Hjälp att tolka Prevx logg

[Hakinger]

Jag har ett program som heter Prevx installerat. Det ska vara ett program som skyddar datorn mot nya maskar som det inte finns definitioner mot ännu.

 

Ungefär varannan vecka så får jag en varning om att Prevx har skyddat mot en Buffer overflow. Varje gång den gjort det så måste jag starta om datorn för att kunna surfa, jag har kvar mitt IP men kommer ingenstans när jag startar webläsaren. Datorn fungerar i övrigt.

 

Som jag förstår av loggen så har WALLCAL3 (en almanacka på skrivbordet) försökt göra nånting.

 

[log]Event Information:

===================

Date: 03-10-2004

Time: 13:48:06

Type: EVENT

Source: WKCOM

Category: FILE SYSTEM CONTROL ALERT

 

 

Extended Event Information:

============================

Prevx prevented process WALLCAL3.EXE[1636] accessing a protected system file

 

Process: WALLCAL3.EXE

Path: C:\PROGRAM FILES\ZEPSOFT\WALLPAPER CALENDAR\WALLCAL3.EXE

Pid: 1636

Parentprocess: EXPLORER.EXE

Parentpath: C:\WINDOWS\EXPLORER.EXE

Pid: 1256

 

tried file: C:\DOCUMENTS AND SETTINGS\DUKA\START MENU\PROGRAMS\STARTUP\WALLPAPER CALENDAR.LNK

AccessFlags: 0x12019f

ParentAccess: 0x2

CreateDisposition: 0x5

Security Setting causing this alert: FSC - Startup Files Protection

 

 

 

System Information:

============================

System : Microsoft Windows XP Professional Service Pack 2 (Build 2600)

ComputerIdentifier: AT/AT COMPATIBLE

BiosVersion : VIAK8 - 42302e31

CPUName: AMD Athlon 64 Processor 3200+

CPUVendor: AuthenticAMD

CPUIdent: x86 Family 15 Model 4 Stepping 8

MemUsage : 32%

MemPhysicalTotal: 1073201152 (1023 MB)

MemPhysicalAvail: 724750336 (691 MB)

MemTotalAvail : 2047229952 (1952 MB)

MemPageAvail : 1784901632 (1702 MB)

MemPageAvail : 2147352576 (2047 MB)

ullAvailExtendedVirtual : 2099781632 (2002 MB)

MemExtVirtAvail : 0 (0 MB)

[/log]

 

Logg 2:

 

[log]Prevx prevented process SVCHOST.EXE causing a bufferoverflow alert

 

The following information have been obtained:

Process: SVCHOST.EXE

Path: C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Pid: 884

Parentprocess: SERVICES.EXE

Parentpath: C:\WINDOWS\SYSTEM32\SERVICES.EXE

Pid: 592

 

EIP: 0x110ff57

Return EIP: 0x20B0D11E->0x110FF57->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->

Number of frames: 2

Frame Pointer: 0x110FF14->0x1->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->0x0->

Memory Type: 0

Mechanism Flags: 0x2

Mechanism Name: ~ALL~

EIP Data:

00000000 FF10 10DD 0150 DD0C D700 5057 4D10 0C01 .....PM....W....

00000010 0000 0002 0000 02F4 00BD 004C 00BD F400 ...........LG...

00000020 47BD BD0C 0200 0C00 1400 0000 0000 0080 G...............

00000030 FF10 1080 0110 80E6 FF50 1000 01BD E600 .........PM.G...

00000040 0000 0000 00FC 0080 30BD FC58 01BD 80B1 ....0...G..XG...

00000050 D955 554C 03BD 4CF0 47BD BDA8 0210 F0E1 .U.LG...........

00000060 B650 5000 4D?? 00?? ???? ???? ???? ???? .PM.????????????

 

EIP Stackdump:

00000000 0100 0000 00FF 0001 572F FF03 1000 0100 ....W..../g.....

00000010 58FF FF01 10D7 014D DD14 D700 50FF 4D01 X.....PM....W...

00000020 0100 0000 0000 0000 0210 0002 0047 0002 ............LG..

00000030 0047 4702 BD14 0200 0C00 1400 0000 0000 .G..............

00000040 80FF FF01 10FF 0101 80B0 FF4D 1047 0102 ..........PM.G..

00000050 0000 0000 0030 0001 0047 3002 FC47 0102 .....0...G..XG..

00000060 B1D9 D903 5547 0302 4C10 4702 BDFF 0201 ..U.LG..........

00000070 E1B6 B64D 5000 4D00 00E0 0000 0000 0000 ..PM....x.m.....

00000080 0000 004D 4F30 4D01 0C30 3001 FC00 0100 ..OM.0...0......

00000090 B1D9 D903 55FF 0301 B4B7 FF4D 10EE 017C ..U.....].PM...|

000000A0 ECFF FF01 10B5 017C 0B00 B54D 80E0 7C00 .......|..OMx.m.

000000B0 18EE EE7C 9000 7C4D 00F0 007F 4F06 4D86 ...|..OM........

000000C0 C0FF FF01 1086 0186 48FF 86FF 0599 867C ....H..........|

000000D0 18B5 B57C 8000 7C00 0000 0000 0000 0000 ...|............

000000E0 3FB7 B74D 5000 4D4D 0000 0000 4F00 4D00 ?.PM..OM........

000000F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000100 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000110 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000120 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000130 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000140 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000150 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000160 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000170 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000180 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000190 0000 0000 0000 0000 0000 0000 0000 0000 ................

000001A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000001B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000001C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000001D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000001E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000001F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000200 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000210 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000220 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000230 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000240 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000250 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000260 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000270 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000280 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000290 0000 0000 0000 0000 0000 0000 0000 0000 ................

000002A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000002B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000002C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000002D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000002E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000002F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000300 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000310 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000320 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000330 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000340 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000350 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000360 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000370 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000380 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000390 0000 0000 0000 0000 0000 0000 0000 0000 ................

000003A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000003B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000003C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000003D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000003E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000003F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000400 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000410 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000420 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000430 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000440 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000450 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000460 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000470 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000480 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000490 0000 0000 0000 0000 0000 0000 0000 0000 ................

000004A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000004B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000004C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000004D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000004E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000004F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000500 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000510 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000520 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000530 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000540 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000550 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000560 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000570 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000580 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000590 0000 0000 0000 0000 0000 0000 0000 0000 ................

000005A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000005B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000005C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000005D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000005E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000005F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000600 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000610 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000620 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000630 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000640 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000650 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000660 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000670 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000680 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000690 0000 0000 0000 0000 0000 0000 0000 0000 ................

000006A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000006B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000006C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000006D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000006E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000006F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000700 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000710 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000720 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000730 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000740 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000750 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000760 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000770 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000780 0000 0000 0000 0000 0000 0000 0000 0000 ................

00000790 0000 0000 0000 0000 0000 0000 0000 0000 ................

000007A0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000007B0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000007C0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000007D0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000007E0 0000 0000 0000 0000 0000 0000 0000 0000 ................

000007F0 0000 0000 0000 0000 0000 0000 0000 0000 ................

 

Security Setting causing this alert: Buffer Overflow Protection - Core Services (1)

[/log]

 

Nån som förstår nånting av loggarna?

 

Mitt NOD32 (med senaste definitionerna) eller brandväggen Outpost Pro har inte reagerat.

 

 

 

Windows XP Pro SP2

 

[inlägget ändrat 2004-10-03 15:22:22 av Pentti H]

[Cecilia]

Prevx har jag aldrig kört, men lite allmänna synpunkter kan jag ju komma med i alla fall.

 

Buffer overflow är definitivt inte något som ett antivirus- eller brandväggsprogram kan upptäcka.

 

Event-loggen säger ungefär så här:

WALLCAL3.EXE har försökt använda länken CALENDAR i mappen C:\DOCUMENTS AND SETTINGS\DUKA\START MENU\PROGRAMS\STARTUP\WALLPAPER

och detta är spärrat eftersom den mappen ligger i mappen STARTUP som har att göra med start-filer.

 

Du har tydligen använt programmet Prevx för att spärra åtkomst till vissa mappar, det är säkert ett sätt att stoppa maskar men det kan ju även stoppa andra program som man vill ska komma åt filer på datorn som i det här fallet. Finns det något inställningsmöjlighet i Prevx för att tillåta vissa program att komma åt saker eller tillåta att vissa filer inte ska spärras?

 

När det gäller den andra loggen så har något orsakat att SVCHOST.EXE (som är en del av XP) råkar ut för en buffer overflow. Detta _kan_ bero på att något på Internet försöker tränga in i din dator och det är därför som Prevx tvingar dig att starta om. Vad som har hänt egentligen går inte att säga, det kan vara någon farlig sida du är inne på men det är inte säkert. Men se till att din Windows fortsätter vara ordentligt uppdaterad, Microsoft brukar täppa till buffer overflows så småningom.

 

 

[Hakinger]

Tack för synpunkterna.

 

Ska för tydlighetens skull nämna att det är vid ett och samma tillfälle som den om Wallcal3 och Buffer overflow kom, dom ingår i samma varning så att säga.

 

Dom här varningarna från Prevx har kommit när jag inte varit i närheten av datorn (ingen annan har tillgång till den) men jag är ju i och för sig uppkopplad hela tiden. Testerna jag gjort med brandväggen påstår att jag är osynlig, så inte borde väl nån mask som söker efter hål hitta mig?

Nåja, hursomhelst så är det bra om Prevx hindrar detta, hoppas bara det inte är sk "false positive"

Jag har rapporterat detta med alla uppgifter till tillverkaren av Prevx så dom kanske fixar eventuella falska varningar.

 

Finns det något inställningsmöjlighet i Prevx för att tillåta vissa program att komma åt saker eller tillåta att vissa filer inte ska spärras?

 

Dom flesta inställningar i Prevx är inställda på att fråga om jag vill blocka nånting. Det enda som är på "deny" är tre regler om just buffer overflow.

Så troligen är det den tredje regeln (se log) som gått igång. Men eftersom det sker så sällan så låter jag regeln vara igång för säkerhets skull.

 

 

[log]Prevents the execution of stack-based buffer overflow exploits in Windows Service Control Manager (services.exe) and its children classified as non-core services.

WARNING: Care should be taken when using this policy. If any of your non-core or third-party services make using of stack-executing code, this policy may result in such services being terminated. [/log]

 

[Cecilia]

Ok, så det kommer samtidigt, då skulle det ju kunna vara så här:

Först så försöker Wallcal3 komma åt filen, men det blir stoppat och då händer det något konstigt i svchost så att det blir en buffer overflow. Bara en hypotes!

 

Kan du ändra Wallcal3 så att den inte försöker hämta den där filen CALENDAR med hjälp av just den länken eller kan du flytta länken?

 

Det är ju absolut lämpligt att ha kvar buffer overflow i Prevx.

 

PS Tack för poängen!