1

Это связано с тем, как сделать один черный список патча, основанного на знании / КБ? и как добавить Deny ACE для TrustedInstaller? ,

Вредоносная программа Get Windows X вернулась (снова) на двух компьютерах с Windows 7 и Windows 8. Я ранее удалил это 5 раз или около того (на машину). После последнего удаления я предварительно создал папку, в которую она сама себя устанавливает, а затем поместил DENY ACE для SYSTEM и TrustedInstaller. Согласно документации Microsoft, это должно было остановить его установку и выполнение.

Как вредоносная программа установила себя, если ей было отказано в доступе?

Это абсолютно потрясающе ... Машина была выключена около 6 недель, поэтому мне пришлось выполнить два цикла обновления / перезагрузки. Вредоносная программа устанавливалась дважды в течение одного дня, хотя ей было отказано в доступе к папке!

Второй цикл обновления / перезагрузки был для KB3102429. Обратите внимание, что он утверждает, что решает проблемы в Windows - он не заявляет о своей маркетинговой программной или вредоносной программе.

|источник

2 ответа2

3

Учетная запись SYSTEM имеет SeRestorePrivilege, что дает ей право записывать данные или ACL любого защищаемого объекта. (Примерно так, как администраторы с повышенными правами могут проходить через списки управления доступом с помощью вкладки «Безопасность» в свойствах объекта.) Эти полномочия также могут использоваться SYSTEM в обновлениях групповой политики.

Кроме того, обновление, отвечающее за вашу боль, на самом деле KB3035583. Вы можете попытаться определить, какое обновление отвечает за определенный файл, выполнив поиск в Google по site:support.microsoft.com за которым следует имя файла, поскольку в статьях базы знаний KB всегда есть таблицы обновленных файлов.

|источник
0

У меня был большой успех (до сегодняшнего дня) скрыть рекомендуемое обновление KB3035583. По какой-то причине я разрешил обновление Windows до некоторых установленных "рекомендуемых обновлений" в выходные дни, и оно, похоже, самооткрылось и установило его в любом случае! Подлый " @% & # 's Между прочим, это не было в списке рекомендуемых обновлений также!

РЕДАКТИРОВАТЬ Это, кажется, "Важное обновление" сейчас и не рекомендуется !!!! Господи Убунту спаси меня !!!!

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .