Перейти к содержанию
Евгений Красильников

Очистка пользовательских временных каталогов

Recommended Posts

Евгений Красильников

Здравствуйте, запускаю на удаленных машинках. пункт меню "дополнительно-> очистить корзину и каталогИ профилей пользователей от временных файлов" чистит %windir%\temp корзину... а вот %temp%ы и tempory internet всех профилей не чиcтит, .

По идее должен чистить темпы текущего профиля, под которым запустился UVS. А возможно ли чтобы на удаленных машинах чистил %temp% и temp internet всех профилей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

вообще говоря должны вычищаться временные каталоги всех пользователей, надо посмотреть в логе сколько профилей пользователей загружено сравнить с реальным и собственно какие каталоги прописаны в качестве временных для конкретных пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников

по логу, он (UVS) даже не пытается чистить профили пользователей...

--------------------------------------------------------

S:\FTP\FREE\ANTIVIR\UVS_V375\SHA\MAIN

Загружено хэшей проверенных файлов: 657794

--------------------------------------------------------

2012.09.14 12:29

2012.09.14 08:29 (UTC)

--------------------------------------------------------

SeDebug привилегии получены

SeRestore привилегии получены

SeBackup привилегии получены

SeShutdown привилегии получены

SeTakeOwnership привилегии получены

SeLoadDriver привилегии получены

SeManageVolume привилегии получены

SeSecurity привилегии получены

SeTcb привилегии получены

SeImpersonate привилегии получены

SeAssignPrimaryToken привилегии получены

SeCreateTokenPrivilege привилегии получены

SeIncreaseQuotaPrivilege привилегии получены

--------------------------------------------------------

Сигнатур в базе: 0

Загружено поисковых критериев: 0

--------------------------------------------------------

uVS v3.75: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

Свободно физической памяти 138Mb из 502Mb

Свободно на системном диске: 20,2GB

Boot: Normal

--------------------------------------------------------

Internet Explorer v8.0.6001.18702

--------------------------------------------------------

Текущий пользователь: WSR\xxx-xxxxxxxx

uVS запущен под пользователем: NT AUTHORITY\SYSTEM

Имя компьютера: XXXXXXXXXXX

--------------------------------------------------------

HOSTS:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

127.0.0.1 localhost

10.132.68.73 cumr03c.cumr03.wsr.mps

10.132.68.74 cumr03d.cumr03.wsr.mps

10.132.68.75 cumr03e.cumr03.wsr.mps

10.132.69.40 cumr03www.cumr03.wsr.mps

10.132.68.70 cumr03db.cumr03.wsr.mps

10.132.68.80 cumr03dbs.cumr03.wsr.mps

10.132.68.78 cumr03mon.cumr03.wsr.mps

10.132.68.79 cumr03mq.cumr03.wsr.mps

Всего: 9

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Удаление всех файлов из каталога: C:\RECYCLER

Удалено файлов: 5 из 5

Удаление всех файлов из каталога: C:\WINDOWS\TEMP

Удалено файлов: 0 из 3

Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS

Удалено файлов: 0 из 0

Очистка завершена

Похоже просто надо читать ФАК ))

bAllProfiles = 1 (0 по умолчанию)

bAllProfiles = 1

не помогло, так же не берет он профили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

а в самом образе загружены профили других пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников
а в самом образе загружены профили других пользователей?

Это как проверить и где посмотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

во первых можно посмотреть категорию ВСЕ

и в логе

Текущий пользователь: User-ПК\User

uVS запущен под пользователем: User-ПК\User

Имя компьютера: USER-ПК

--------------------------------------------------------

HOSTS:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Всего: 0

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Загружено реестров пользователей: 2

Построение списка процессов и модулей...

Анализ автозапуска...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников
во первых можно посмотреть категорию ВСЕ

и в логе

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Запускаю start.exe, Выбираю удаленный компьютер, запускаю под текущим пользователем(под localsystem не активно)

и получаю лог который выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Евгений Красильников

Сперва таки нужно загрузить список файлов, т.е. хотя бы раз нажать F5 потом уже пользоваться функциями очистки или настроить его автозагрузку в ini файле.

Профили грузятся только при первом обновлении списка файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Красильников
Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Запускаю start.exe, Выбираю удаленный компьютер, запускаю под текущим пользователем(под localsystem не активно)

и получаю лог который выше.

Нашел, профили он ищет только после нажатия на кнопку обновить список, а хосты просматривает до .

Вопрос, возможно ли загрузка списка профилей, до нажатия на кнопку обновить спсиок?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Вопрос, возможно ли загрузка списка профилей, до нажатия на кнопку обновить спсиок?

нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
вообще говоря должны вычищаться временные каталоги всех пользователей, надо посмотреть в логе сколько профилей пользователей загружено сравнить с реальным и собственно какие каталоги прописаны в качестве временных для конкретных пользователей.

Работает ли это корректно с:

- терминальными сессиями

- пользователями доменов

- и то, и другое вместе

____

Почти "Итальянская забастовка". Я добрый, отзывчивый, культурный, все строго по правилам. Прошу обращаться на ВЫ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Работает ли это корректно с:

- терминальными сессиями

не проверял, но скорее всего все будет зачищено правильно, может какие-то верменные каталоги ts и останутся без внимания.

- пользователями доменов

если профиль дом. пользователя расположен на лок. машине то да, а если реестр лежит в сети то все зависит от пользователя под которым был запушен uVS.

В любом случае лишнего ничего не удалится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хорошая тема...

Очистка гхм... Значит пишу сюда.

Благодаря применению программы Выявлена новая угроза.

Распространение угрозы приняло массовый характер.

Требование: $ < > & < > SMS

Блокировка соц.сетей & почты = пере-адресация.

Задействована: RPCSS.DLL

Distributed COM Services - Microsoft Corporation

Автозапуск > SAFE_MODE_SVCHOST

Метод: Модификация.

Создан - Изменён - Данные = маскировка = нет соответствия текущей дате.

Проверка на сервисе: VirusTotal - Файл НЕ определяется как угроза*.

* Особое внимание следует обратить на время первой и крайней проверки.

Есть/Нет SHA1 на V.T.

Цифр.Подпись: Отсутствует.

Файла нет в базе проверенных ( uVS )

Типичная форма запроса со стороны пользователя: " Не пускает в соц сети и почту. Требует СМС "

Решение: Замещение файла с Live СD

Для : Win XP > Если версия dll меньше 5755, поможет установка хотфикса: WindowsXP-KB956572-x86-RUS.exe

http://www.microsoft.com/ru-ru/download/de...s.aspx?id=15124

Соответственно файл будет замещён новой версией. + ( restart )

Вероятное распространение угрозы: phishing - сайт > уязвимость и т.д...

Описание службы:

oszone.net/2590

pssystem.ru/3/Index9.htm

Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

Особая благодарность: Vvvyg; Santy; zloyDi

На данный момент проблема изучается специалистами компании ESET

На данный момент нет антивирусов/компаний которые способны автоматически выявить заражение.

Проблема решается на форумах: pchelpforum.ru & esetnod32.ru; virusinfo.info.

Для замещения:

rpcss.dll Win7x64

http://rghost.ru/44939613

Win XP SP3 x 86

5.1.2600.5755

http://rghost.ru/44939911

http://rghost.ru/44943440

5.1.2600.5512 (xpsp.080413-2108) - sp3

Win7x86

6.1.7601.17514

http://rghost.ru/44940107

Win8 x64

http://rghost.ru/44940449

Vista SP2 x86

http://rghost.ru/44942394

Критерий поиска от RP55: (ССЫЛКА ~ \SERVICES\)(1) AND (ПОЛНОЕ ИМЯ ~ .DLL)(1) AND ( ~ АВТО)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Пример заражения см.в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
не проверял, но скорее всего все будет зачищено правильно, может какие-то верменные каталоги ts и останутся без внимания.

========= вырезано цензурой ============

В любом случае лишнего ничего не удалится.

Хм, набрёл сюда по ссылке относительно RPCSS.DLL (спасибо оффтопику от PR55.RP55 <_< )

В терминальном режиме на Windows 2008 Server путь к каталогам временных файлов имеет такой вид:

TEMP=C:\Users\B22E~1\AppData\Local\Temp\2TMP=C:\Users\B22E~1\AppData\Local\Temp\2

Т. е. стандартный юзерский темп + цифирьная папка. Причём разная, может быть и 24, закономерности не заметил, а мануала в один проход не нашёл. Естественно, deltmp в такой системе убивает пользовательские каталоги временных файлов и делает невозможным запуск многих программ. Проверено, так сказать, на себе :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Drweb 11 апреля 2013 года пишет:

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll

news.drweb.com/show/?i=3447&lng=ru&c=14

Trojan.Zekos

Добавлен в вирусную базу Dr.Web: 2013-04-09

Примазались ! :angry:

Откырыли америку. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Примазались !

Откырыли америку.

интересно кто к кому примазался. Если ни один из них до сих пор нормально лечить не умеет и нагибает систему.

http://yandex.ru/yandsearch?clid=9582&...BD&lr=10277

по первой ссылке зелёный доктор, по 3-й и 10-й Nod. Если поискать то можно найти ещё подобные темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Alamor

Под "Примазались" я понимаю это:

PR55.RP55 от 01.04.2013 пишет: Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

Подробно здесь: chklst.ru/forum/discussion/103/win32patched-ib#Item_1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

если у вирлаба Nod вся надежда, кто кто-то из пользователей UVs найдёт и пришлёт им новый вирус, то мне искренне их жаль. По поводу обзора это похоже всё что они умеют писать статьи с пиаром и клепать детекты, насчёт процедуры лечения ссылка выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
если у вирлаба Nod вся надежда, кто кто-то из пользователей UVs найдёт и пришлёт им новый вирус, то мне искренне их жаль.

alamor, все вирлабы занимаются сбором новых вирусов с помощью пользователей. Вот ЛК, например, использует полуавтоматический сервис на ВирусИнфо для сбора карантина. в обмен на помощь в анализе карантина.

По поводу обзора это похоже всё что они умеют писать статьи с пиаром и клепать детекты, насчёт процедуры лечения ссылка выше.

о каком или чьем пиаре вы здесь говорите? если ДрВеб, то говорить, что ДрВеб только клепает детекты и пишет статьи - это будет неверно. Хотя лечения корректного для модифицированного rpcss.dll пока нет. Если о ESET, то в данной статье речь идет вообще то не о ESET, а об uVS, с помощью которого хелперами и была зафиксирована проблема с модифицированным rpcss, а далее, уже пошли сигналы в вирлабы, поскольку реакции со стороны основных вирлабов (хотя бы в виде детекта) на тот момент не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

22.06.2013

Благодаря применению программы uVS Выявлена новая угроза:

Agent.exe - Win32/Spy.Banker.ZNX trojan ( Eset )

Особая благодарность: Santy; Angel-iz-Ada

Вирус нацелен на работу с Банковскими системами.

_Клиент-Банк_

Внимание: Программа ibank - может быль легально установлена в системе !

Файл: agent.exe имеет цифровую подпись.

Детальная информация:

Полное имя Х:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE

Имя файла AGENT.EXE

Тек. статус _ПРОВЕРЕННЫЙ_ в автозапуске

Сохраненная информация на момент создания образа

Статус ПРОВЕРЕННЫЙ в автозапуске

File_Id 51C2CCB4D2000

Linker 10.0

Размер 850264 байт

Создан 20.06.2013 в 22:34:26

Изменен 20.06.2013 в 22:34:26

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Действительна, подписано IdentityMine Inc

Оригинальное имя a

Версия файла 1.0.0.1

Описание TODO: <Описание файла>

Производитель TODO: <Название компании>

Доп. информация на момент обновления списка

SHA1 899E37EE56147A82B369A9D76E2405CB40C2CCA8

MD5 7A2B7A536D8019E5DE658199E5C2F55F

Ссылки на объект

Ссылка HKLM\vdnljpfcx\Software\Microsoft\Windows\CurrentVersion\Run\bifit_agent

bifit_agent C:\Users\User\AppData\Roaming\iBank2\agent.exe

Проверка на V.T.:

https://www.virustotal.com/ru/file/3ea5a9e0...c8e17/analysis/

Способы обнаружения:

1) Цифровая подпись: подписано IdentityMine Inc

2) Время создания папки\файла*.

* Время не соответствует дате установки программы.

3) Каталог : Х:\USERS\USER\APPDATA\ROAMING\IBANK2\

Содержит файл: ****cfg = IP 198.100.144.39 ( Канада ) > bifit_a.cfg

https://www.nic.ru/whois/?query=198.100.144.39

4) Обратить особое внимание на наличие/отсутствие в системе Java™ < 6 >

Доп.инфо.:

IdentityMine Inc., является партнером корпорации Microsoft работает с технологиями, такими как Windows Presentation Foundation и Silverlight, Pixelsense - региональная модель, Windows 8, Windows Phone и UX. Базируется в Цюрихе, Швейцария.

Для самостоятельного изучения: http://forum.esetnod32.ru/forum6/topic9659/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Также: Файл Agent.exe может иметь цифровую подпись

«Accurate CNC, Inc.». Данный сертификат уже был отозван поставщиком – «GlobalSign CodeSigning CA – G2».

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, здесь фильтр по дате хорошо помог, + конечно инфо об объекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

вот только хотел про это сказать, что фильтр по дате часто самый быстрый путь к счастью :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
santy

вот только хотел про это сказать, что фильтр по дате часто самый быстрый путь к счастью :)

угу, по журналу угроз сверили, что начало угроз совпадает со временем создания данного файла, плюс проверка по VT - Comodo в единственном числе засигналил, да и цифровая подозрительно неизвестная +

еще вопрос:

что означают эти поля в описании объекта, почему они не заполнены?

Описание TODO: <Описание файла>

Производитель TODO: <Название компании>

довольно часто бывает такая картинка, и не обязательно со зловредами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Подняли инфо.

Про зверюку: http://forum.esetnod32.ru/messages/forum6/...3/#message69133

Как оказалось A.V. компании не ловят мышей. ( за редким исключением )

Зверюка как минимум с Января норы роет ! :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×