[Pili]

Чисто. можно пофиксить в HJT

Код:

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Цитата:

Прямое чтение C:\WINDOWS\system32\clipbrd.exe Прямое чтение C:\WINDOWS\system32\dllcache\cacls.exe ... Прямое чтение C:\WINDOWS\system32\dllcache\clipbrd.exe

Это скорее всего рез-т работы ntbackup.exe, который в автозагрузке

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

можно настроить безопасность и отключить не нужные службы

[[mzd]]

Вот и я про то, что чисто. Попробую пофиксить службы и отпишусь про результат.

[Pili]

[mzd], Скрипт для отключения служб можно получить сразу из логов avz_sysinfo.htm, просто потыкайте в "Дополнительные операции:"
например

Цитата:

Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)

и получите готовый скрипт

Код:

begin
SetServiceStart('RemoteRegistry', 4);
end.

Рекомендую на всякий случай ещё защититься на будущее от зловредов типа autorun, сохранить как reg файл и применить

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[MKtiger]

Машина в домене и везде брендмауэр касперского?
Отключить удаленный реестр?
простите...
но, так делать нельзя...
как минимум последнее...
а брендмауэеры настраивать надо...
могу поспорить, что в процессе работы компы не только подтормаживают, но и есть проблемы с аутентификацией в домене между серверами и компами, а также работой в сети....

[mzd], Попробуйте пойти от обратного, отключить КАВ.

[Pili]

MKtiger, нет там касперского, и вообще нет ни одного антивируса (кроме AVZ, но это не монитор), смотрите логи, прежде чем советовать.
Кто вам сказал, что удаленный реестр отключать нельзя? Его рекомендуется отключать, наряду с другими неиспользуемыми службами.

[MKtiger]

Цитата Pili:

нет там касперского »

Pili, хорошо, расшифруйте тогда вот это сообщение -

Цитата [mzd:

]домен защищен KAV »

То, что AVZ не монитор - известно большинству...

Цитата Pili:

Кто вам сказал, что удаленный реестр отключать нельзя? Его рекомендуется отключать, наряду с другими неиспользуемыми службами. »

Для домашнего компьютера - да, естественно, всенепременно - отключать, но для организаций, особенно, если необходимо администрирование большого количества машин, такое действие чревато, как минимум админу придётся поработать ногами...

[[mzd]]

MKtiger, брандмауэра нет. Домен защищен KAV - антивирус стоит на серваках, на оконечных станциях лаборантов, у которых есть доступ к USB, FDD, CD-ROM. На самих рабочих станциях отключены все внешние носители (USB, FDD, CD-ROM у них нет физически).

Проблема оказалась в доменной политике, накладываемой на рабочие станции. Переписали политику - проблема исчезла. Честно говоря, так до конца и не поняли что именно явилось причиной, но факт остается фактом - заново написанная политика помогла.

[MKtiger]

Ээээ...
Можно, конечно задать вопрос, а что собственно изменили в политике?
Но, рад услышать, что помогло...
А вообще в связи с политиками есть очень много всяких интересных заморочек...

[[mzd]]

MKtiger, да ничего существенного, все, что было в старой просто перенесли в новую.

[Pili]

Цитата MKtiger:

если необходимо администрирование большого количества машин »

Служба "Удаленный реестр" с режиме старта "авто" для этого совершенно не требуется, когда надо, её можно запустить групп. политикой.