Странные файлы в папке Temp

[Курпатов]

Каждый раз при включении компа, касперский обращает внимание на файл .tmp в папке C:\Windows\Temp

Захожу папку, там таких файлов нет. Включаю отображение системных и скрытых файлов - нет таких.

Есть кое-что общее, название файлов всегда начинается на UDD и расширение .tmp
UDD40C.tmp     UDD5B79.tmp    и тому подобное. 

Если я указываю касперскому устранить проблему, при следующем включении касперский найдет следующий файл. Если не указываю, то файлов будет уже 2.

Что это, и как поправить?

[andrew75]

А можно скинуть куда-нибудь один из таких файлов и дать ссылку?

Лучше в запароленном архиве.

[Курпатов]

Так в том то и дело что я не могу обнаружить в папке эти файлы.

[andrew75]

Какая-то программа их создает при запуске и потом удаляет, судя по всему.

Есть предположение что что-то типа goodbye dpi или ей подобное.

https://forum.kaspersky.com/topic/антивирус-спамит-подозрительными-угрозами-за-пару-недель-до-окончания-периода-подписки-52424/

 

[kmscom]

какойто ускоритель ютуба или разблокировщик дискорда используете?

[Friend]

1 час назад, andrew75 сказал:

Какая-то программа их создает при запуске и потом удаляет, судя по всему.

Наверное, тоже самое что и здесь:

[andrew75]

17 минут назад, Friend сказал:

Наверное, тоже самое что и здесь

так я и дал эту ссылку )

[Курпатов]

Использую "Zapret"
goodbye dpi не использую.

[AlexeyK]

41 минуту назад, Курпатов сказал:

Использую "Zapret"

Получилось поймать эти файлы в папке Temp (скрин). Это все один и тот же файл драйвера WinDivert64.sys, у всех файлов одинаковый хеш. Можно добавить исключение, как описано, к примеру, здесь.

Спойлер

 

[andrew75]

1 час назад, AlexeyK сказал:

Это все один и тот же файл драйвера WinDivert64.sys

Как и предполагалось.

1 час назад, AlexeyK сказал:

Можно добавить исключение, как описано, к примеру, здесь.

да, товарищ раньше нас сообразил )

1 час назад, AlexeyK сказал:

Это все один и тот же файл драйвера WinDivert64.sys

я так понимаю это так работает если он запущен как сервис. Потому что если запускать например goodbye dpi из командного файла, то такого не наблюдается.

[AlexeyK]

44 минуты назад, andrew75 сказал:

товарищ раньше нас сообразил

У него на скрине две программы, не было понятно, какую из них подробнее изучать.) Никто не мог толком и подробно сообщить, как воспроизвести, или хоть приложить скрин с хешем - было бы давно понятно.

44 минуты назад, andrew75 сказал:

если он запущен как сервис

Я не знаю точных условий воспроизведения, запускал разные файлы (в том числе установку и запуск службы) и перезагружал ОС - вот после этого и получилось их поймать. Вернее не их, а детекты, их самих я все равно не видел - быстро удаляются, наверное.

Кстати, можно еще сделать исключение путем добавления хеша SHA256, при этом остальные поля оставить пустыми. Тогда реакции не будет нигде, можно запускать файл откуда угодно или хранить где угодно. А то мало ли где он еще пожелает запуститься или куда скопироваться.) Но это кому как удобнее.

Edited November 26, 2024 by AlexeyK

[AlexeyK]

53 минуты назад, andrew75 сказал:

goodbye dpi

Это не та программа, а "zapret-discord-youtube", с ней воспроизвелось.

[MrPlap]

12 часов назад, AlexeyK сказал:

goodbye dpi

насколько я знаю, в goodbyedpi и в zapret используются разные версии драйвера WinDivert, потому и реакция может быть разной.

[AlexeyK]

33 минуты назад, MrPlap сказал:

в goodbyedpi и в zapret используются разные версии драйвера WinDivert

Это смотря какая версия goodbyedpi, если стабильная 0.2.2, то там старая версия, а те, которые RC - там такой же файл.

48 минут назад, MrPlap сказал:

При запуске этого драйвера создаётся такой файл, на который антивирус реагирует.

Это тот же самый файл драйвера, только с другим именем.

Короче говоря, добавили в ЛК со своим детектом проблем пользователям подобных программ, вон сколько исключений приходится придумывать. Зачем это сделано - непонятно.

[Friend]

4 часа назад, AlexeyK сказал:

Зачем это сделано - непонятно.

Запросов у поддержки мало, и нужно же показывать, что продукт работает, иначе подобных тем не было:  ? 

[AlexeyK]

1 час назад, Friend сказал:

Запросов у поддержки мало

Ну вот и раскрыт тайный замысел детекта.?

1 час назад, Friend сказал:

нужно же показывать, что продукт работает

Продукт в последнее время и так стал очень "разговорчивым". Беседы начинаются сразу при установке с рекомендации скана, а затем установки плагина в браузер и прочих мелких предложений в главном окне. Потом идут уведомления с предложениями очистки и ускорения, установки дополнительных программ типа менеджера паролей, всякие страшилки с утечками аккаунтов, слабыми паролями в Wi-Fi, уязвимостями ОС, запросы на обновления программ и прочая атака на соображалку пользователя. Ну а по окончании подписки вроде за пару недель ежедневная с обратным отсчетом напоминалка продлиться, абы чего не вышло. Ах да, про магазин в главном окне чуть не забыл. И тут крепко подумали - да еще одну полезную вещицу включили. Вот теперь порядок, полна коробочка. ?