Перейти к содержанию
Евгений Красильников

Очистка пользовательских временных каталогов

Recommended Posts

Евгений Красильников

Здравствуйте, запускаю на удаленных машинках. пункт меню "дополнительно-> очистить корзину и каталогИ профилей пользователей от временных файлов" чистит %windir%\temp корзину... а вот %temp%ы и tempory internet всех профилей не чиcтит, .

По идее должен чистить темпы текущего профиля, под которым запустился UVS. А возможно ли чтобы на удаленных машинах чистил %temp% и temp internet всех профилей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

вообще говоря должны вычищаться временные каталоги всех пользователей, надо посмотреть в логе сколько профилей пользователей загружено сравнить с реальным и собственно какие каталоги прописаны в качестве временных для конкретных пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников

по логу, он (UVS) даже не пытается чистить профили пользователей...

--------------------------------------------------------

S:\FTP\FREE\ANTIVIR\UVS_V375\SHA\MAIN

Загружено хэшей проверенных файлов: 657794

--------------------------------------------------------

2012.09.14 12:29

2012.09.14 08:29 (UTC)

--------------------------------------------------------

SeDebug привилегии получены

SeRestore привилегии получены

SeBackup привилегии получены

SeShutdown привилегии получены

SeTakeOwnership привилегии получены

SeLoadDriver привилегии получены

SeManageVolume привилегии получены

SeSecurity привилегии получены

SeTcb привилегии получены

SeImpersonate привилегии получены

SeAssignPrimaryToken привилегии получены

SeCreateTokenPrivilege привилегии получены

SeIncreaseQuotaPrivilege привилегии получены

--------------------------------------------------------

Сигнатур в базе: 0

Загружено поисковых критериев: 0

--------------------------------------------------------

uVS v3.75: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

Свободно физической памяти 138Mb из 502Mb

Свободно на системном диске: 20,2GB

Boot: Normal

--------------------------------------------------------

Internet Explorer v8.0.6001.18702

--------------------------------------------------------

Текущий пользователь: WSR\xxx-xxxxxxxx

uVS запущен под пользователем: NT AUTHORITY\SYSTEM

Имя компьютера: XXXXXXXXXXX

--------------------------------------------------------

HOSTS:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

127.0.0.1 localhost

10.132.68.73 cumr03c.cumr03.wsr.mps

10.132.68.74 cumr03d.cumr03.wsr.mps

10.132.68.75 cumr03e.cumr03.wsr.mps

10.132.69.40 cumr03www.cumr03.wsr.mps

10.132.68.70 cumr03db.cumr03.wsr.mps

10.132.68.80 cumr03dbs.cumr03.wsr.mps

10.132.68.78 cumr03mon.cumr03.wsr.mps

10.132.68.79 cumr03mq.cumr03.wsr.mps

Всего: 9

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Удаление всех файлов из каталога: C:\RECYCLER

Удалено файлов: 5 из 5

Удаление всех файлов из каталога: C:\WINDOWS\TEMP

Удалено файлов: 0 из 3

Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS

Удалено файлов: 0 из 0

Очистка завершена

Похоже просто надо читать ФАК ))

bAllProfiles = 1 (0 по умолчанию)

bAllProfiles = 1

не помогло, так же не берет он профили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

а в самом образе загружены профили других пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников
а в самом образе загружены профили других пользователей?

Это как проверить и где посмотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

во первых можно посмотреть категорию ВСЕ

и в логе

Текущий пользователь: User-ПК\User

uVS запущен под пользователем: User-ПК\User

Имя компьютера: USER-ПК

--------------------------------------------------------

HOSTS:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Всего: 0

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Загружено реестров пользователей: 2

Построение списка процессов и модулей...

Анализ автозапуска...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников
во первых можно посмотреть категорию ВСЕ

и в логе

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Запускаю start.exe, Выбираю удаленный компьютер, запускаю под текущим пользователем(под localsystem не активно)

и получаю лог который выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Евгений Красильников

Сперва таки нужно загрузить список файлов, т.е. хотя бы раз нажать F5 потом уже пользоваться функциями очистки или настроить его автозагрузку в ini файле.

Профили грузятся только при первом обновлении списка файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников
Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Запускаю start.exe, Выбираю удаленный компьютер, запускаю под текущим пользователем(под localsystem не активно)

и получаю лог который выше.

Нашел, профили он ищет только после нажатия на кнопку обновить список, а хосты просматривает до .

Вопрос, возможно ли загрузка списка профилей, до нажатия на кнопку обновить спсиок?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Вопрос, возможно ли загрузка списка профилей, до нажатия на кнопку обновить спсиок?

нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
вообще говоря должны вычищаться временные каталоги всех пользователей, надо посмотреть в логе сколько профилей пользователей загружено сравнить с реальным и собственно какие каталоги прописаны в качестве временных для конкретных пользователей.

Работает ли это корректно с:

- терминальными сессиями

- пользователями доменов

- и то, и другое вместе

____

Почти "Итальянская забастовка". Я добрый, отзывчивый, культурный, все строго по правилам. Прошу обращаться на ВЫ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Работает ли это корректно с:

- терминальными сессиями

не проверял, но скорее всего все будет зачищено правильно, может какие-то верменные каталоги ts и останутся без внимания.

- пользователями доменов

если профиль дом. пользователя расположен на лок. машине то да, а если реестр лежит в сети то все зависит от пользователя под которым был запушен uVS.

В любом случае лишнего ничего не удалится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хорошая тема...

Очистка гхм... Значит пишу сюда.

Благодаря применению программы Выявлена новая угроза.

Распространение угрозы приняло массовый характер.

Требование: $ < > & < > SMS

Блокировка соц.сетей & почты = пере-адресация.

Задействована: RPCSS.DLL

Distributed COM Services - Microsoft Corporation

Автозапуск > SAFE_MODE_SVCHOST

Метод: Модификация.

Создан - Изменён - Данные = маскировка = нет соответствия текущей дате.

Проверка на сервисе: VirusTotal - Файл НЕ определяется как угроза*.

* Особое внимание следует обратить на время первой и крайней проверки.

Есть/Нет SHA1 на V.T.

Цифр.Подпись: Отсутствует.

Файла нет в базе проверенных ( uVS )

Типичная форма запроса со стороны пользователя: " Не пускает в соц сети и почту. Требует СМС "

Решение: Замещение файла с Live СD

Для : Win XP > Если версия dll меньше 5755, поможет установка хотфикса: WindowsXP-KB956572-x86-RUS.exe

http://www.microsoft.com/ru-ru/download/de...s.aspx?id=15124

Соответственно файл будет замещён новой версией. + ( restart )

Вероятное распространение угрозы: phishing - сайт > уязвимость и т.д...

Описание службы:

oszone.net/2590

pssystem.ru/3/Index9.htm

Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

Особая благодарность: Vvvyg; Santy; zloyDi

На данный момент проблема изучается специалистами компании ESET

На данный момент нет антивирусов/компаний которые способны автоматически выявить заражение.

Проблема решается на форумах: pchelpforum.ru & esetnod32.ru; virusinfo.info.

Для замещения:

rpcss.dll Win7x64

http://rghost.ru/44939613

Win XP SP3 x 86

5.1.2600.5755

http://rghost.ru/44939911

http://rghost.ru/44943440

5.1.2600.5512 (xpsp.080413-2108) - sp3

Win7x86

6.1.7601.17514

http://rghost.ru/44940107

Win8 x64

http://rghost.ru/44940449

Vista SP2 x86

http://rghost.ru/44942394

Критерий поиска от RP55: (ССЫЛКА ~ \SERVICES\)(1) AND (ПОЛНОЕ ИМЯ ~ .DLL)(1) AND ( ~ АВТО)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Пример заражения см.в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
не проверял, но скорее всего все будет зачищено правильно, может какие-то верменные каталоги ts и останутся без внимания.

========= вырезано цензурой ============

В любом случае лишнего ничего не удалится.

Хм, набрёл сюда по ссылке относительно RPCSS.DLL (спасибо оффтопику от PR55.RP55 <_< )

В терминальном режиме на Windows 2008 Server путь к каталогам временных файлов имеет такой вид:

TEMP=C:\Users\B22E~1\AppData\Local\Temp\2TMP=C:\Users\B22E~1\AppData\Local\Temp\2

Т. е. стандартный юзерский темп + цифирьная папка. Причём разная, может быть и 24, закономерности не заметил, а мануала в один проход не нашёл. Естественно, deltmp в такой системе убивает пользовательские каталоги временных файлов и делает невозможным запуск многих программ. Проверено, так сказать, на себе :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Drweb 11 апреля 2013 года пишет:

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll

news.drweb.com/show/?i=3447&lng=ru&c=14

Trojan.Zekos

Добавлен в вирусную базу Dr.Web: 2013-04-09

Примазались ! :angry:

Откырыли америку. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Примазались !

Откырыли америку.

интересно кто к кому примазался. Если ни один из них до сих пор нормально лечить не умеет и нагибает систему.

http://yandex.ru/yandsearch?clid=9582&...BD&lr=10277

по первой ссылке зелёный доктор, по 3-й и 10-й Nod. Если поискать то можно найти ещё подобные темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Alamor

Под "Примазались" я понимаю это:

PR55.RP55 от 01.04.2013 пишет: Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

Подробно здесь: chklst.ru/forum/discussion/103/win32patched-ib#Item_1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

если у вирлаба Nod вся надежда, кто кто-то из пользователей UVs найдёт и пришлёт им новый вирус, то мне искренне их жаль. По поводу обзора это похоже всё что они умеют писать статьи с пиаром и клепать детекты, насчёт процедуры лечения ссылка выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
если у вирлаба Nod вся надежда, кто кто-то из пользователей UVs найдёт и пришлёт им новый вирус, то мне искренне их жаль.

alamor, все вирлабы занимаются сбором новых вирусов с помощью пользователей. Вот ЛК, например, использует полуавтоматический сервис на ВирусИнфо для сбора карантина. в обмен на помощь в анализе карантина.

По поводу обзора это похоже всё что они умеют писать статьи с пиаром и клепать детекты, насчёт процедуры лечения ссылка выше.

о каком или чьем пиаре вы здесь говорите? если ДрВеб, то говорить, что ДрВеб только клепает детекты и пишет статьи - это будет неверно. Хотя лечения корректного для модифицированного rpcss.dll пока нет. Если о ESET, то в данной статье речь идет вообще то не о ESET, а об uVS, с помощью которого хелперами и была зафиксирована проблема с модифицированным rpcss, а далее, уже пошли сигналы в вирлабы, поскольку реакции со стороны основных вирлабов (хотя бы в виде детекта) на тот момент не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

22.06.2013

Благодаря применению программы uVS Выявлена новая угроза:

Agent.exe - Win32/Spy.Banker.ZNX trojan ( Eset )

Особая благодарность: Santy; Angel-iz-Ada

Вирус нацелен на работу с Банковскими системами.

_Клиент-Банк_

Внимание: Программа ibank - может быль легально установлена в системе !

Файл: agent.exe имеет цифровую подпись.

Детальная информация:

Полное имя Х:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE

Имя файла AGENT.EXE

Тек. статус _ПРОВЕРЕННЫЙ_ в автозапуске

Сохраненная информация на момент создания образа

Статус ПРОВЕРЕННЫЙ в автозапуске

File_Id 51C2CCB4D2000

Linker 10.0

Размер 850264 байт

Создан 20.06.2013 в 22:34:26

Изменен 20.06.2013 в 22:34:26

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Действительна, подписано IdentityMine Inc

Оригинальное имя a

Версия файла 1.0.0.1

Описание TODO: <Описание файла>

Производитель TODO: <Название компании>

Доп. информация на момент обновления списка

SHA1 899E37EE56147A82B369A9D76E2405CB40C2CCA8

MD5 7A2B7A536D8019E5DE658199E5C2F55F

Ссылки на объект

Ссылка HKLM\vdnljpfcx\Software\Microsoft\Windows\CurrentVersion\Run\bifit_agent

bifit_agent C:\Users\User\AppData\Roaming\iBank2\agent.exe

Проверка на V.T.:

https://www.virustotal.com/ru/file/3ea5a9e0...c8e17/analysis/

Способы обнаружения:

1) Цифровая подпись: подписано IdentityMine Inc

2) Время создания папки\файла*.

* Время не соответствует дате установки программы.

3) Каталог : Х:\USERS\USER\APPDATA\ROAMING\IBANK2\

Содержит файл: ****cfg = IP 198.100.144.39 ( Канада ) > bifit_a.cfg

https://www.nic.ru/whois/?query=198.100.144.39

4) Обратить особое внимание на наличие/отсутствие в системе Java™ < 6 >

Доп.инфо.:

IdentityMine Inc., является партнером корпорации Microsoft работает с технологиями, такими как Windows Presentation Foundation и Silverlight, Pixelsense - региональная модель, Windows 8, Windows Phone и UX. Базируется в Цюрихе, Швейцария.

Для самостоятельного изучения: http://forum.esetnod32.ru/forum6/topic9659/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Также: Файл Agent.exe может иметь цифровую подпись

«Accurate CNC, Inc.». Данный сертификат уже был отозван поставщиком – «GlobalSign CodeSigning CA – G2».

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, здесь фильтр по дате хорошо помог, + конечно инфо об объекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

вот только хотел про это сказать, что фильтр по дате часто самый быстрый путь к счастью :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
santy

вот только хотел про это сказать, что фильтр по дате часто самый быстрый путь к счастью :)

угу, по журналу угроз сверили, что начало угроз совпадает со временем создания данного файла, плюс проверка по VT - Comodo в единственном числе засигналил, да и цифровая подозрительно неизвестная +

еще вопрос:

что означают эти поля в описании объекта, почему они не заполнены?

Описание TODO: <Описание файла>

Производитель TODO: <Название компании>

довольно часто бывает такая картинка, и не обязательно со зловредами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Подняли инфо.

Про зверюку: http://forum.esetnod32.ru/messages/forum6/...3/#message69133

Как оказалось A.V. компании не ловят мышей. ( за редким исключением )

Зверюка как минимум с Января норы роет ! :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • EgleIdews
      I have just purchased the CBT Email Spider for my Federation Of Master Builders Member business but I cannot seem to be able to find the tutorials for the email extractor. I remember someone here who mentioned that they also have this software. Thanks in advance.
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
×