Решена Не могу отключить службу удаленных рабочих столов.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем RAS9000, 15 май 2016.

Статус темы:
Закрыта.
  1. RAS9000
    Оффлайн

    RAS9000 Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Здравствуйте! Вчера обнаружил что компьютер слегка подвисает, а скорость интернета упала чуть ли не в 10 раз. Проверил штатным антивирусом Нортон 360 - вирусы обнаружены не были.
    Решил проверить АВЗ. Программа обнаружила ряд потенциально опасных служб и уязвимостей, в том числе:
    ">> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику

    Планировщик заданий и автозапуск с СД я решил оставить. Службу SSDPSRV - отключил. Доступ к локальным дискам - закрыл, также как и запретил отправку приглашений удаленному помощнику. А вот службу TermService - отключить не получается. Что на мой взгляд крайне странно. Пробовал отключать вручную - она снова включается. Пробовал отключать скриптом (нашел на одном из сайтов по безопасности, скрипт для АВЗ) - все равно после перезагрузки включается. Что делать в такой ситуации? Как отключить эту службу?

    И еще момент. Когда отключал доступ к локальным дискам (делал это через программу LanSafety), наткнулся на интересную программу Network Scanner - она позволяет найти все компьютеры в сети их ресурсы и права доступа. В функционале программы я еще не разобрался, но сразу в глаза бросилась одна странность, слева в разделе Скан отображаются IP 255.255.255.255-255.255.255.255 и 169.254.0.1-169.254.255.254 - что это? Локальной сети у меня нет, IP - естественно другой.

    Еще одна странность: во время выключения компьютер выдал сообщение "Target list was changet. Save target list?" И варианты ответа да, нет, отмена.

    И еще вопрос. Нужно ли в целях безопасности отключать "диспетчер подключений удаленного доступа", если нет локальной сети? Пробовал в msconfig отключать следующие службы: сервер, рабочая станция, диспетчер автоматических подключений удаленного доступа, диспетчер подключений удаленного доступа, настройка сервера удаленных рабочих столов, службы удаленных рабочих столов, - это приводит к тому что блокируется доступ в интернет. Выдается сообщение "Не удается загрузить службу диспетчера удаленного доступа. Ошибка 711: Не удалось завершить операцию, так как она не смогла запустить службу диспетчера подключений удаленного доступа вовремя. Выполните операцию еще раз."

    Заранее большое спасибо за ответы и участие.
     

    Вложения:

    Последнее редактирование: 15 май 2016
  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    RAS9000, оставьте службы в покое, верните все как было, если не вспомните как было, то здесь есть рекомендации, после глубоко вдохните и наслаждайтесь жизнью)

    Далее, вот эти приложения лучше удалить:
    Код (Text):
    Advanced SystemCare 7 []-->"C:\Program Files\IObit\Advanced SystemCare 7\unins000.exe"
    AVG Anti-Rootkit Free []-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
    HitmanPro 3.7 []-->"C:\Program Files\HitmanPro\HitmanPro.exe" /uninstall
    IObit Uninstaller []-->"C:\Program Files\IObit\IObit Uninstaller\UninstallDisplay.exe" uninstall_start
    Malwarebytes Anti-Malware, версия 2.2.0.1024 []-->"C:\Program Files\Malwarebytes Anti-Malware\unins000.exe"
    Из всех установленных у вас антивирусов, надо оставить один (на ваше усмотрение).

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\winstart.bat','');
    QuarantineFile('C:\Users\27C6~1\AppData\Local\Temp\SKJQXYUYFBBZQSM.exe','');
    DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\SKJQXYUYFBBZQSM.exe','32');
    DeleteService('SKJQXYUYFBBZQSM');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    @Hijack@
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    RAS9000 нравится это.
  3. RAS9000
    Оффлайн

    RAS9000 Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Chinaski, большое вам спасибо за развернутый ответ. Сделал все как вы сказали. Прикрепляю к сообщению результат диагностики AutoLogger и AdwCleaner. По сути своей проблемы добавлю следующее, и до и после выполнения ваших рекомендаций Нортон фиксировал подключение к публичной сети с IP 169.254.0.0/255.255.0.0, я сделал статус этого соединения - запрещенным. Затем появилось соединение с IP 0.0.0.0, позже, уже после выполнения скрипта появилось некое соединение Software loopback interface 1 IP 127.0.0.1 - запретить его Нортон не может и еще некое соединение с IP состоящим из набора букв и цифр (первый раз такое вижу), его Нортон также запретить не может, я к сожалению не специалист в этой области и оценить уровень риска не могу, вопрос к вам как специалисту - это нормально? Что это? Заранее большое спасибо.
     

    Вложения:

    Последнее редактирование: 16 май 2016
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    нормально.
    это нормально
    IPv6
    читайте книги по устройствам сетей TCP/IP, там будут подробные ответы на все ваши вопросы.


    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  5. RAS9000
    Оффлайн

    RAS9000 Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Здравствуйте. В продолжении ранее поднятой темы. После выполнения скрипта вышло следующее:
    Поиск критических уязвимостей
    Установите новый Internet Explorer
    Скачивание Internet Explorer - Microsoft Windows

    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    Download Обновление для системы безопасности Microsoft Office 2007 suites (KB2817330) from Official Microsoft Download Center
    Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
    http://www.microsoft.com/downloads/...FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F

    Обновление для системы безопасности Microsoft Office Word 2007
    Download Обновление для системы безопасности Microsoft Office Word 2007 (KB3115116) from Official Microsoft Download Center
    Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
    Download Пакет обновления 3 (SP3) для выпуска 2007 набора приложений Microsoft Office from Official Microsoft Download Center

    Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
    http://www.microsoft.com/downloads/...FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536

    Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию. Установите новую, если Java вам нужна:
    http://www.java.com/ru/download/manual.jsp

    Обнаружено уязвимостей: 5

    По поводу странностей с пк. Неожиданно освободилось 7 ГБ свободного места. В чем причина не знаю. Нортон стал фиксировать подключение к новой обнаруженной сети через адаптер, IP 169.254.235.188 (я пока еще не разобрался в вопросах сетей TCP/IP, но это не мой IP, и как говорил локалки нет, почему он у меня появляется?, буду весьма признателен за ответ) Сделал отображение скрытых файлов, на рабочем столе почему то два файла desktop.ini, и в одном из них, в разделе безопасность, группы и пользователи, кроме стандартных, известных мне отображается группа под названием, некие "Интерактивные". Ну и нашел самостоятельно за вчера (при быстром сканировании) и сегодня при полном несколько зловредов. Сканировать пробовал Cezurity Scanner - обнаружены были:
    1. "Opera Extension - "ipkdhmegpdbbckflpmokchoeajfngbad"
    2. Suspicious.Generic "dfdownloader_XaaHR8_.exe".
    Сделал на всякий случай отчеты с помошью Farbar Recovery Scan Tool, может посмотрите на всякий случай, если не сложно. Заранее благодарю.
     

    Вложения:

    • FRST.txt
      Размер файла:
      70,1 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      36 КБ
      Просмотров:
      0
Статус темы:
Закрыта.

Поделиться этой страницей