Generic Host Process for Win32引起的svchost.exe错误

一直以来出现Generic Host Process for Win32 service的问题大多数都是木马病毒造成的。

使用一些工具就可以修复。

错误签名

szappname:svchost.exe   szappver:5.1.2600.5512

szmodname:acgenral.dll   szmodver:4.1.2600.5512    offset:000116e2

这个错误不是病毒，是MS08-067(或者局域网中某些软件)抓鸡器造成的SVCHOST溢出。

目前经过测试，卡巴KIS7.1.325可以正常拦截到攻击445端口的数据包，我这里也是一车的这个东西，我在一个月前的解决方案证明可以完全解决这个问题，但是流程过于麻烦。

首先，作为管理员，要明确方向，封闭防火墙或者交换机的139和445端口，然后每台机器断网打补丁补丁名称（WindowsXP-KB958644-x86-CHS.exe 中文 WindowsXP-KB958644-x86-JPN.exe 日文)，打完不要用瑞星杀，瑞星会认为溢出的SVCHOST是病毒，其实并没有多大关系，根本也不会再出问题。
中文操作系统KB958644补丁下载地址：

http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu

MS08-067漏洞的终端用户解决方案

　这是一个针对139、445端口的RPC服务进行攻击的漏洞，可以直接获取系统控制权。根据微软的消息，该攻击无法穿透DEP机制的保护，对正版用户，该漏洞对XP SP2以上版本(含SP2)和Server 2003 SP1(含SP1)系统无效，因此主要受到威胁的用户应该是Windows 2000和Windows XP SP2以前版本用户。但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此除了上述版本的用户也有可能受到攻击。

　　据安天介绍，一些常规的解决思路是，当有重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全，然后再进行补丁升级。

　　桌面系统主要以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。桌面系统如果不提供共享打印，不需要在局域网游戏(如CS、FIFA等)中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。

　　进行这样的设置不仅可以阻断MS08-067攻击，而且可以阻断所有相同针对主机固定端口的攻击，缺点是如果主机提供打印共享、网络共享目录等服务则会失效，在CS、FIFA等游戏中无法作为host主机使用，还可能与蓝波宽带拨号程序冲突。

1、Windows自带防火墙的相关配置

　　网络服务器用户以固定端口对外进行服务，因此不能采用阻断所有传入连接的方式进行配置，否则会失效。而从WindowNT Server到Server 2008，不需要开放RPC服务器的用户可以不依赖任何安全工具，仅凭借Windows Server自身安全机制既可实现屏蔽，如果仅是直接关闭RPC服务，会给本机管理带来一些麻烦。

步骤1：点击右键，选择网络连接属性。

步骤2：点击Internet 协议(TCP/IP)属性。

步骤3：在弹出的Internet协议(TCP/IP)属性对话框中点击“高级”。

步骤4：对TCP/IP筛选中点击属性。步骤5：在TCP/IP筛选中配置允许访问的端口，只要不包含TCP139和445则MS08-067 RPC攻击失效。

　　需要开放RPC服务的服务器，如网络打印、网络共享和一些RPC通讯调用的节点，不能够通过上述关闭端口的方式，否则会造成无效。可以转而采用打补丁、打开DEP策略，或安装主机IPS的方法。下面介绍一下系统DEP保护配置的方法。

步骤1：我的电脑右键点击属性，点击“高级”页中的“设置”按钮。

步骤2：设定数据执行保护策略，修改后重新启动电脑。

　在这里，进行不同的选择会有不同的效果，如果选择“仅为基本Windows程序和服务启用DEP”功能，则可以挡住本次RPC攻击，也可以挡住目前主流的针对Windows开放端口的攻击。在获得一定的安全性的情况下，保证系统的兼容性。但是缺点是不能保护类似IE浏览器、Outlook等比较脆弱的互联网应用程序，不能防范类似挂马注入的攻击。

　　如果选择“为除下列选定程序之外的所有程序和服务启用DEP”功能，则在上述效果的基础上，对Web挂马、各种应用软件插件注入都有很好的效果，具有更强的系统安全性，不过缺点是与部分应用程序冲突，但可以通过将冲突的程序设置为例外来解决。 四、安装相应补丁，解决安全隐患

　　根据自己系统情况寻找地址安装单一补丁，是一个有效修补漏洞并规避微软黑屏策略影响的方法。

　　微软的补丁都可以离线安装，可以选择将有漏洞的系统断网，从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。