Показано с 1 по 7 из 7.

Windows 8.Проверка для профилактики.Потенциально опасные службы и прочее.Установка драйвера расширенного мониторинга процессов (заявка № 140821)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    47
    Вес репутации
    30

    Windows 8.Проверка для профилактики.Потенциально опасные службы и прочее.Установка драйвера расширенного мониторинга процессов

    Вопрос 1.
    Что это:
    Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
    Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->771EBBD2->7797E524
    Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->771EBC05->7797E548
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (268 ) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B1E138->72D412A3
    Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B1DE58->72D234CF
    Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B1E1E8->72D39925
    Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B1E138->72D412A3
    Функция ntdll.dll:ZwSetInformationFile (1898 ) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B1DE58->72D234CF
    Функция ntdll.dll:ZwSetValueKey (1928 )перехвачена, метод ProcAddressHijack.GetProcAddress ->77B1E1E8->72D39925
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F5B633->72D23537
    Функция user32.dll:SetWindowsHookExW (2298 ) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F5C784->72D7C5DF

    Вопрос 2.
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)


    Вопрос 3.
    Не устанавливается драйвер мониторинга процессов.
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]

    Вопрос 4.
    Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику

    Помогите отключить пот.уязвимости, ноутбук использую только дома для работы,игр и выхода в интернет.
    Вопрос возникает с планировщиком заданий, открыв его там активные 42 задачи.Стоит ли отключать его
    Картинку не смог в тему загрузить ,вот ссылка на неё.

    Вопрос 5
    Есть ли какие либо рекомендации по отключению служб в Windows 8, помню как то на форуме выкладывали подобное для ХР, Vista.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) кубик рубис, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    47
    Вес репутации
    30
    Уважаемые специалисты,что нибудь скажите по существу вопросов моих.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

    - - - Добавлено - - -

    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     SetServiceStart('TermService', 4);
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    скрипт отключит
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику
    устранив таким образом уязвимости, включённым оставил только Schedule (Планировщик заданий)

    по поводу остальных вопрос это нормально и такое на каждой системе.

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    47
    Вес репутации
    30
    Результат проверки.

    По выполнению "Скрипт сбора файлов для экспресс-анализа ПК" ....
    Пожалуйста объясните, напрягло это:
    Выполняется автокарантин
    Файл успешно помещен в карантин (c:\windows\syswow64\acengsvr.exe)
    Файл успешно помещен в карантин (C:\Program Files (x86)\ASUS\Splendid\Chameleon.dll)
    Файл успешно помещен в карантин (C:\Program Files (x86)\Bluetooth Suite\AdminService.exe)
    Файл успешно помещен в карантин (c:\program files (x86)\bluetooth suite\ath_coexagent.exe)
    Файл успешно помещен в карантин (C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\MinUser.dll)
    Файл успешно помещен в карантин (c:\program files (x86)\asus\asus instanton\insonwmi.exe)
    Файл успешно помещен в карантин (C:\Program Files\WindowsApps\microsoft.windowscommunicationsa pps_17.0.1119.516_x64__8wekyb3d8bbwe\LiveComm.exe)
    Файл успешно помещен в карантин (C:\Program Files (x86)\ASUS\ASUS Live Update\alvupdt.dll)
    Файл успешно помещен в карантин (C:\Program Files\WindowsApps\Microsoft.SkypeApp_1.8.0.111_x86 __kzf8qxf38zg5c\LibWrap.dll)
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_amd_sata.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_amd_sata.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_diskdump.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_diskdump.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_dumpfve.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_dumpfve.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (localspl.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (localspl.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (FXSMON.DLL)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (FXSMON.DLL)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (tcpmon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (tcpmon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (usbmon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (usbmon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (WSDMon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (WSDMon.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (inetpp.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (inetpp.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (win32spl.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (win32spl.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wininit.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wininit.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (lsass.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (lsass.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (services.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (services.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (dasHost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (dasHost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (dasHost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (dasHost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (dasHost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (dasHost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (iexplore.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (iexplore.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (svchost.exe)
    Карантин с использованием прямого чтения - ошибка


    Пот.уязвимости устранены Вашим скриптом .Спасибо.

    И по поводу отключения служб в 8-ке, что скажите..., в интернете не нашел информации.

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от кубик рубис Посмотреть сообщение
    И по поводу отключения служб в 8-ке, что скажите..., в интернете не нашел информации.
    не пользуюсь ею, так что не могу подсказать.

    --------------------------------------
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Советы и рекомендации после лечения компьютера

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    47
    Вес репутации
    30
    Результат скрипта:
    Часто используемые уязвимости не обнаружены.
    Скрипт выполнен без ошибок.

    С обновлениями не тяну, Автоматическое обновление включено.
    В Касперском есть функция "Проверка компьютера на уязвимости", время от времени прогоняю ноутбук.Пока ничего не находит.
    Пользуюсь программой Secunia PSI. Тоже хорошая программа.

    Спасибо regist

  • Уважаемый(ая) кубик рубис, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 17.04.2013, 23:26
    2. Проверка для профилактики
      От swoop в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.03.2012, 17:42
    3. Из под Windows 7 не удается "установить драйвер расширенного мониторинга процессов"
      От AlexSidore в разделе Другие программы по безопасности
      Ответов: 3
      Последнее сообщение: 15.11.2010, 10:36
    4. Ответов: 216
      Последнее сообщение: 25.01.2010, 22:58
    5. Потенциально опасные Cookies - анализ
      От Зайцев Олег в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 26.12.2005, 23:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00300 seconds with 21 queries