Jak rozprzestrzenia się Generic Host Process...?
ShrekPl
Mam w domu LiveBox'a i kilka komputerów głównie pod Linuxem ale zdarza
mi się też Windows. Długo walczyłem z generic host process for win32
services. Większość porad znalezionych w sieci było nieskuteczne.
Pomogło dopiero gruntowne zablokowanie usług Windowsowych dokonane
dzięki artykułowi http://www.searchengines.pl/index.php?showtopic=12532
i jemu pochodnych z tego serwisu. Rozwiązanie to nie zadowala mnie
jednak, odcina Windowsa od większości Microsoftowych lokalnych usług
sieciowych. Opis Symanteca W32.IRCBot.DCN nie pokrywa się z tym co
widzę u siebie. Chcę spróbować stworzyć sobie Linuxowy router z
firewallem. Stąd moje pytanie: jak to gówno się rozprzestrzenia? Może
znacie porty, adresy, specyfikę pakietów? Gdzie i czego szukać?
I jeszcze jedno dziwne pytanie. Jak sprawdzić, czy rzeczywiście tego
syfu nie ma? Raz zablokowałem go, niby skutecznie, ale ujawnił się po
wyjęciu jednej z dwóch sieciówek z kompa. Prawdopodobnie w tym
momencie system dokonfigurował się do nowych zasobów sprzętowych i
nadpisał blokadę. Głupio jest czekać w ciemno czy robal ujawni się czy
nie. Na ogół pokazywał się do kilku dni od instalacji/podłączenia
nowego systemu.
Dziękuję.
Grzegorz Niemirowski
Może najpierw coś uściślijmy. Generic Host Process for Win32 Services czyli
svchost.exe znajdujący się standardowo w katalogu C:\WINDOWS\System32 to
podstawowy składnik Windows odpowiedzialny za uruchamianie wielu usług.
Rozumiem, że chodzi Ci o wirusy, które się pod niego podszywają? Po prostu
trzeba przestrzegać podstawowych zasad profilaktyki antywirusowej,
zaczynając od instalacji poprawek. Od dłuższego czasu nie było żadnej
dziury, która byłaby masowo wykorzystywana a nie byłoby na nią poprawki.
Jeśli Twój komputer łapie wirusa niedługo po podłączeniu do netu to znaczy,
że totalnie zaniedbałeś instalację poprawek. Nie wiem po co chcesz wyłączać
windowsowe usługi. Kiedyś był jakiś babol w UPnP, po którym ludzie zaczęli
masowo wyłączać usługę upnphost (Host uniwersalnego urządzenia Plug and
Play), podczas gdy winna była usługa ssdpsrv (Usługa odnajdywania SSDP).
Można sobie wyłączyć jeszcze usługę Przeglądarka komputera bez specjalnej
szkody oraz kilka innych, np. Klient DNS (DNS będzie działać, ta usługa to
tylko cache). Ale generalnie nie ma co tam grzebać. W każdym razie zostaw w
spokoju usługi. Jeśli masz jakieś procesy svchost.exe, które nie są odpalone
z tego właściwego, tylko z innych, umieszczonych w dziwnych miejscach na
dysku to je po prostu wykasuj. Pomocny okaże się tu program Process
Explorer. A co do usług związanych z NetBIOS, opisanych na podanej przez
Ciebie stronie, to po prostu zablokuj te porty na firewallu. Z resztą XP je
blokuje domyślnie z tego co wiem swoją zaporą (podczas instalacji systemu
przez IPSec, gdy zapora jeszcze nie działa). Z resztą te usługi były
atakowane gdy poprawka już była (Blaster).
--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i aktualności ze świata Outlook Express: grzegorz.net/oe
Uptime: 0 days, 5 hours, 28 minutes and 57 seconds
ShrekPl
Dziękuję za odpowiedź i przepraszam, że tak późno odpowiadam. Byłem w
rozjazdach. A teraz do rzeczy:
On 13 Wrz, 20:38, "Grzegorz Niemirowski" <gnthexfi...@poczta.onet.pl>
wrote:
>
> Może najpierw coś uściślijmy. Generic Host Process for Win32 Services czyli
> svchost.exe znajdujący się standardowo w katalogu C:\WINDOWS\System32 to
> podstawowy składnik Windows odpowiedzialny za uruchamianie wielu usług.
> Rozumiem, że chodzi Ci o wirusy, które się pod niego podszywają? Po prostu
Chodzi mi o problem którego objawem jest komunikat pokazany na tym
rysunku.
> trzeba przestrzegać podstawowych zasad profilaktyki antywirusowej,
> zaczynając od instalacji poprawek. Od dłuższego czasu nie było żadnej
> dziury, która byłaby masowo wykorzystywana a nie byłoby na nią poprawki.
> Jeśli Twój komputer łapie wirusa niedługo po podłączeniu do netu to znaczy,
> że totalnie zaniedbałeś instalację poprawek. Nie wiem po co chcesz wyłączać
Napisałem, wydawało mi się, że dość wyraźnie, że po instalowałem
serwis paki, poprawki, ostatni autpatcher i poblokowałem porty zgodnie
z większością publikowanych w internecie rad.
> windowsowe usługi. Kiedyś był jakiś babol w UPnP, po którym ludzie zaczęli
> masowo wyłączać usługę upnphost (Host uniwersalnego urządzenia Plug and
> Play), podczas gdy winna była usługa ssdpsrv (Usługa odnajdywania SSDP).
W tym cały problem, że nie chcę blokować tych usług bo utrudnia
codzienną pracę systemu. Jednak dopiero taka blokada pozwoliła na
swobodną pracę bez problemu z komunikatem 'Generic Host...'.
> Można sobie wyłączyć jeszcze usługę Przeglądarka komputera bez specjalnej
> szkody oraz kilka innych, np. Klient DNS (DNS będzie działać, ta usługa to
> tylko cache). Ale generalnie nie ma co tam grzebać. W każdym razie zostaw w
> spokoju usługi. Jeśli masz jakieś procesy svchost.exe, które nie są odpalone
> z tego właściwego, tylko z innych, umieszczonych w dziwnych miejscach na
> dysku to je po prostu wykasuj. Pomocny okaże się tu program Process
> Explorer. A co do usług związanych z NetBIOS, opisanych na podanej przez
> Ciebie stronie, to po prostu zablokuj te porty na firewallu. Z resztą XP je
> blokuje domyślnie z tego co wiem swoją zaporą (podczas instalacji systemu
> przez IPSec, gdy zapora jeszcze nie działa). Z resztą te usługi były
> atakowane gdy poprawka już była (Blaster).
ściągałem wszystkie trzy SP, ostatni autopather, poprawki polecane
przy tym zagadnieniu, antyvirus, firewall. Instalowałem to bez
podłączenia do internetu a mimo to pojawiał mi się upierdliwy
komunikat. Zablokowaniu większości usług dopiero pomogło. Dlatego
podtrzymuje zadane pytania w pierwszym poście.
Pozdrawiam
Grzegorz Niemirowski
> Chodzi mi o problem którego objawem jest komunikat pokazany na tym
> rysunku.
Jakim rysunku?
> Napisałem, wydawało mi się, że dość wyraźnie, że po instalowałem
> serwis paki, poprawki, ostatni autpatcher i poblokowałem porty zgodnie
> z większością publikowanych w internecie rad.
> W tym cały problem, że nie chcę blokować tych usług bo utrudnia
> codzienną pracę systemu. Jednak dopiero taka blokada pozwoliła na
> swobodną pracę bez problemu z komunikatem 'Generic Host...'.
> ściągałem wszystkie trzy SP, ostatni autopather, poprawki polecane
> przy tym zagadnieniu, antyvirus, firewall. Instalowałem to bez
> podłączenia do internetu a mimo to pojawiał mi się upierdliwy
> komunikat. Zablokowaniu większości usług dopiero pomogło. Dlatego
> podtrzymuje zadane pytania w pierwszym poście.
> Pozdrawiam
Niestety nie wiem skąd u Ciebie takie problemy. Połatany Windows w obecnej
chwili niczego sam nie łapie. Albo masz coś nie tak w systemie albo sam w
jakiś sposób przynosisz wirusy, np. na pendrivie.
--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i aktualności ze świata Outlook Express: grzegorz.net/oe
Uptime: 12 days, 11 hours, 39 minutes and 53 seconds
Irishman
> obecnej chwili niczego sam nie łapie. Albo masz coś nie tak w systemie
> albo sam w jakiś sposób przynosisz wirusy, np. na pendrivie.
>
Bardzo możliwe. Z tym, ze dobry (na pewno nie jakiś darmowy) antywirus
powinien wykryć zakażony nośnik.
Grzegorz Niemirowski
Być może to wcale nie jest wirus a wywalanie się generic host process jest
spowodowane bugiem w którejś z kontrolowanych przez niego usług.
--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i aktualności ze świata Outlook Express: grzegorz.net/oe
Uptime: 15 days, 9 hours, 23 minutes and 10 seconds
ShrekPl
wrote:
> ShrekPl <berdycz...@gmail.com> napisał(a):
>
> > Chodzi mi o problem którego objawem jest komunikat pokazany na tym
> > rysunku.
>
> Jakim rysunku?
Przepraszam gdzieś zaginął mi ten odsyłacz http://up.programosy.pl/foto/21b5ac4bdf52484f.jpg
> Niestety nie wiem skąd u Ciebie takie problemy. Połatany Windows w obecnej
> chwili niczego sam nie łapie. Albo masz coś nie tak w systemie albo sam w
> jakiś sposób przynosisz wirusy, np. na pendrivie.
Dziś nikt nie może się zarzekać. Nie mniej kaspersky nic nie
komunikuje.