-
Junior Member
- Вес репутации
- 21
Я установил kb4012212 x64, компьютер перезагрузил.
Последний раз редактировалось vlad.sau; 29.10.2018 в 02:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Покажите результат следующей команды в командной строке(cmd.exe)
Код:
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc"
Сообщите, если Windows Firewall запустился?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\s er
vices\MpsSvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc
DisplayName REG_SZ Брандмауэр Windows
Group REG_SZ NetworkProvider
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k LocalServ
iceNoNetwork
Description REG_SZ @%SystemRoot%\system32\FirewallAPI.dll,-23091
ObjectName REG_SZ NT Authority\LocalService
ErrorControl REG_DWORD 0x1
Type REG_DWORD 0x20
DependOnService REG_MULTI_SZ mpsdrv\0bfe
ServiceSidType REG_DWORD 0x3
RequiredPrivileges REG_MULTI_SZ SeAssignPrimaryTokenPrivilege\0SeAudit
Privilege\0SeChangeNotifyPrivilege\0SeCreateGlobal Privilege\0SeImpersonatePrivil
ege\0SeIncreaseQuotaPrivilege
FailureActions REG_BINARY 80510100000000000000000003000000140000000100
0000C0D4010001000000E09304000000000000000000
Start REG_DWORD 0x2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc\Security
C:\Users\Пользователь>
- - - - -Добавлено - - - - -
Не запустился. Код ошибки прежний. Ставлю второе обновление. kb4012215-x64
- - - - -Добавлено - - - - -
kb4012215-x64 установил, брандмауэр включился.
-
После как установить второе обновление, покажите результат следующей команды:
- - - - -Добавлено - - - - -
Сообщение от
vlad.sau
kb4012215-x64 установил, брандмауэр включился.
Отличная новость, в брандмауэре пожалуйста закройте (заблокируйте) порты SMB (139, 445). Вы можете отфильтровать столбец порты и найти порты 139, 445 сообщите их мне чтобы не заблокировать лишние.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>sfc /scannow
Начато сканирование системы. Этот процесс может занять некоторое время.
Начало стадии проверки при сканировании системы.
Проверка 100% завершена.
Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить
некоторые из них.
Сведения см. в журнале CBS.log windir\Logs\CBS\CBS.log. Например:
C:\Windows\Logs\CBS\CBS.log
Изменения, сделанные при восстановлении системных файлов, вступят в силу только
после перезагрузки.
- - - - -Добавлено - - - - -
Я отключил 3 правила Общий доступ к файлам и принтерам (входящий трафик SMB) на 445 порту во входящих и исходящих. Правильно?
На 139 порту Общий доступ к файлам и принтерам (входящий трафик сессии NB) не трогал.
Как Вам их сообщить, заскринить?
Последний раз редактировалось vlad.sau; 29.10.2018 в 16:35.
-
Скачайте сторонную утилиту SFCFix.exe (by niemiro) и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "enter" (в общем должно получиться три раза).
- подождите завершения.
- по окончанию нажмите "enter", на рабочем столе сформируется файл SFCFix.txt приложите его к следующем сообщение.
- - - - -Добавлено - - - - -
Сообщение от
vlad.sau
Я отключил 3 правила Общий доступ к файлам и принтерам (входящий трафик SMB) на 445 порту во входящих и исходящих. Правильно?
На 139 порту Общий доступ к файлам и принтерам (входящий трафик сессии NB) не трогал.
Как Вам их сообщить заскринить?
нет скрины не нужны, Нужно не отключать а наоборот включить и указать запретить. Если у этого ПК нет расшаренного принтера то необходимо запретить и 139 порт.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Лог приложил.
Принтер подключен.
Нужно делать входящие и исходящие?
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Так не получится?
Последний раз редактировалось vlad.sau; 29.10.2018 в 05:43.
-
Сообщение от
vlad.sau
Нужно делать входящие и исходящие?
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Так не получится?
Желательно не добавлять новых правил, так как потом будет тяжело определить проблемы, если они возникнут.
Посмотрите на картинке пример, необходимо чтобы правило было включено и выбрано блокировать подключение.
----------------------------------------
xblock_tcp_2.png.pagespeed.ic.hI1rCA6HGD.png
Важно: Следующее решение написано только для Вашего случая, не стоит его применять для других схожих случаев.
Перед начало убедитесь в том, что отсутствовал файл SFCFix.txt на рабочем столе.
----------------------------------------
Скачайте SFCFix.exe(by niemiro) и сохраните на рабочем столе.
Скачайте SFCFix.zip и сохраните на рабочем столе.
Убедитесь, чтобы название файла было SFCFix.zip - не в коем случае не меняте его. Сохраните и закройте все приложения.
Убедитесь, чтобы на рабочем столе было 2 файла: SFCFix.exe и SFCFix.zip.
нажмите мышкой на файл SFCFix.zip и переместите на SFCFix.exe и отпустите мышь.
SFCFix.exe начнет процесс исправления.
По окончанию создается файл: SFCFix.txt.
Приложите полученный отчет в следующем сообщение.
----------------------------------------
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Общий доступ к файлам и принтерам (SMB) на 445 порту включил входящие и исходящие правила. После установил блокировать.
на 445 в
исходящих остался = Основы сетей - групповая политика (NP - исходящий трафик)
входящих = Служба входа в сеть (NP-In), 2х Удаленное управление журналом событий (именованные каналы - входящий), 2х Удаленное управление службой (именованные каналы - входящий)
все неактивны.
139 порт не трогал.
Правильно?
-
Сообщение от
vlad.sau
139 порт не трогал.
Правильно?
Также заблокируйте только входящие. Важно исходящие правила не трогайте. Если заблокировали исходящие, то верните обратно.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Сделал входящие 3х Общий доступ к файлам и принтерам (входящий трафик сессии NB) включить и заблокировать.
Во входящих на 139 больше правил нет.
Лог добавил.
-
Отлично, системные проблемы вроде решены судя по логам. Давайте проверим если нет вирусов. Соберите новые логи автологгера по правилам.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
2018-10-28 23:28 - 2018-10-28 23:28 - 000011632 _____ C:\Windows\system32\sys.exe
2018-10-29 02:55 - 2018-10-29 03:07 - 000000000 ____D C:\SFCFix
2018-10-29 02:50 - 2018-10-29 03:07 - 000000000 ____D C:\Users\Пользователь\AppData\Local\niemiro
2018-10-16 20:34 - 2018-10-28 16:14 - 000000020 _____ C:\Windows\system32\1.txt
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- - - - -Добавлено - - - - -
Для выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
-
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Поставил на проверку. Старые уведомления исчезли.
Последний раз редактировалось vlad.sau; 29.10.2018 в 16:36.
-
Сообщение от
vlad.sau
Поставил на проверку. Старые уведомления исчезли.
ок, ожидаю вашего ответа.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Проверка завершена, угроз не обнаружено. Переходов по адресам пока не было.
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
- - - - -Добавлено - - - - -
В случае, если уязвимостей не будет найдено то выполните завершаюшие шаги.
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки - Удалить AdwCleaner - выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-