направя всичко препоръчано искам малко информация за това което сте видели от OTL и малко разяснения за това което предстои евентуално да направя .

#8 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 25 April 2011 - 19:34

Това предупреждение пак ми излезна , но този път три пъти и аз все цъках пропусни и тогава ми излезна win32 generic host problem или нещо от сорта , цъкнах донт сент и всичко се бъгна .Рестартирах и пуснах ОТл и след рестарта ми направи един TXT файл и още нещо .......... Това нормално ли е ?

Прикрепен(и) файл(ове)



#9 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 25 April 2011 - 20:17

Ако сте толкова любопитни ето прочетет за
SRV (HidServ)-това 1 че системата не го открива и 2 може да е злонамерен файл.Списъкът извежда всички услуги, които не принадлежат на Microsoft. Някои hijack-ъри и троянски коне имат собствени услуги, чрез които се поддържат "живи" и остават упорити за премахване. Обикновено имената на подобни фалшиви услуги звучат важно (като например "Network Security Service" или "Workstation Logon Service"), но текстът между скобите е от "гарги" (произволни и/или неясни символи). Слагането на отметка на подобни услуги ги спира и изключва (Disabled), но не ги изтрива. Спирането на услуга от OTL е равносилно на ръчно спиране от модула във Windows. Така че ако искате да пуснете отново услугата, изведете списъка с услугите (Start -> Run -> пишете services.msc -> OK), кликате върху съответната услуга и от падащото меню избирате съотвения желан режим на стартиране (Automatic или Manual). Това ще активира услугата при следващото стартиране на Windows. Ако желаете да я пуснете веднага, просто натиснете и бутона Start.

WgaLogon.dllТук мисля че горното обяснение е г/д разяснително и за този файл.Ако не трябва да се маха OTL няма да го махне не се беспокойте.
След това следват Toolbars които не присъстват във регистъра,а също създават и проблеми и са препоръчителни за премахване.
Тези обекти са винаги зловредниO13 - gopher Prefix: missing
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.ad...Plus/1.6/gp.cab (Reg Error: Key error.)-Damaged File in Downloaded Programs-Това е повреден файл който трябва да се поправи
MsConfig - Microsoft System Configuration Utility
MsConfig - StartUpReg: [b]NeroFilterCheck[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvCplDaemon[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvMediaCenter[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]nwiz[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]QuickTime Task[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]RemoteControl[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]WinampAgent[/b] - hkey= - key= -  File not found
Всички тези трябва да се поправят,но не всички са на Microsoft има на Winamp,Daemon tools и други.Те уж трябва да се стартират,а не се стартират.
[2010.11.21 16:42:06 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\6c5b3f
мисля че това вече е дело на зловреден код.
@Alternate Data Stream - 185 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 170 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:ECF54A0E
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 101 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51
Alternate Data Stream-Ето прочетет си за тях ,аз ви препоръчвам да ги поправите,защото често се навъртат и зловредни софтуери вътре,а и самит именования ме навеждат на мисълта че вече са вътре.
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
:Commands
[Purity]
[ResetHosts]
[EmptyFlash]
[EmptyTemp]
[Reboot]
-За командите моля прочетете TУК.
KK.zip
Това го използваме за премахване на ,NetWorm.Win32.Kido.A@132026498
Надявам се да сте доволни от отговора!

А това до колкото разбирам се е случило преди да стартирате OTL и 2 Стартирахте ли КК.exe ,от КК.zip архива?Проверихте ли с нея ?Това "Още нещо не го е направила OTL"Това е станало след като е сложена отметка на "Show hide files".

#10 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 25 April 2011 - 20:27

Ето второто сканиране с отл .Как да махна тези зловредни обекти които сте отбелязали и как да поправя "нещата" , които ми казахте да поправя ?

Прикрепен(и) файл(ове)

  • Прикрепен файл  OTL2.rar   20.15К   4 Брой изтегляния


#11 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 25 April 2011 - 20:33

Какво стана с KK.zip?

#12 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 25 April 2011 - 21:00

Това ли трябва да кача ?

Прикрепен(и) файл(ове)

  • Прикрепен файл  eula.txt   1.9К   1 Брой изтегляния


#13 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 25 April 2011 - 21:17

Не не трябва да качвате нищо а въпросът ми е дали сканирахте с него и дали е намерил нещо ?? трябва да ви се стартира в DOS прозорец и да го оставите докато не приключи своята работа след като приключи рестартирайте.

#14 GAlkaTA

GAlkaTA

    Потребител

  • Потребители
  • ПипПипПипПипПипПип
  • 99 мнения
  • Пол:Мъж

Публикувано: 27 April 2011 - 13:02

Да сканирах , но нищо не откри и все още се появяват тези прозорчета.Мисля да сменя антивирусната .

Как да махна тези зловредни обекти които сте отбелязали и как да поправя "нещата" , които ми казахте да поправя ?



#15 Kras4ooo

Kras4ooo

    Developer

  • Потребители
  • ПипПипПипПипПипПип
  • 564 мнения
  • Пол:Мъж
  • Живущ в:София
  • Интереси:Компютри-Софтуер

Публикувано: 27 April 2011 - 15:37

1.Кои прозорчета,може ли снимка?
2.OTL е почистила това което трябваше вие не трябва да правите нищо.

Имаш и остатъчни файлове от ESET които се намират
C:\Documents and Settings\user\Application Data
и можеш да ги махнеш и ръчно като изтриеш папката.




0 потребители четат тази тема

0 регистрирани потребители, 0 гости и 0 анонимни потребители