随笔 - 251  文章 - 504  trackbacks - 0
<2006年12月>
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456

本博客系个人收集材料及学习记录之用,各类“大侠”勿扰!

留言簿(14)

随笔分类

收藏夹

My Favorite Web Sites

名Bloger

非著名Bloger

搜索

  •  

积分与排名

  • 积分 - 200061
  • 排名 - 285

最新评论

转1:

8月13日有很多人的电脑出现generic host process for win32 services出错的问题,一直没怎么注意,直到自己也出现问题..但网上找了很多方法都没用,只有自己想办法了..下面把方法公布一下
这是对方利用的漏洞补丁,装好就没事了
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
这里是手动处理的方法:

端口禁止的方法:
首先进入控制面板-管理工具-本地安全策略
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“UDP”,然后在“到此端口”下的文本框中输入“1434”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 1434(RPC)端口的筛选器,它可以防止外界通过1434端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。

第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
重启电脑
比起补丁来说,还是封端口让人放心..

转2:
解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭!
     出现上面这个错误一般有三种情况。
      1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要
      关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的木马程,解决方案如下:
       RPC漏洞
      详细描述:
       最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.
已发现的一个攻击现象:
        攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的木马程序.
另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。
建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受攻击,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。


       第二种情况是排除病毒后,还出现这样的问题,一般都是IE组件在注册表中注册信息被破坏,可以按下面的方法去解决该问题:
       1。 在"开始"菜单中打开"运行"窗口,在其中输入"regsvr32 actxprxy.dll",然后"确定",接着会出现一个信息对话 框"DllRegisterServer in actxprxy.dll succeeded",再次点击"确定"。
   2 再次打开"运行"窗口,输入"regsvr32 shdocvw.dll
   3 再次打开"运行"窗口,输入"regsvr32 oleaut32.dll
   4 再次打开"运行"窗口,输入"regsvr32 actxprxy.dll
   5 再次打开"运行"窗口,输入"regsvr32 mshtml.dll
   6 再次打开"运行"窗口,输入"regsvr32 msjava.dll
   7 再次打开"运行"窗口,输入"regsvr32 browseui.dll
   8 再次打开"运行"窗口,输入"regsvr32 urlmon.dll
      如果排除病毒问题后,做完上面的几个IE组件注册一般问题即可得到解决。

      3.如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成这个错误。解决方法如下:
重装打印机驱动程序。
     一般情况下做到上面三步后,该问题即可得到全面解决。

【下载】KB894391,windows更新,适用2000以上的系统

概述
Install this update to address an issue that may cause a "Generic Host Process" error message to be displayed after you install security update MS05-012, or cause attachment file names not to be displayed in Rich Text e-mail messages. After you install this update, you may have to restart your computer.

不是关键更新,这个更新就是针对:在前一段时间许多朋友碰到的问题:Generic Host Process出现错误需要关闭。
xp:
http://download.microsoft.com/download/e/5/d/e5d36b32-6f7c-45c1-82a7-3fa483442bda/WindowsXP-KB894391-x86-CHS.exe
2003sp1:http://www.microsoft.com/downloads/details.aspx?FamilyID=c4b0d34c-2796-4be1-b509-c7aff9d593b0&DisplayLang=zh-cn


如果你问题仍没解决,这里有几篇更详细的说明,想必问题一定能得到解决:

http://bbs.coralqq.com/thread-252431-1-2.html

http://bbs1.greedland.net/topic.php?topicId=849166&forumId=19&sortId=0&enterSortId=0&forumPage=1


==============================================================
病毒预警!(关于Generic Host Process for Win32 Services错误)

从8月13日中午开始发现很多人出现了svchost.exe出现错误的情况,并且ADSL PPPOE连接失效,症状为任务栏中连接显示状态不正常,无法正常断开连接,无数据流量。任务栏声音按钮消失。同时声卡失效。
据某外国网站介绍 今天 截获了一个利用 MS06-040 漏洞的蠕虫病毒 并且主要攻击 win200系统
该病毒 在系统文件夹下释放 wgareg.exe 和wgavm.exe文件
该蠕虫会在系统中建立如下服务
服务名称 wgareg
服务描述 Windows Genuine Advantage Registration Service (windows正版 验证 服务)
描述 Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

服务名称 wgavm
服务描述 Windows Genuine Advantage Validation Monitor
具体描述 Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability..
可以看出来 是伪装 windows正版 验证的蠕虫
并且病毒会自动使用TCP 18067端口 连接bbjj.househot.com ypgw.wallloan.com
由于此病毒来势汹汹 所以发布病毒预警!

解决办法 赶快打上 MS06-040 补丁
都是从外国网站翻译过来的 不一定对 仅供参考
附补丁地址
1)Microsoft 安全公告 MS06-040 Server 服务中的漏洞可能允许远程执行代码 (921883)

补丁下载   补丁版本号:921883

2)启动计算机, 或 DBCS 附件文件名称不显示 RTF 电子邮件中后收到 " 通用主机进程 " 错误信息

地址:

http://support.microsoft.com/?kbid=894391


posted on 2006-12-16 09:42 matthew 阅读(1343) 评论(1)  编辑  收藏 所属分类: 杂录

FeedBack:
# re: generic host process for win32 services出错的问题-转贴 2007-08-29 16:46 赵磊
我打了补丁.病毒怎么还侵入我电脑??顶起啊  回复  更多评论
  

只有注册用户登录后才能发表评论。


网站导航: