Странные файлы в папке Temp

[Курпатов]

Каждый раз при включении компа, касперский обращает внимание на файл .tmp в папке C:\Windows\Temp

Захожу папку, там таких файлов нет. Включаю отображение системных и скрытых файлов - нет таких.

Есть кое-что общее, название файлов всегда начинается на UDD и расширение .tmp
UDD40C.tmp     UDD5B79.tmp    и тому подобное. 

Если я указываю касперскому устранить проблему, при следующем включении касперский найдет следующий файл. Если не указываю, то файлов будет уже 2.

Что это, и как поправить?

[andrew75]

А можно скинуть куда-нибудь один из таких файлов и дать ссылку?

Лучше в запароленном архиве.

[Курпатов]

Так в том то и дело что я не могу обнаружить в папке эти файлы.

[andrew75]

Какая-то программа их создает при запуске и потом удаляет, судя по всему.

Есть предположение что что-то типа goodbye dpi или ей подобное.

https://forum.kaspersky.com/topic/антивирус-спамит-подозрительными-угрозами-за-пару-недель-до-окончания-периода-подписки-52424/

 

[kmscom]

какойто ускоритель ютуба или разблокировщик дискорда используете?

[Friend]

  On 11/26/2024 at 12:29 PM, andrew75 said:

Какая-то программа их создает при запуске и потом удаляет, судя по всему.

Expand  

Наверное, тоже самое что и здесь:

[andrew75]

  On 11/26/2024 at 2:16 PM, Friend said:

Наверное, тоже самое что и здесь

Expand  

так я и дал эту ссылку )

[Курпатов]

Использую "Zapret"
goodbye dpi не использую.

[AlexeyK]

  On 11/26/2024 at 4:08 PM, Курпатов said:

Использую "Zapret"

Expand  

Получилось поймать эти файлы в папке Temp (скрин). Это все один и тот же файл драйвера WinDivert64.sys, у всех файлов одинаковый хеш. Можно добавить исключение, как описано, к примеру, здесь.

  Reveal hidden contents

 

[andrew75]

  On 11/26/2024 at 4:55 PM, AlexeyK said:

Это все один и тот же файл драйвера WinDivert64.sys

Expand  

Как и предполагалось.

  On 11/26/2024 at 4:55 PM, AlexeyK said:

Можно добавить исключение, как описано, к примеру, здесь.

Expand  

да, товарищ раньше нас сообразил )

  On 11/26/2024 at 4:55 PM, AlexeyK said:

Это все один и тот же файл драйвера WinDivert64.sys

Expand  

я так понимаю это так работает если он запущен как сервис. Потому что если запускать например goodbye dpi из командного файла, то такого не наблюдается.

[AlexeyK]

  On 11/26/2024 at 6:45 PM, andrew75 said:

товарищ раньше нас сообразил

Expand  

У него на скрине две программы, не было понятно, какую из них подробнее изучать.) Никто не мог толком и подробно сообщить, как воспроизвести, или хоть приложить скрин с хешем - было бы давно понятно.

  On 11/26/2024 at 6:45 PM, andrew75 said:

если он запущен как сервис

Expand  

Я не знаю точных условий воспроизведения, запускал разные файлы (в том числе установку и запуск службы) и перезагружал ОС - вот после этого и получилось их поймать. Вернее не их, а детекты, их самих я все равно не видел - быстро удаляются, наверное.

Кстати, можно еще сделать исключение путем добавления хеша SHA256, при этом остальные поля оставить пустыми. Тогда реакции не будет нигде, можно запускать файл откуда угодно или хранить где угодно. А то мало ли где он еще пожелает запуститься или куда скопироваться.) Но это кому как удобнее.

Edited November 26, 2024 by AlexeyK

[AlexeyK]

  On 11/26/2024 at 6:45 PM, andrew75 said:

goodbye dpi

Expand  

Это не та программа, а "zapret-discord-youtube", с ней воспроизвелось.

[MrPlap]

  On 11/26/2024 at 7:41 PM, AlexeyK said:

goodbye dpi

Expand  

насколько я знаю, в goodbyedpi и в zapret используются разные версии драйвера WinDivert, потому и реакция может быть разной.

[AlexeyK]

  On 11/27/2024 at 8:24 AM, MrPlap said:

в goodbyedpi и в zapret используются разные версии драйвера WinDivert

Expand  

Это смотря какая версия goodbyedpi, если стабильная 0.2.2, то там старая версия, а те, которые RC - там такой же файл.

  On 11/27/2024 at 8:16 AM, MrPlap said:

При запуске этого драйвера создаётся такой файл, на который антивирус реагирует.

Expand  

Это тот же самый файл драйвера, только с другим именем.

Короче говоря, добавили в ЛК со своим детектом проблем пользователям подобных программ, вон сколько исключений приходится придумывать. Зачем это сделано - непонятно.

[Friend]

  On 11/27/2024 at 9:08 AM, AlexeyK said:

Зачем это сделано - непонятно.

Expand  

Запросов у поддержки мало, и нужно же показывать, что продукт работает, иначе подобных тем не было:  ? 

[AlexeyK]

  On 11/27/2024 at 1:46 PM, Friend said:

Запросов у поддержки мало

Expand  

Ну вот и раскрыт тайный замысел детекта.?

  On 11/27/2024 at 1:46 PM, Friend said:

нужно же показывать, что продукт работает

Expand  

Продукт в последнее время и так стал очень "разговорчивым". Беседы начинаются сразу при установке с рекомендации скана, а затем установки плагина в браузер и прочих мелких предложений в главном окне. Потом идут уведомления с предложениями очистки и ускорения, установки дополнительных программ типа менеджера паролей, всякие страшилки с утечками аккаунтов, слабыми паролями в Wi-Fi, уязвимостями ОС, запросы на обновления программ и прочая атака на соображалку пользователя. Ну а по окончании подписки вроде за пару недель ежедневная с обратным отсчетом напоминалка продлиться, абы чего не вышло. Ах да, про магазин в главном окне чуть не забыл. И тут крепко подумали - да еще одну полезную вещицу включили. Вот теперь порядок, полна коробочка. ?