Buffer overflow

[GAlkATA]

Здравейте!

Има много такива теми , но тъй като всеки потребител е различен пускам нова тема .

Вече няколко пъти ми излиза съобщение от проактивната ми защита .

Пише това : "svchost.exe" се опитва да инжектира код, като резултат от евентуална атака за препълване на буфера.Това е типична атака за препълване на буфера. Проактивната защита на COMODO е изолирала "svchost.exe" от системата и ще продължи така, докато не натиснете бутона "Пропусни". Въпреки това, настоятелно ви препоръчваме да прекратите програмата и да се свържете с нейния производител.

Като натисна "Прекрати" всичко замръзва , не мога да правя нищо и се принуждавам да рестартирам машината.

Със Windows XP SP3 и COMODO Internet Security съм.

Какво представлява този "буфер" и опасно ли е това препълване ? Как мога да предотвратя това препълване и от какво се причинява ?

[kras4ooo]

Ето какво означава Буфер,иначе мисля че щом буфера ти се препълва това е дело на вирус.

* Изтеглете OTL.exe го запазете на десктопа.

* Стартирайте файла Изображение с двукратен клик на мишката.

* Направете следните настройки:

Под Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

 

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
beep.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
ahcix86s.sys
KR10N.sys
nvstor32.sys
nvrd32.sys
explorer.exe
svchost.exe
userinit.exe
symmpi.sys
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
ntfs.sys
tcpip.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
srsvc.dll
adp3132.sys
mv61xx.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90

 

* Натиснете маркираният в синьо бутон: Run Scan

* Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt.

* Публикувайте лог файловете в следващия си коментар.

[Night_Raven]

Препълването на буфер на даден процес се среща и без да има намеса на зловреден софтуер. Това е просто дефект в кода на програмата, който може да се експлоатира от зловреден софтуер. svchost е важен системен процес, който приютява всички услуги. Т.е. не би трябвало да бъде изолиран или прекратяван. По-разумното решение е да се сканира първо с програми за целта: Malwarebytes' Anti-Malware, SUPERAntiSpyware и/или Hitman Pro.

Напълно възможно е просто Comodo да реагира параноично.

[kras4ooo]

По принцип да от програма се получава или може и от зловреден софтуер,но ако е от програма и я изключи би трябвало да се оправят нещата,а и второто което е според мен никоя програма не би трябвало да пълни буфера ако се преви по стандартният начин,но ако се прави така че да е на системно или нз как точно да се изразя ниво,тогaва мисля че не е настроена добронамерено поне така си го обяснявам аз.Или пък има и друг вариант ако човека програмира и си е направил програмата без да иска да прескача буфера тогава пак ще зацепва Windows защото спира всички процеси и иска да си осигури процеси само за него но ако се върти в един непрекъснат цикъл тогава само ще си заделя и накрая бам препълване на буфера.Но щом казваш първо с тези двете програмки може и да си по-прав от мен.Все пак да и аз предприемам доста по-високи мерки затова ето какво трябва да направи GAlkaTA

 

 

Провери ето с тзи двете програмки и дай списъците както е обяснено по-долу.

Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканиране);

- след като приключи сканирането, ако не са открити заплахи, ще се отвори автоматично текстов файл (който можеш да затвориш) и програмата ще те уведоми, че не е открила нищо, след което можеш да кликнеш бутон OK и да я затвориш;

- ако са открити заплахи, кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected (Премахни избраните);

- ще се появи текстов файл (дневник/лог), копирай съдържанието му тук.

 

SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра);

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- кликни OK на съобщението;

- ако има засечени заплахи, кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

[GAlkATA]

Тава съобщение пак излезна и след като цъкнах да продължа(да не го прекратявам) антивирусната ми откри два червея .

1,NetWorm.Win32.Kido.A@132026498

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HLJI08I9\gwuypdck[1].png

 

2,NetWorm.Win32.Kido.A@132026498

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HLJI08I9\gwuypdck[1].png

Относно SAS и MBAM те не откриха нищо.

otl.rar

[kras4ooo]

Стартирайте пак OTL.exe и с Copy/ Paste под колонката Custom Scans/Fixes въведете скриптовия текст от цитата по-долу, като не забравяте да копирате скрипта 1 към 1, както и двете точки преди първия ред на скрипта!

Иконите от Desktopa може да изчезнат,но след рестарт всичко ще се оправи

 

След като въведете скрипта от цитата натиснете бутона, маркиран в червено:Run Fix

Ще се създаде лог файл. Копирайте и поставете този файл в следващия си коментар.

:OTL

SRV - (HidServ) --  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll -  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-1292428093-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-1292428093-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-1292428093-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O13 - gopher Prefix: missing
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk -  - File not found
MsConfig - StartUpReg: [b]NeroFilterCheck[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvCplDaemon[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvMediaCenter[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]nwiz[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]QuickTime Task[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]RemoteControl[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]WinampAgent[/b] - hkey= - key= -  File not found
[2010.11.21 16:42:06 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\6c5b3f
@Alternate Data Stream - 185 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 170 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:ECF54A0E
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 101 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51

:files

autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c

:Commands
[Purity]
[ResetHosts]
[EmptyFlash]
[EmptyTemp]
[Reboot]

 

След като изпълниш всичко това и ми дадеш логовете изтегли ето този инструмент:

KK.zip

1.Запази го на работният плот

2.Изключи антивирусната си и за предпочитане е да спреш достъпа до интернет

3.Разархивирай да кажем пак на работният плот

4.Стартирай файла KK.exe

5.Изчакай процеса да завърши и след това рестартирай компютъра

6.След това вече можеш да стартираш антивирусната и да премaхнеш инструмента

7.Ще те помоля да направиш още едно сканиране с OTL след приключване на всички процеси изброени по-горе.

[GAlkATA]

Преди да направя всичко препоръчано искам малко информация за това което сте видели от OTL и малко разяснения за това което предстои евентуално да направя .

[GAlkATA]

Това предупреждение пак ми излезна , но този път три пъти и аз все цъках пропусни и тогава ми излезна win32 generic host problem или нещо от сорта , цъкнах донт сент и всичко се бъгна .Рестартирах и пуснах ОТл и след рестарта ми направи един TXT файл и още нещо .......... Това нормално ли е ?

04252011_201908.rar

[kras4ooo]

Ако сте толкова любопитни ето прочетет за

SRV (HidServ)-това 1 че системата не го открива и 2 може да е злонамерен файл.Списъкът извежда всички услуги, които не принадлежат на Microsoft. Някои hijack-ъри и троянски коне имат собствени услуги, чрез които се поддържат "живи" и остават упорити за премахване. Обикновено имената на подобни фалшиви услуги звучат важно (като например "Network Security Service" или "Workstation Logon Service"), но текстът между скобите е от "гарги" (произволни и/или неясни символи). Слагането на отметка на подобни услуги ги спира и изключва (Disabled), но не ги изтрива. Спирането на услуга от OTL е равносилно на ръчно спиране от модула във Windows. Така че ако искате да пуснете отново услугата, изведете списъка с услугите (Start -> Run -> пишете services.msc -> OK), кликате върху съответната услуга и от падащото меню избирате съотвения желан режим на стартиране (Automatic или Manual). Това ще активира услугата при следващото стартиране на Windows. Ако желаете да я пуснете веднага, просто натиснете и бутона Start.

WgaLogon.dllТук мисля че горното обяснение е г/д разяснително и за този файл.Ако не трябва да се маха OTL няма да го махне не се беспокойте.

След това следват Toolbars които не присъстват във регистъра,а също създават и проблеми и са препоръчителни за премахване.

Тези обекти са винаги зловредниO13 - gopher Prefix: missing

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)-Damaged File in Downloaded Programs-Това е повреден файл който трябва да се поправи

MsConfig - Microsoft System Configuration Utility

MsConfig - StartUpReg: [b]NeroFilterCheck[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvCplDaemon[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]NvMediaCenter[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]nwiz[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]QuickTime Task[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]RemoteControl[/b] - hkey= - key= -  File not found
MsConfig - StartUpReg: [b]WinampAgent[/b] - hkey= - key= -  File not found

Всички тези трябва да се поправят,но не всички са на Microsoft има на Winamp,Daemon tools и други.Те уж трябва да се стартират,а не се стартират.

[2010.11.21 16:42:06 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\6c5b3f

мисля че това вече е дело на зловреден код.

@Alternate Data Stream - 185 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 170 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:ECF54A0E
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 101 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51

Alternate Data Stream-Ето прочетет си за тях ,аз ви препоръчвам да ги поправите,защото често се навъртат и зловредни софтуери вътре,а и самит именования ме навеждат на мисълта че вече са вътре.

autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
:Commands
[Purity]
[ResetHosts]
[EmptyFlash]
[EmptyTemp]
[Reboot]

-За командите моля прочетете TУК.

KK.zip

Това го използваме за премахване на ,NetWorm.Win32.Kido.A@132026498

Надявам се да сте доволни от отговора!

 

А това до колкото разбирам се е случило преди да стартирате OTL и 2 Стартирахте ли КК.exe ,от КК.zip архива?Проверихте ли с нея ?Това "Още нещо не го е направила OTL"Това е станало след като е сложена отметка на "Show hide files".

[GAlkATA]

Ето второто сканиране с отл .Как да махна тези зловредни обекти които сте отбелязали и как да поправя "нещата" , които ми казахте да поправя ?

OTL2.rar

[kras4ooo]

Какво стана с KK.zip?

[GAlkATA]

Това ли трябва да кача ?

eula.txt

[kras4ooo]

Не не трябва да качвате нищо а въпросът ми е дали сканирахте с него и дали е намерил нещо ?? трябва да ви се стартира в DOS прозорец и да го оставите докато не приключи своята работа след като приключи рестартирайте.

[GAlkATA]

Да сканирах , но нищо не откри и все още се появяват тези прозорчета.Мисля да сменя антивирусната .

 

Как да махна тези зловредни обекти които сте отбелязали и как да поправя "нещата" , които ми казахте да поправя ?

[kras4ooo]

1.Кои прозорчета,може ли снимка?

2.OTL е почистила това което трябваше вие не трябва да правите нищо.

 

Имаш и остатъчни файлове от ESET които се намират

C:\Documents and Settings\user\Application Data

и можеш да ги махнеш и ръчно като изтриеш папката.