Sapfira Опубликовано 3 октября, 2014 Опубликовано 3 октября, 2014 Воспользовалась мониторингом проблем в Kis 2015, обнаружилось много небезопасных объектов. CollectionLog-2014.10.03-21.16.zip На сколько все это опасно? Что из этого можно без опасения удалить, а что лучше не трогать? Были найдены "возможно зараженные объекты" (explorer.exe и uzer.exe в папке C:\Windows\system32\), но если зайти в эту папку, этих файлов там нет. Рекомендуется выполнить операции: Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268) Оптимизация: отключить службу Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) Оптимизация - безопасность: отключить административный доступ к локальным дискам Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей Безопасность: запретить отправку приглашений удаленному помощнику Не повлияет-ли выполнение данных операций на подключение к интернету (подключение производится по локальной сети)?
mike 1 Опубликовано 3 октября, 2014 Опубликовано 3 октября, 2014 1. Деинсталлируйте Dll-Files Fixer-->"C:\Program Files (x86)\Dll-Files.com Fixer\unins000.exe" /silent 2. Удалите остатки Comodo Firewall при помощи этой http://uninst.ru/download/Comodo_Uninstall_Tools.zip утилиты. 3. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
mike 1 Опубликовано 4 октября, 2014 Опубликовано 4 октября, 2014 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: ***** [ Файлы / Папки ] ***** Папка Найдено : C:\Users\ROYU\AppData\Roaming\Mail.Ru Папка Найдено : C:\Users\ROYU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru Папка Найдено : C:\Users\ROYU\AppData\Roaming\Mra Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве.
mike 1 Опубликовано 4 октября, 2014 Опубликовано 4 октября, 2014 Воспользовалась мониторингом проблем в Kis 2015, обнаружилось много небезопасных объектов. Сделайте скриншот. Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268) Оптимизация: отключить службу Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) Оптимизация - безопасность: отключить административный доступ к локальным дискам Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей Безопасность: запретить отправку приглашений удаленному помощнику Что из этого хотите исправить?
Sapfira Опубликовано 4 октября, 2014 Автор Опубликовано 4 октября, 2014 Сделайте скриншот. Отчет был длинным, скриншотов получилось много. Все, что на желтом фоне, мониторинг считает небезопасным. Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268) Оптимизация: отключить службу Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) Оптимизация - безопасность: отключить административный доступ к локальным дискам Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей Безопасность: запретить отправку приглашений удаленному помощнику Что из этого хотите исправить? 1.TermService хотела отключить, но в службах его не нашла. 2 Планировщик заданий в службах присутствует, но отключить невозможно (кнопки включения, выключения, остановки и т.д. не активны). И есть сомнение, можно-ли его, вообще отключать. 3. Общий доступ к локальным дискам отключен, что значит административный доступ и можно-ли его отключать, не знаю. 4. Последние два пункта желательно исправить, только если это не повлияет негативно на подключение к интернету по локальной сети. В общем, желательно исправить все, что можно, без негативных последствий. Сделайте скриншот. Отчет был длинным, скриншотов получилось много. Все, что на желтом фоне, мониторинг считает небезопасным. скриншоты.zip Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268) Оптимизация: отключить службу Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) Оптимизация - безопасность: отключить административный доступ к локальным дискам Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей Безопасность: запретить отправку приглашений удаленному помощнику Что из этого хотите исправить? 1.TermService хотела отключить, но в службах его не нашла. 2 Планировщик заданий в службах присутствует, но отключить невозможно (кнопки включения, выключения, остановки и т.д. не активны). И есть сомнение, можно-ли его, вообще отключать. 3. Общий доступ к локальным дискам отключен, что значит административный доступ и можно-ли его отключать, не знаю. 4. Последние два пункта желательно исправить, только если это не повлияет негативно на подключение к интернету по локальной сети. В общем, желательно исправить все, что можно, без негативных последствий.
Sapfira Опубликовано 4 октября, 2014 Автор Опубликовано 4 октября, 2014 Это домашний компьютер? Да, но все пользователи провайдера (возможно, даже несколько провайдеров) объеденены в локальную сеть.
mike 1 Опубликовано 4 октября, 2014 Опубликовано 4 октября, 2014 Тогда думаю это можно исправить Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268) Оптимизация - безопасность: отключить административный доступ к локальным дискам Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей Безопасность: запретить отправку приглашений удаленному помощнику Чтобы исправить перечисленное выполните скрипт в AVZ: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('TermService', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0); end. Отчет был длинным, скриншотов получилось много. Лог прикрепите.
Sapfira Опубликовано 5 октября, 2014 Автор Опубликовано 5 октября, 2014 Тогда думаю это можно исправить Оптимизация: отключить службу TermService (@%SystemRoot%\System32\termsrv.dll,-268) Оптимизация - безопасность: отключить административный доступ к локальным дискам Оптимизация - безопасность: блокировать возможность подключения анонимных пользователей Безопасность: запретить отправку приглашений удаленному помощнику Чтобы исправить перечисленное выполните скрипт в AVZ: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('TermService', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0); end. Отчет был длинным, скриншотов получилось много. Лог прикрепите. Скрипт выполнила. Вот лог: sysinfo.zip
mike 1 Опубликовано 5 октября, 2014 Опубликовано 5 октября, 2014 Были найдены "возможно зараженные объекты" (explorer.exe и uzer.exe в папке C:\Windows\system32\ Файлы чистые у них есть цифровая подпись Microsoft. https://www.virustotal.com/ru/file/5d82beb6aa7eff0ae20b1852a8415805487877869e25e53af72598f6906f6bb2/analysis/ https://www.virustotal.com/ru/file/0a8ce026714e03e72c619307bd598add5f9b639cfd91437cb8d9c847bf9f6894/analysis/
Sapfira Опубликовано 5 октября, 2014 Автор Опубликовано 5 октября, 2014 Были найдены "возможно зараженные объекты" (explorer.exe и uzer.exe в папке C:\Windows\system32\ Файлы чистые у них есть цифровая подпись Microsoft. https://www.virustotal.com/ru/file/5d82beb6aa7eff0ae20b1852a8415805487877869e25e53af72598f6906f6bb2/analysis/ https://www.virustotal.com/ru/file/0a8ce026714e03e72c619307bd598add5f9b639cfd91437cb8d9c847bf9f6894/analysis/ Больше, тогда, ничего не нужно делать?
Sapfira Опубликовано 5 октября, 2014 Автор Опубликовано 5 октября, 2014 Думаю нет т.к. компьютер чист. Благодарю за помощь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти