Очистка пользовательских временных каталогов

[Евгений Красильников 0]

Здравствуйте, запускаю на удаленных машинках. пункт меню "дополнительно-> очистить корзину и каталогИ профилей пользователей от временных файлов" чистит %windir%\temp корзину... а вот %temp%ы и tempory internet всех профилей не чиcтит, .

По идее должен чистить темпы текущего профиля, под которым запустился UVS. А возможно ли чтобы на удаленных машинах чистил %temp% и temp internet всех профилей?

[demkd 603]

вообще говоря должны вычищаться временные каталоги всех пользователей, надо посмотреть в логе сколько профилей пользователей загружено сравнить с реальным и собственно какие каталоги прописаны в качестве временных для конкретных пользователей.

[Евгений Красильников 0]

по логу, он (UVS) даже не пытается чистить профили пользователей...

--------------------------------------------------------

S:\FTP\FREE\ANTIVIR\UVS_V375\SHA\MAIN

Загружено хэшей проверенных файлов: 657794

--------------------------------------------------------

2012.09.14 12:29

2012.09.14 08:29 (UTC)

--------------------------------------------------------

SeDebug привилегии получены

SeRestore привилегии получены

SeBackup привилегии получены

SeShutdown привилегии получены

SeTakeOwnership привилегии получены

SeLoadDriver привилегии получены

SeManageVolume привилегии получены

SeSecurity привилегии получены

SeTcb привилегии получены

SeImpersonate привилегии получены

SeAssignPrimaryToken привилегии получены

SeCreateTokenPrivilege привилегии получены

SeIncreaseQuotaPrivilege привилегии получены

--------------------------------------------------------

Сигнатур в базе: 0

Загружено поисковых критериев: 0

--------------------------------------------------------

uVS v3.75: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

Свободно физической памяти 138Mb из 502Mb

Свободно на системном диске: 20,2GB

Boot: Normal

--------------------------------------------------------

Internet Explorer v8.0.6001.18702

--------------------------------------------------------

Текущий пользователь: WSR\xxx-xxxxxxxx

uVS запущен под пользователем: NT AUTHORITY\SYSTEM

Имя компьютера: XXXXXXXXXXX

--------------------------------------------------------

HOSTS:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

127.0.0.1 localhost

10.132.68.73 cumr03c.cumr03.wsr.mps

10.132.68.74 cumr03d.cumr03.wsr.mps

10.132.68.75 cumr03e.cumr03.wsr.mps

10.132.69.40 cumr03www.cumr03.wsr.mps

10.132.68.70 cumr03db.cumr03.wsr.mps

10.132.68.80 cumr03dbs.cumr03.wsr.mps

10.132.68.78 cumr03mon.cumr03.wsr.mps

10.132.68.79 cumr03mq.cumr03.wsr.mps

Всего: 9

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Удаление всех файлов из каталога: C:\RECYCLER

Удалено файлов: 5 из 5

Удаление всех файлов из каталога: C:\WINDOWS\TEMP

Удалено файлов: 0 из 3

Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS

Удалено файлов: 0 из 0

Очистка завершена

Похоже просто надо читать ФАК ))

bAllProfiles = 1 (0 по умолчанию)

bAllProfiles = 1

не помогло, так же не берет он профили

[santy 151]

а в самом образе загружены профили других пользователей?

[Евгений Красильников 0]

а в самом образе загружены профили других пользователей?

Это как проверить и где посмотреть?

[santy 151]

во первых можно посмотреть категорию ВСЕ

и в логе

Текущий пользователь: User-ПК\User

uVS запущен под пользователем: User-ПК\User

Имя компьютера: USER-ПК

--------------------------------------------------------

HOSTS:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Всего: 0

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Загружено реестров пользователей: 2

Построение списка процессов и модулей...

Анализ автозапуска...

[Евгений Красильников 0]

во первых можно посмотреть категорию ВСЕ

и в логе

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Запускаю start.exe, Выбираю удаленный компьютер, запускаю под текущим пользователем(под localsystem не активно)

и получаю лог который выше.

[demkd 603]

Евгений Красильников

Сперва таки нужно загрузить список файлов, т.е. хотя бы раз нажать F5 потом уже пользоваться функциями очистки или настроить его автозагрузку в ini файле.

Профили грузятся только при первом обновлении списка файлов.

[Евгений Красильников 0]

Как видно в моем логе вообще нет попыток загрузить профили пользователей.

"посмотреть категорию ВСЕ" где это смотреть?

Запускаю start.exe, Выбираю удаленный компьютер, запускаю под текущим пользователем(под localsystem не активно)

и получаю лог который выше.

Нашел, профили он ищет только после нажатия на кнопку обновить список, а хосты просматривает до .

Вопрос, возможно ли загрузка списка профилей, до нажатия на кнопку обновить спсиок?

[demkd 603]

Вопрос, возможно ли загрузка списка профилей, до нажатия на кнопку обновить спсиок?

нет.

[spw 190]

вообще говоря должны вычищаться временные каталоги всех пользователей, надо посмотреть в логе сколько профилей пользователей загружено сравнить с реальным и собственно какие каталоги прописаны в качестве временных для конкретных пользователей.

Работает ли это корректно с:

- терминальными сессиями

- пользователями доменов

- и то, и другое вместе

____

Почти "Итальянская забастовка". Я добрый, отзывчивый, культурный, все строго по правилам. Прошу обращаться на ВЫ

[demkd 603]

Работает ли это корректно с:

- терминальными сессиями

не проверял, но скорее всего все будет зачищено правильно, может какие-то верменные каталоги ts и останутся без внимания.

- пользователями доменов

если профиль дом. пользователя расположен на лок. машине то да, а если реестр лежит в сети то все зависит от пользователя под которым был запушен uVS.

В любом случае лишнего ничего не удалится.

[PR55.RP55 82]

Хорошая тема...

Очистка гхм... Значит пишу сюда.

Благодаря применению программы Выявлена новая угроза.

Распространение угрозы приняло массовый характер.

Требование: $ < > & < > SMS

Блокировка соц.сетей & почты = пере-адресация.

Задействована: RPCSS.DLL

Distributed COM Services - Microsoft Corporation

Автозапуск > SAFE_MODE_SVCHOST

Метод: Модификация.

Создан - Изменён - Данные = маскировка = нет соответствия текущей дате.

Проверка на сервисе: VirusTotal - Файл НЕ определяется как угроза*.

* Особое внимание следует обратить на время первой и крайней проверки.

Есть/Нет SHA1 на V.T.

Цифр.Подпись: Отсутствует.

Файла нет в базе проверенных ( uVS )

Типичная форма запроса со стороны пользователя: " Не пускает в соц сети и почту. Требует СМС "

Решение: Замещение файла с Live СD

Для : Win XP > Если версия dll меньше 5755, поможет установка хотфикса: WindowsXP-KB956572-x86-RUS.exe

http://www.microsoft.com/ru-ru/download/de...s.aspx?id=15124

Соответственно файл будет замещён новой версией. + ( restart )

Вероятное распространение угрозы: phishing - сайт > уязвимость и т.д...

Описание службы:

oszone.net/2590

pssystem.ru/3/Index9.htm

Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

Особая благодарность: Vvvyg; Santy; zloyDi

На данный момент проблема изучается специалистами компании ESET

На данный момент нет антивирусов/компаний которые способны автоматически выявить заражение.

Проблема решается на форумах: pchelpforum.ru & esetnod32.ru; virusinfo.info.

Для замещения:

rpcss.dll Win7x64

http://rghost.ru/44939613

Win XP SP3 x 86

5.1.2600.5755

http://rghost.ru/44939911

http://rghost.ru/44943440

5.1.2600.5512 (xpsp.080413-2108) - sp3

Win7x86

6.1.7601.17514

http://rghost.ru/44940107

Win8 x64

http://rghost.ru/44940449

Vista SP2 x86

http://rghost.ru/44942394

Критерий поиска от RP55: (ССЫЛКА ~ \SERVICES\)(1) AND (ПОЛНОЕ ИМЯ ~ .DLL)(1) AND ( ~ АВТО)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Пример заражения см.в теме.

[Vvvyg 12]

не проверял, но скорее всего все будет зачищено правильно, может какие-то верменные каталоги ts и останутся без внимания.

========= вырезано цензурой ============

В любом случае лишнего ничего не удалится.

Хм, набрёл сюда по ссылке относительно RPCSS.DLL (спасибо оффтопику от PR55.RP55 )

В терминальном режиме на Windows 2008 Server путь к каталогам временных файлов имеет такой вид:

TEMP=C:\Users\B22E~1\AppData\Local\Temp\2TMP=C:\Users\B22E~1\AppData\Local\Temp\2

Т. е. стандартный юзерский темп + цифирьная папка. Причём разная, может быть и 24, закономерности не заметил, а мануала в один проход не нашёл. Естественно, deltmp в такой системе убивает пользовательские каталоги временных файлов и делает невозможным запуск многих программ. Проверено, так сказать, на себе

[PR55.RP55 82]

Drweb 11 апреля 2013 года пишет:

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll

news.drweb.com/show/?i=3447&lng=ru&c=14

Trojan.Zekos

Добавлен в вирусную базу Dr.Web: 2013-04-09

Примазались !

Откырыли америку.

[alamor 69]

Примазались !

Откырыли америку.

интересно кто к кому примазался. Если ни один из них до сих пор нормально лечить не умеет и нагибает систему.

http://yandex.ru/yandsearch?clid=9582&...BD&lr=10277

по первой ссылке зелёный доктор, по 3-й и 10-й Nod. Если поискать то можно найти ещё подобные темы.

[PR55.RP55 82]

Alamor

Под "Примазались" я понимаю это:

PR55.RP55 от 01.04.2013 пишет: Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

Подробно здесь: chklst.ru/forum/discussion/103/win32patched-ib#Item_1

[alamor 69]

Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum

если у вирлаба Nod вся надежда, кто кто-то из пользователей UVs найдёт и пришлёт им новый вирус, то мне искренне их жаль. По поводу обзора это похоже всё что они умеют писать статьи с пиаром и клепать детекты, насчёт процедуры лечения ссылка выше.

[santy 151]

если у вирлаба Nod вся надежда, кто кто-то из пользователей UVs найдёт и пришлёт им новый вирус, то мне искренне их жаль.

alamor, все вирлабы занимаются сбором новых вирусов с помощью пользователей. Вот ЛК, например, использует полуавтоматический сервис на ВирусИнфо для сбора карантина. в обмен на помощь в анализе карантина.

По поводу обзора это похоже всё что они умеют писать статьи с пиаром и клепать детекты, насчёт процедуры лечения ссылка выше.

о каком или чьем пиаре вы здесь говорите? если ДрВеб, то говорить, что ДрВеб только клепает детекты и пишет статьи - это будет неверно. Хотя лечения корректного для модифицированного rpcss.dll пока нет. Если о ESET, то в данной статье речь идет вообще то не о ESET, а об uVS, с помощью которого хелперами и была зафиксирована проблема с модифицированным rpcss, а далее, уже пошли сигналы в вирлабы, поскольку реакции со стороны основных вирлабов (хотя бы в виде детекта) на тот момент не было.

[PR55.RP55 82]

22.06.2013

Благодаря применению программы uVS Выявлена новая угроза:

Agent.exe - Win32/Spy.Banker.ZNX trojan ( Eset )

Особая благодарность: Santy; Angel-iz-Ada

Вирус нацелен на работу с Банковскими системами.

_Клиент-Банк_

Внимание: Программа ibank - может быль легально установлена в системе !

Файл: agent.exe имеет цифровую подпись.

Детальная информация:

Полное имя Х:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE

Имя файла AGENT.EXE

Тек. статус _ПРОВЕРЕННЫЙ_ в автозапуске

Сохраненная информация на момент создания образа

Статус ПРОВЕРЕННЫЙ в автозапуске

File_Id 51C2CCB4D2000

Linker 10.0

Размер 850264 байт

Создан 20.06.2013 в 22:34:26

Изменен 20.06.2013 в 22:34:26

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Действительна, подписано IdentityMine Inc

Оригинальное имя a

Версия файла 1.0.0.1

Описание TODO: <Описание файла>

Производитель TODO: <Название компании>

Доп. информация на момент обновления списка

SHA1 899E37EE56147A82B369A9D76E2405CB40C2CCA8

MD5 7A2B7A536D8019E5DE658199E5C2F55F

Ссылки на объект

Ссылка HKLM\vdnljpfcx\Software\Microsoft\Windows\CurrentVersion\Run\bifit_agent

bifit_agent C:\Users\User\AppData\Roaming\iBank2\agent.exe

Проверка на V.T.:

https://www.virustotal.com/ru/file/3ea5a9e0...c8e17/analysis/

Способы обнаружения:

1) Цифровая подпись: подписано IdentityMine Inc

2) Время создания папки\файла*.

* Время не соответствует дате установки программы.

3) Каталог : Х:\USERS\USER\APPDATA\ROAMING\IBANK2\

Содержит файл: ****cfg = IP 198.100.144.39 ( Канада ) > bifit_a.cfg

https://www.nic.ru/whois/?query=198.100.144.39

4) Обратить особое внимание на наличие/отсутствие в системе Java™ < 6 >

Доп.инфо.:

IdentityMine Inc., является партнером корпорации Microsoft работает с технологиями, такими как Windows Presentation Foundation и Silverlight, Pixelsense - региональная модель, Windows 8, Windows Phone и UX. Базируется в Цюрихе, Швейцария.

Для самостоятельного изучения: http://forum.esetnod32.ru/forum6/topic9659/

[PR55.RP55 82]

Также: Файл Agent.exe может иметь цифровую подпись

«Accurate CNC, Inc.». Данный сертификат уже был отозван поставщиком – «GlobalSign CodeSigning CA – G2».

[santy 151]

demkd, здесь фильтр по дате хорошо помог, + конечно инфо об объекте.

[demkd 603]

santy

вот только хотел про это сказать, что фильтр по дате часто самый быстрый путь к счастью

[santy 151]

santy

вот только хотел про это сказать, что фильтр по дате часто самый быстрый путь к счастью

угу, по журналу угроз сверили, что начало угроз совпадает со временем создания данного файла, плюс проверка по VT - Comodo в единственном числе засигналил, да и цифровая подозрительно неизвестная +

еще вопрос:

что означают эти поля в описании объекта, почему они не заполнены?

Описание TODO: <Описание файла>

Производитель TODO: <Название компании>

довольно часто бывает такая картинка, и не обязательно со зловредами.

[PR55.RP55 82]

Подняли инфо.

Про зверюку: http://forum.esetnod32.ru/messages/forum6/...3/#message69133

Как оказалось A.V. компании не ловят мышей. ( за редким исключением )

Зверюка как минимум с Января норы роет !