許可が拒否されたとき、GWXは自分自身をどのようにインストールしましたか? -- windows-7 フィールド と windows フィールド と windows-8 フィールド と permissions フィールド と malware フィールド Linuxアプリケーション 関連 問題

How did GWX install itself when it was denied permission?


1
vote

問題

日本語

これは、ナレッジベース/ KB番号に基づくパッチをブラックリストにどのようにしていますか?と TrustedInstallerの拒否ACEを追加するには?

Get Windows Xマルウェアが2つのWindows 7マシンとWindows 8マシンで(再度)返されました。私は以前にそれを5回又はそれを(マシンあたり)削除しました。最後の取り外しの後、フォルダをインストールしてからインストールしてから ACE ACE <コード> SYSTEM <コード> TrustedInstaller 。 Microsofのドキュメントによると、これはインストールと実行から停止したはずです。

アクセスが拒否されたことを考慮したマルウェアのインストール方法はどうでしたか?


これは絶対に素晴らしいです...マシンは約6週間オフになっていたので、私は2つの更新/再起動サイクルを実行しなければなりませんでした。フォルダへのアクセスが拒否されていても、マルウェアが1日に2回インストールされました。

2番目の更新/再起動サイクルは、<a href="http://www.microsoft.com/ja.us/download/details.aspx?id=49948" REL="NOFOLLOW NOREFERRER内</a>。 Windowsで問題を解決することを主張しています - それはマーケティング名声またはマルウェアを述べません。

英語

This is related to How does one Blacklist a patch based on Knowledge Based/KB number? and How to add a Deny ACE for TrustedInstaller?.

The Get Windows X malware has returned (again) on two Windows 7 machines and Windows 8 machine. I have previously removed it 5 times or so (per machine). After the last removal and I pre-created the folder it installs itself into and then placed a DENY ACE for both SYSTEM and TrustedInstaller. According to Microsof's documentation, this should have stopped it from installing and executing.

How did the malware install itself given it was denied access?


This is absolutely amazing... The machine was off for about 6 weeks, so I had to perform two update/reboot cycles. The malware installed itself twice in one day even though it is denied access to the folder!

The second update/reboot cycle was for KB3102429. Notice it claims to resolve issues in Windows - it does not state its marketing nagware or malware.

              
         
         

回答リスト

3
 
vote

SYSTEM アカウントには <コード> SeRestorePrivilege 。 (オブジェクトのプロパティの[セキュリティ]タブを使用してACLの昇格者がACLを吹き込む方法のような種類のようなものです。)これらの電源は、グループポリシーの更新の SYSTEM によっても使用できます。

脇に、あなたの痛みの原因となるアップデートは実際に<a href="https://support.microsoft.com/ja)です。 。 Update KBの記事は常に更新されたファイルのテーブルを持つので、Google for <code> site:support.microsoft.com を検索することで、特定のファイルに対して特定のファイルに対して責任があるかを識別できます。

 

The SYSTEM account has SeRestorePrivilege, which grants it the right to write to the data or ACL of any securable object. (Kind of like how elevated administrators can blow through ACLs using the Security tab of the object's Properties.) These powers can also be used by the SYSTEM in Group Policy refreshes.

As an aside, the update responsible for your pain is actually KB3035583. You can try to identify which update is responsible for a certain file by searching Google for site:support.microsoft.com followed by the file name, since update KB articles always have tables of updated files.

 
 
     
     
0
 
vote

推奨されているアップデートKB3035583を隠すことの成功がたくさん(今日まで)しました。何らかの理由で、Windows Updateがに指定されたのインストール「推奨アップデート」を週末にインストールし、それを隠してそれをインストールしているように見えます。卑劣な " @%&amp; #の ちなみに、それは推奨された更新のリストの中にはありませんでした!

編集 それは今「重要なアップデート」のようです、そしてお勧めできません!!!! Ubuntuは私を救う!!!!

 

I've had a lot of success (until today) of hiding the recommended update KB3035583. For some reason I allowed windows update to some specified install "recommended updates" at the weekend and it appears to have unhidden itself and installed it anyway! Sneaky "@%&#'s By the way, it wasn't in the list of recommended updates either!

EDIT It seems to be an "Important Update" now and not recommended!!!! Lord Ubuntu save me!!!!

 
 

関連する質問

30  rootやsudoなしのLinuxキーロガ!それは本物ですか?  ( Linux keylogger without root or sudo is it real ) 
YouTubeの誰かがUbuntuのキーロガーを持つと主張していて、rootとして実行されてもインストールされていないと主張しています。下のリンクは、その作業のデモを示しています。 http://www.youtube.com/watch?v=y1fza...

0  不審なウェブサイトの動作 - しかし、ウイルスは見つかりませんでした  ( Suspicious website behavior but no virus found ) 
Microsoft Security Essentialsが実行されているWindows 7(64)PCがあり、最新のものがあります。私は私が以前に広告を埋め込んだ特定のウェブサイトをロードするとき、今すぐ彼らがすることが最近見つけました。即ち私はウェブサイ...

459  Malious Spyware、Malware、Adware、ウイルス、トロイの木馬やルートキットをPCから削除するにはどうすればよいですか。  ( How can i remove malicious spyware malware adware viruses trojans or rootkit ) 
私のWindowsコンピュータがウイルスやマルウェアに感染しているように見える場合はどうすればよいですか? 感染の症状は何ですか? 感染症に気づいたらどうすればいいですか? それを取り除くために何ができる? マルウェアによる感染からの防止方法? この質問...

0  Windowsは応答しませんが、セーフモードでうまく機能します  ( Windows is unresponsive but works well in safe mode ) 
Windows 7を実行しているラップトップが応答を停止したときに、いくつかのユーティリティアプリやものをインストールしていました。私は再起動していないとまだ答えません...マウスが動いていますが、アイコンをクリックすることもスタートメニューを開くことができ...

1  ブラウザのデフォルトのホームページを変更できません  ( Unable to change browsers default home page ) 
QVODプレーヤーをインストールした後、私のIEのホームページは次のように設定されました: <コード> http://www.hao123.com/?tn=97473572_hao_pg IEの設定によりホームページを設定しようとしましたが、<コード...

0  マルウェア感染を試みた、組み込みリンク付きファイル  ( Attempted malware infection file with embedded link ) 
誰かが.odtテキストファイルの添付ファイルを含むファイルを電子メールで送った。 OpenOfficeでファイルを開くと、テキストはすべて似ています。 それはハイパーリンクのように見えますが、より微妙な色はテキストとほぼ同じです。 だから私はまだファイルを持...

2  Windows XP SP3上のスタートメニュープログラムを見つかりません  ( Missing start menu programs on windows xp sp3 ) 
C:Windows XP SP3マシンにC:ドライブ全体を隠すマルウェアを削除しました。 ブリーピングコンピュータからそれを掃除してunhide.exeを実行した後、私はスタートメニューのすべてのプログラムが見つからなかったことに気づいた。たとえば、Star...

1  マルウェアが隠れる可能性がある一般的なスポット? [閉まっている]  ( Common spots where malware could hide in ) 
現在立つにつれて、この質問は私たちのQ&AMPにとって良いフィットではありません。フォーマット。私たちは事実、参考文献、または専門知識によって支持されることを期待していますが、この質問は...

5  私がブロックするべき最も一般的な危険なドメインは何ですか?  ( What are the most common dangerous domains that i should block ) 
プライバシー、セキュリティ、および帯域幅豚の潜在的に危険なドメインをブロックするように私のワイヤレスルーターを設定しようとしています。ルータレベルでブロックできるドメインのリストはありますか?マシンレベルでは、hostsファイルをwww.mvps.orgから設...

1  インターネットは私のコンピュータからlavasofttcpservice.dllを削除した後に機能するのをやめます  ( Internet stops working after removing lavasofttcpservice dll from my computer ) 
数日前私は "Lavasoft WebCompanion"という名前の私のコンピュータの新しいソフトウェアに気づいた。私はそれが来たところからわかりません。 Lavasoftから何もインストールしたことがない。そのため、プログラムをアンインストールします。 ...

16  疑わしいメールを安全に開くにはどうすればよいですか。  ( How can i safely open a suspicious email ) 
私が非常に疑わしい電子メールを受け取ると仮定してくださいが、私は100%確実ではありません。良いスパムフィルタでWebメール(Gmailなど)の形式を使用しているとしますが、このメッセージは安全にそれを作りました。 明らかに私は添付ファイルを開くべきではありま...

2  特定の実行可能ファイルのネットワークログ履歴(この場合はマルウェア)のネットワークログ履歴を見ることができますか  ( How can i see network log history of a specific executable malware in this case ) 
私のWindows 10 PCが qorigjsr.exe Malwareに感染していることを検出しました。私が私のPCに私のより少ないコンピュータSavvyの友人USBを注射した後、それがかなり確信してください。タスクマネージャで「アプリ履歴」をチェックし...

1  Windowsに証明書をインストールしようとしたプログラムを識別します  ( Identifying program attempting to install certificate on windows ) 
私はWindowsを使って友達を手助けしようとしています(どんな手段でも専門家ではない)マルウェアのような動作を経験しているのです。ダイアログボックスが繰り返し読み上げている 表現を表す証明機関(CA)から証明書をインストールしようとしています。 CE_U...

29  JavaScriptの難読化とは何ですか?なぜそれが脅威なのですか?  ( What is javascript obfuscation and why is it a threat ) 
AVGは最近、Webページが JavaScriptの難読化のためにブロックされたことを私に言っていました。 なぜウェブページがブロックされていたのか、それはどういう意味ですか? ...

103  ホームユーザーにWindows PCの弾丸を証明するにはどうすればよいですか。 [閉まっている]  ( How can i make a windows pc bullet proof for home users ) 
現在立つにつれて、この質問は私たちのQ&AMPにとって良いフィットではありません。フォーマット。私たちは事実、参考文献、または専門知識によって支持されることを期待していますが、この質問は...

1  私のFirefoxのステータスバーに文脈広告がありますか? (可能なアドウェア?)  ( On my firefox status bar a contextual ad possible adware ) 
それは何ですか?どうやってそれを手に入れましたか?私はスパイウェア/マルウェアであり、私はそれを取り除くべきです。 ...

0  コンピュータがシティに感染しているかどうかを検出する方法[重複]  ( How to detect if computer is infected with sality ) 
この質問はすでにここで回答を持っています 悪意のあるスパイウェア、マルウェア、アドウェアを削除する方法、ウイルス、トロイの木馬、または私のPCからのルートキット? (19回...

1  Forensics - VMware PlayerまたはVirtualBoxを使用して、ホストOS(Win7 64)からゲストOS(WinXP)とファイルをスキャンする(Win7 64)  ( Forensics scan guest os winxp and files from host os win7 64 using vmware ) 
ウイルスに感染したWindows XPラップトップを持っています。ウイルスは除去されましたが、ネットワーク接続がジャッキされました。私はUSBキーからUbuntuを起動してシステムとネットワーク間でファイルを移動します。私はまた、Windows 7 64ビット...

1  1unhooker.sysとは何ですか?  ( What is 1unhooker sys ) 
私は以前の質問に述べたように私の問題に対する解決策を検索しています( Windows 7が起動するたびにUACがオフになっている(1日に1回))。今日、Spyhunterというプログラムが私のコンピュータ上の不明なオブジェクトを見つけました。ファイルの名前は ...

0  システムドライバとして設定するマルウェアの削除  ( Removing a malware that sets up as a system driver ) 
私は最近、いくつかの深刻なマルウェアを持っている私の母のコンピュータを修正しようとしました。 そのうちの1つはシステムドライバ(<コード> tjbijkoq.sys が役立つ場合)として、そしてマルウェアの抑制ツールを実行した後、コンピュータは起動しない、 "...

2  私のスタートアップの未知のアイテム(sshnas21.dll)  ( Unknown item in my startup sshnas21 dll ) 
MSCONFIGでの私のスタートアップに未知のアイテムを持っていることに気付いた コマンドはです <事前> <コード> rundll32.exe C:Windowssystem32sshnas21.dll,GetMainWnd これは何ですか? ...

20  私はLinuxでマルウェアを心配する必要がありますか? [閉まっている]  ( Should i worry about malware on linux ) 
現在立つにつれて、この質問は私たちのQ&AMPにとって良いフィットではありません。フォーマット。私たちは事実、参考文献、または専門知識によって支持されることを期待していますが、この質問は...

1  Windows 10 - タスクマネージャーは、ディスクが100%の使用法にあると述べています  ( Windows 10 task manager says disk is at 100 usage ) 
OS:Windows 10(プレインストール) RAM:8GB 貯蔵:500GB遊離 プロセッサ:I5 ディスクの種類:ハードドライブ 私は今1年以上窓10を持っていて、それは大丈夫でした(約6ヶ月前の汚職のある部分)。 しかし昨日、私はWindows...

18  100%になる方法USBドライブが改ざんされておらず、マルウェアがないか。 [重複]  ( How to be 100 certain a usb drive has not been tampered with and has no malware ) 
この質問はすでにここで回答を持っています どうやって安全に仕事で駐車場にあるUSBスティックを調査しますか? (7回答) ...

1  セキュリティが起動しない[重複]  ( Security essentials not starting ) 
この質問はすでにここで回答を持っています 閉じる 8年前> 可能な重複: コンピュータが感染していますウイルスやマルウェア、今何をしますか? IEを使用してサイトに移動しようとすると、私は常に一見ランダムなインターネットサイ...

関連する質問

30  rootやsudoなしのLinuxキーロガ!それは本物ですか? 
0  不審なウェブサイトの動作 - しかし、ウイルスは見つかりませんでした 
459  Malious Spyware、Malware、Adware、ウイルス、トロイの木馬やルートキットをPCから削除するにはどうすればよいですか。 
0  Windowsは応答しませんが、セーフモードでうまく機能します 
1  ブラウザのデフォルトのホームページを変更できません 
0  マルウェア感染を試みた、組み込みリンク付きファイル 
2  Windows XP SP3上のスタートメニュープログラムを見つかりません 
1  マルウェアが隠れる可能性がある一般的なスポット? [閉まっている] 
5  私がブロックするべき最も一般的な危険なドメインは何ですか? 
1  インターネットは私のコンピュータからlavasofttcpservice.dllを削除した後に機能するのをやめます 
16  疑わしいメールを安全に開くにはどうすればよいですか。 
2  特定の実行可能ファイルのネットワークログ履歴(この場合はマルウェア)のネットワークログ履歴を見ることができますか 
1  Windowsに証明書をインストールしようとしたプログラムを識別します 
29  JavaScriptの難読化とは何ですか?なぜそれが脅威なのですか? 
103  ホームユーザーにWindows PCの弾丸を証明するにはどうすればよいですか。 [閉まっている] 
1  私のFirefoxのステータスバーに文脈広告がありますか? (可能なアドウェア?) 
0  コンピュータがシティに感染しているかどうかを検出する方法[重複] 
1  Forensics - VMware PlayerまたはVirtualBoxを使用して、ホストOS(Win7 64)からゲストOS(WinXP)とファイルをスキャンする(Win7 64) 
1  1unhooker.sysとは何ですか? 
0  システムドライバとして設定するマルウェアの削除 
2  私のスタートアップの未知のアイテム(sshnas21.dll) 
20  私はLinuxでマルウェアを心配する必要がありますか? [閉まっている] 
1  Windows 10 - タスクマネージャーは、ディスクが100%の使用法にあると述べています 
18  100%になる方法USBドライブが改ざんされておらず、マルウェアがないか。 [重複] 
1  セキュリティが起動しない[重複]