Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

27
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

humppa, да это временные файлы установщика обновлений, можете их снести, они уже не нужны.

#183276   | 28.10.09 10:30
Не в сети
Сообщений: 21
Благодарностей: 0
Предупреждений:
Из: Russia
Род занятий: Telecom

Просто интересно, почему на двух разных компах, с разными ОС, возникла такая ситуация.

#183277   | 28.10.09 10:33
Не в сети
Сообщений: 21
Благодарностей: 0
Предупреждений:
Из: Russia
Род занятий: Telecom

Ситуация повторилась, при ручном обновлении опять не были удалены временные папки/файлы.
Раньше хоть ручное, хоть автоматическое обновление мусора на диске не оставляло.

#183282   | 28.10.09 12:05
Не в сети
Сообщений: 17
Благодарностей: 3
Предупреждений:
Из: ---
Род занятий:

arseny1992 :
Простите, но по умолчанию на вкладке Безопасность данного файла стоят: полный доступ пользователю NT AUTHORITY\SYSTEM и группе Administrators. Ещё группа Users: чтение, и чтение и выполнение.


Я имел ввиду, что со включенным UAC-ом, этот скрипт даже под администратором не сможет незаметно модифицировать файл hosts. Конечно, если юзер не читает предупреждения и подтверждает все подряд, то UAC не спасет...

#183351   | 28.10.09 21:09
Не в сети
Сообщений: 522
Благодарностей: 23
Предупреждений:
Из: Russia LostFilm.TV (ЛостФильм.ТВ)
Род занятий:

denominator, многие нечитают и это факт.
UAC спасает только тех кто внимательно читает всё.
вы читали как происходит заражение? пишу здесь чтобы было яснее и если ты упорно некликаешь на приведённую ссылку

В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?

На что человек, конечно же, получает ответ:
Могу, привет)

И через некоторое время получает следующее сообщение:
urlshort.me/** фaйл без oшибoк зaпускaеться?))

(адрес закрыл звёздочками специально, чтоб неповадно было щёлкать

Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл qip_unfium.bat

Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий кодвы его видели)


спецально пишу с той страницы коменты

Если пользователь отключил UAC — сам виноват.
Если пользователь не отключил UAC но жмет OK по инерции — сам виноват.

В 99,99% случаях виноват сам пользователь. Один раз угонят аккаунт таким образом, на будущее будем думать. Если конечно умеет учиться на своих ошибках.



и что главное никто неучится, отчего мне вспоминается фраза "Когда человека кусает вампир, то он превращается в вампира... Cкладывается такое ощущение, что вокруг всех покусали бараны!!!"

#183366   | 29.10.09 00:06
Не в сети
Сообщений: 17
Благодарностей: 3
Предупреждений:
Из: ---
Род занятий:

LOST :
Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий кодвы его видели)


И результат выполнения такой:

D:\>qip_unfium.bat
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.

D:\>


Никаких вопросов система не задает, так как незачем. Вы то сами пробовали запускать этот файл?

#183376   | 29.10.09 10:01
Не в сети
Сообщений:
Благодарностей: 39
Предупреждений:
Из:
Род занятий:

denominator :

LOST :
Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий кодвы его видели)


И результат выполнения такой:

D:\>qip_unfium.bat
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.
Access is denied.

D:\>


Никаких вопросов система не задает, так как незачем. Вы то сами пробовали запускать этот файл?



Видимо не от имени администратора запускали вы (с включенным UAC?)

#183378   | 29.10.09 11:18
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

arseny1992 писал:
v_gayevoy, этот скрипт записывает локальную DNS-запись для указанного адреса. Windows всегда сначала смотрит свой hosts, а потом, если не находит там записи, обращается к DNS-серверам для разрешения адреса в IP.

Учётная запись "Гость" как-раз при том, что её права ещё ниже чем у обычного пользователя и гость по любому не сможет внести изменения в саму систему.

LOST, спасибо, https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?submissionid=703AC2E6-A24D-4D41-9F37-063AB31B9561




Вот те раз
Параллельно "устанавливается" CheckSUR - Post #183242.



Наш вредитель собственно:



Trojan:BAT/Qhost.E

#183389   | 29.10.09 14:19
Не в сети
Сообщений: 17
Благодарностей: 3
Предупреждений:
Из: ---
Род занятий:

Chaz :
Видимо не от имени администратора запускали вы (с включенным UAC?)


Я запускал под юзером, являющимся администратором на этой машине. UAC включен. Никаких вопросов ОС не задавала. Собственно, где проблема-то?

#183428   | 29.10.09 20:59
Не в сети
Сообщений:
Благодарностей: 39
Предупреждений:
Из:
Род занятий:

denominator :

Chaz :
Видимо не от имени администратора запускали вы (с включенным UAC?)


Я запускал под юзером, являющимся администратором на этой машине. UAC включен. Никаких вопросов ОС не задавала. Собственно, где проблема-то?



Проблема в том, что MSE может быть установлен и на Windows XP, где UAC отсутствует, именно он не позволяет редактировать системные файлы даже без каких-либо уведомлений

#183446   | 30.10.09 00:51
Не в сети
Сообщений: 21
Благодарностей: 0
Предупреждений:
Из: Russia
Род занятий: Telecom

humppa :
Ситуация повторилась, при ручном обновлении опять не были удалены временные папки/файлы.
Раньше хоть ручное, хоть автоматическое обновление мусора на диске не оставляло.



Неужели больше ни у кого не наблюдается ?
Как-то вручную удалять мусор с диска после каждого обновления не очень интересно.

#183561   | 31.10.09 13:03
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

humppa, подтверждаю наличие проблемы. Временные файлы не удаляются.



Отписано

#183566   | 31.10.09 14:05
Не в сети
Сообщений: 28
Благодарностей: 2
Предупреждений:
Из: Ukraine
Род занятий:

Johny-electric :
Батником только так убивается

TASKKILL /F /IM msseces.exe /T
TASKKILL /F /IM MpCmdRun.exe /T
TASKKILL /F /IM MsMpEng.exe /T


arseny1992, тоже отписался под вашим постом


Попробовал. Не убивается.
MsMpEng успешно перезапускается и стит только попытаться восстановить ВАТ-файлик до узнаваемого вида, как он сразу же блокируется. А модифицированный ВАТ убивает только интерфейс.
В Висте при экспериментах ещё и окошко выбрасывает при попытке ручного отключения из диспетчера.

Поблагодарили: ResEv

#183699   | 01.11.09 23:50
Не в сети
Сообщений: 405
Благодарностей: 6
Предупреждений:
Из: Ukraine
Род занятий: IT

bovar, Стоит только оформить bat файл с таким текстом, как MSSE сразу же реагирует на него, блокирует и предлагает удалить

#183700   | 01.11.09 23:53
Не в сети
Сообщений: 28
Благодарностей: 2
Предупреждений:
Из: Ukraine
Род занятий:

TASKKILL /F /IM MpCmdRun.exe /T
TASKKILL /F /IM MsMpEng.exe /T
TASKKILL /F /IM msseces.exe /T
TASKKILL /F /IM MpCmdRun.exe /T
TASKKILL /F /IM MsMpEng.exe /T

Запишите в таком виде и запускайте на здоровье. Но убивается только ГУЙ.

#183702   | 01.11.09 23:55
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.036 секунд (Общее время SQL: 0.016 секунд - SQL запросов: 98 - Среднее время SQL: 0.00017 секунд))
Top.Mail.Ru