polonez Posted November 27, 2008 Share Posted November 27, 2008 Рылся в компе и нашел вот такой текст. Может кому поможет или для информации. Windows XP : сбой в svchost : перезагрузка компьютера - решаем проблему с помощью файрвола Agnitum Outpost (защищаемся от вируса и хакерских атак) Начнем, пожалуй, с того, что же такое svchost.exe (Generic Host Process for Win32 Services). Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x. C ее помощью запускаются различные системные службы (сервисы), представленные в виде DLL-библиотек. Чаще всего, проблема возникает когда какая-нибудь служба пытается получить доступ в Интернет при помощи svchost.exe. Поскольку эта программа включена в Windows XP, многие пользователи вносят ее в список Trusted Apllications файрвола, не ограничивая ее таким образом вовсе. При этом полностью проявляется тот факт, что установка файрвола - это лишь наполовину решенная проблема. Необходимо еще и грамотное администрирование. Что уж говорить про пользователей, не знающих про слово файрвол (брандмауэр). Таким образом, неограниченный Generic Host Process for Win32 Services приносит нам как минимум две проблемы. Во-первых, не только системная служба Windows, но и вирус, использующий svchost, сможет получить доступ в сеть. А во-вторых, используя баг Мелко-мягих (a.k.a. Microsoft), можно, например, перегрузить компьютер (устроить reboot). Начнем, пожалуй, со второй проблемы, а именно бага Майкрософта. Появился он очень давно. Бурные дискуссие по этому поводу велись уже в мае. Но пик использования вирусами этого бага пришелся на август 2003 года. Используя баг в Win XP с 445 портом, вирус или шутник (считающий видимо себя крутым хакером) вызывает аварийное завершение службы svchost. При этом появляется окошечко с предупреждением о том, что компьютер будет перегружен через 60 секунд. Слава богу, в большинстве случаев этого времени хватает на сохранение открытых документов. Простейшим и достаточно примитивным рещением в этом случае является запрет на перезагрузку. Для этого нужно открыть командную строку: Пуск > Все программы > Стандартные > Командная строка (Start > Programs > Accessories > Command Prompt). После чего в командной строке нужно ввести "shutdown /a". Ну а поскольку это не единственный баг Майкрософта, радоваться нам пока рано. Прежде всего, нам не обойтись без файрвола, либо какой-то иной программы, позволяющей закрывать доступ по определнным портам. Очень рекомендую файрвол Agnitum Outpost. Он позволяет разрешать и запрещать доступ определенным приложениям по определнным протоколам и портам. При этом Вы можете разрешить доступ, игнорировать поступающие пакеты или посылать отказ на поступающие пакеты. Интерфейс Аутпоста интуитивно понятен. А кроме того, он имеет достаточно много других фишек, как то: ставшая уже стандартом для файрволов, цифровая подпись приложений, противостояние DOS атакам, режим невидики (stealth). Очень замечательным режимом является Rules Wizard. Если какое-то приложение пытается получить доступ по определенному протоколу, по определенному порту, к определенному хосту и при этом для него не определено правило доступа, появляется окошко, позволяющее Вам разрешить доступ один раз, запретить доступ один раз или создать парвило для этого приложения. При этом правило может быть создано на основе уже присутствующих шаблонов (браузер, почтовая программа, менеджер закачки и т.д.) После установки файрвола, нам придется определить повозиться с настройками для svchost. В Агнитум Аутпост данные действия можно проделать в режиме Rules Wizard именно тогда, когда приложение пытается получить доступ в сеть. Так, например, я запретил входящий TCP и UDP трафик c порта MICROSOFT_DS (445) для исключения проблемы перезагрузки, поскольку Service Pack качать было некогда. Да и в связи с атаками на сервер WindowsUpdate.com разбушевавшегося 16 августа вируса W32.Blaster.Worm сделать это удасться не всем. Кроме того, я закрыл входящий трафик по порту DCOM (135 - Microsoft RPC end point to end) - уж слишком много он доставлял проблем. Зато, например, разрешил доступ к серверу time.nist.gov для синхронизации времени. Если проблемы с svchost повторяются, то, вероятнее всего, Ваш компьютер поразил вирус. Например, W32.Blaster.Worm приводит к появлению ошибок с svchost, кроме того характерными симптомами являются проблемы с копированием в буфер, вставкой из буфера, нехватка памяти, проблемы с Internet Explorer. Для решения этой проблемы, прежде всего необходимо воспользоваться хорошим антивирусом или специальной утилитой (например, FixBlast.exe от Symantec удаляет W32.Blaster.Worm. Если есть желание, узнайте подробности о FixBlast.exe на сайте Symantec). После этого необходимо установить патч Макрософта (Microsoft Security Bulletin MS03-026: Buffer Overrun In RPC Interface Could Allow Code Execution (823980)). Краткий справочник некоторых критических ошибок. 0*000000А(IRQL_LESS_OR_EQUAL).Была сделана попытка обратиться к недоступному участку памяти.Скорее всего,это произошло из-за определённого драйвера,но возможен также вариант неисправного оборудования. 0*0000001Е(KMODE_EXCEPTION_NOT_HANDLED).Попытка выполнить недопустимую инструкцию процессора.Причина можеть быть как в одном из драйверов,так и в неисправности оборудования. 0*00000024(NTFS_FILE_SYSTEM).Ошибка файловой системы NTFS.Запустите проверку диска командой chkdsk буква диска:/f/r. Если подобная ошибка возникает в процессе загрузки операционной системы,запустие консоль востановлени и проверку диска. 0*0000002Е(DATA_BUS_ERROR).Ошибка четности памяти.Возможно неисправна оперативная,видео-или кэш-память.Возможны также проблеммы с драйверами или с жестким диском. 0*00000050(PAGE_FAULT_IN_NONPAGED_AREA).Запрашивае мые данные не найдены в памяти.Причин может быть несколько:ошибки устройств памяти,некорректно работающий драйвер или антивирусная программа. 0*00000077(KERNEL_STACK_INPAGE_ERROR).Система не может прочитать файл подкачки.Возможная причина:поврждение жесткого диска или данных на нём,наличие вируса. 0*0000007А(KERNEL_DATA_INPAGE_ERROR).Данная ошибка похожа на предыдущую. 0*00000079(MISMATCHED_HAL).Ошибочный файл hal.dll или ntos-krnl.exe.Эта ошибка может возникнуть после изменения настроек ACPI в BIOS. 0*0000007B(INACCESSIBLE_BOOT_DEVICE).Потеря доступа к разделу жесткого диска во время загрузки.Возможны ошибки в работе жесткого диска,повреждение загрузочного раздела или вирус в загрузочном секторе.При изменении конфигурации дисков может помочь редактирование файла boot.ini или востановление этого файла с помощью команды Bootcfg консоли востановления. 0*0000007F(UNEXPECTED_KERNEL_MODE_TRAP).Эта ошибка может возникать из-за неисправной памяти,разгона или перегрева процессора,дефектов системной платы,несовместимости драйверов или другого програмного обеспечения. 0*0000009F(DRIVER_POWER_STATE_FAILURE).Ошибка драйвера в момент выключения питания,а также при использовании спящего или ждущего режима.Кроме ошибок в самих драйверах,возможны также аппаратные сбои. 0*000000EA(THREAD_STUCK_IN_DEVACE_DRIVER).Данная ошибка чаще всего неисправностью видеоадаптера или несовместимостью его драйвера. 0*000000ED(UNMOUNTABLE_BOOT_VOLUME).Ошибка связанная с неправельным подключением или настройкой жесткого диска.Возможно также повреждение файловой системы. 0*C000021A(STATUS_SYSTEM_PROCESS_TERMINATED).Эта ошибка может возникнуть в результате неправильной работы определённого приложения или некорректного изменения администратором прав доступа для учётной записи SYSTEM. 0*C0000221(STATUS_IMAGE_CHECKSUM_MISMATCH).Наиболе е вероятной причиной возникновения такой ошибки является повреждение драйвера или системного файла. 0*000000FC(ATTEMPTED_UTE_OF_NOUTE_MEMORY). Эта ошибка может возникать только в системах с установленным SP2 при срабатывании системы запрета загрузки данных(DEP).Обновите проблемный драйвер или отключите функцию DEP в файле boot.ini. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now