Решена Не могу отключить службу удаленных рабочих столов.

Статус
В этой теме нельзя размещать новые ответы.

RAS9000

Активный пользователь
Сообщения
20
Реакции
0
Баллы
181
Здравствуйте! Вчера обнаружил что компьютер слегка подвисает, а скорость интернета упала чуть ли не в 10 раз. Проверил штатным антивирусом Нортон 360 - вирусы обнаружены не были.
Решил проверить АВЗ. Программа обнаружила ряд потенциально опасных служб и уязвимостей, в том числе:
">> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помощнику

Планировщик заданий и автозапуск с СД я решил оставить. Службу SSDPSRV - отключил. Доступ к локальным дискам - закрыл, также как и запретил отправку приглашений удаленному помощнику. А вот службу TermService - отключить не получается. Что на мой взгляд крайне странно. Пробовал отключать вручную - она снова включается. Пробовал отключать скриптом (нашел на одном из сайтов по безопасности, скрипт для АВЗ) - все равно после перезагрузки включается. Что делать в такой ситуации? Как отключить эту службу?

И еще момент. Когда отключал доступ к локальным дискам (делал это через программу LanSafety), наткнулся на интересную программу Network Scanner - она позволяет найти все компьютеры в сети их ресурсы и права доступа. В функционале программы я еще не разобрался, но сразу в глаза бросилась одна странность, слева в разделе Скан отображаются IP 255.255.255.255-255.255.255.255 и 169.254.0.1-169.254.255.254 - что это? Локальной сети у меня нет, IP - естественно другой.

Еще одна странность: во время выключения компьютер выдал сообщение "Target list was changet. Save target list?" И варианты ответа да, нет, отмена.

И еще вопрос. Нужно ли в целях безопасности отключать "диспетчер подключений удаленного доступа", если нет локальной сети? Пробовал в msconfig отключать следующие службы: сервер, рабочая станция, диспетчер автоматических подключений удаленного доступа, диспетчер подключений удаленного доступа, настройка сервера удаленных рабочих столов, службы удаленных рабочих столов, - это приводит к тому что блокируется доступ в интернет. Выдается сообщение "Не удается загрузить службу диспетчера удаленного доступа. Ошибка 711: Не удалось завершить операцию, так как она не смогла запустить службу диспетчера подключений удаленного доступа вовремя. Выполните операцию еще раз."

Заранее большое спасибо за ответы и участие.
 

Вложения

  • CollectionLog-2016.05.15-16.42.zip
    76 KB · Просмотры: 3
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
481
Баллы
633
RAS9000, оставьте службы в покое, верните все как было, если не вспомните как было, то здесь есть рекомендации, после глубоко вдохните и наслаждайтесь жизнью)

Далее, вот эти приложения лучше удалить:
Код:
Advanced SystemCare 7 []-->"C:\Program Files\IObit\Advanced SystemCare 7\unins000.exe"
AVG Anti-Rootkit Free []-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
HitmanPro 3.7 []-->"C:\Program Files\HitmanPro\HitmanPro.exe" /uninstall
IObit Uninstaller []-->"C:\Program Files\IObit\IObit Uninstaller\UninstallDisplay.exe" uninstall_start
Malwarebytes Anti-Malware, версия 2.2.0.1024 []-->"C:\Program Files\Malwarebytes Anti-Malware\unins000.exe"

Из всех установленных у вас антивирусов, надо оставить один (на ваше усмотрение).

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\winstart.bat','');
QuarantineFile('C:\Users\27C6~1\AppData\Local\Temp\SKJQXYUYFBBZQSM.exe','');
DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\SKJQXYUYFBBZQSM.exe','32');
DeleteService('SKJQXYUYFBBZQSM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
@Hijack@

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

RAS9000

Активный пользователь
Сообщения
20
Реакции
0
Баллы
181
Chinaski, большое вам спасибо за развернутый ответ. Сделал все как вы сказали. Прикрепляю к сообщению результат диагностики AutoLogger и AdwCleaner. По сути своей проблемы добавлю следующее, и до и после выполнения ваших рекомендаций Нортон фиксировал подключение к публичной сети с IP 169.254.0.0/255.255.0.0, я сделал статус этого соединения - запрещенным. Затем появилось соединение с IP 0.0.0.0, позже, уже после выполнения скрипта появилось некое соединение Software loopback interface 1 IP 127.0.0.1 - запретить его Нортон не может и еще некое соединение с IP состоящим из набора букв и цифр (первый раз такое вижу), его Нортон также запретить не может, я к сожалению не специалист в этой области и оценить уровень риска не могу, вопрос к вам как специалисту - это нормально? Что это? Заранее большое спасибо.
 

Вложения

  • CollectionLog-2016.05.16-23.10.zip
    58.1 KB · Просмотры: 2
  • AdwCleaner[S5].txt
    1.6 KB · Просмотры: 2
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
481
Баллы
633
нормально.
Software loopback interface 1 IP 127.0.0.1
это нормально
с IP состоящим из набора букв и цифр
IPv6
читайте книги по устройствам сетей TCP/IP, там будут подробные ответы на все ваши вопросы.


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

RAS9000

Активный пользователь
Сообщения
20
Реакции
0
Баллы
181
Здравствуйте. В продолжении ранее поднятой темы. После выполнения скрипта вышло следующее:
Поиск критических уязвимостей
Установите новый Internet Explorer
Скачивание Internet Explorer - Microsoft Windows

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
Download Обновление для системы безопасности Microsoft Office 2007 suites (KB2817330) from Official Microsoft Download Center
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
http://www.microsoft.com/downloads/...FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F

Обновление для системы безопасности Microsoft Office Word 2007
Download Обновление для системы безопасности Microsoft Office Word 2007 (KB3115116) from Official Microsoft Download Center
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
Download Пакет обновления 3 (SP3) для выпуска 2007 набора приложений Microsoft Office from Official Microsoft Download Center

Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
http://www.microsoft.com/downloads/...FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536

Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию. Установите новую, если Java вам нужна:
http://www.java.com/ru/download/manual.jsp

Обнаружено уязвимостей: 5

По поводу странностей с пк. Неожиданно освободилось 7 ГБ свободного места. В чем причина не знаю. Нортон стал фиксировать подключение к новой обнаруженной сети через адаптер, IP 169.254.235.188 (я пока еще не разобрался в вопросах сетей TCP/IP, но это не мой IP, и как говорил локалки нет, почему он у меня появляется?, буду весьма признателен за ответ) Сделал отображение скрытых файлов, на рабочем столе почему то два файла desktop.ini, и в одном из них, в разделе безопасность, группы и пользователи, кроме стандартных, известных мне отображается группа под названием, некие "Интерактивные". Ну и нашел самостоятельно за вчера (при быстром сканировании) и сегодня при полном несколько зловредов. Сканировать пробовал Cezurity Scanner - обнаружены были:
1. "Opera Extension - "ipkdhmegpdbbckflpmokchoeajfngbad"
2. Suspicious.Generic "dfdownloader_XaaHR8_.exe".
Сделал на всякий случай отчеты с помошью Farbar Recovery Scan Tool, может посмотрите на всякий случай, если не сложно. Заранее благодарю.
 

Вложения

  • FRST.txt
    70.1 KB · Просмотры: 1
  • Addition.txt
    36 KB · Просмотры: 0
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу