А если у меня Temp = d:\temp то что будет?
А если на компьютере два пользователя и
1. у одного TEMP стандартный, а у другого нестандартный
2. У обоих TEMP нестандартный.
Что будет в этих случаях?
На голой Win7 - нету. Если обновленная, то там PowerShell идёт в числе обновлений и вносит записи в .ps1. Экспорты приложил. Пути там не такие, как Вы написали.Насчет *.ps1 нужен кусок ветки реестра, на Windows XP и 7 его нет по умолчанию.
Обновил релиз
Antivirus scan for 560013760e15953b03a7849937d66c3d0068c6cbdbcca2d4fc790c9573f1c0bd at 2016-07-08 17:03:56 UTC - VirusTotalKaspersky Hoax.Win32.ArchSMS.cogxw
Отправил запрос на снятие детекта.Пожалуйста, позаботьтесь о снятии детекта Kaspersky, после чего напишите мне ЛС и я восстановлю активную ссылку.
Не важно в какой папке будет архив, при открытии архива, он системно распаковывается в %TEMP% в своей папке, и все запущенные файлы внутри архиватора работают именно через %TEMP% где SRP их и блокирует.@Vitokhv, кстати, а защита от запуска программ из папки "Загрузки" и темпа организована?
Kaspersky Lab Support
3 июл. (6 дн. назад)
Здравствуйте!
Это было ошибочное срабатывание. Оно будет исправлено. Благодарим Вас за помощь.
Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.
С уважением,
Служба Технической Поддержки
АО "Лаборатория Касперского"
Мой вопрос касался только исполняемых файлов, т.к. это тоже защита от случайных кликов. Пользователь скачивает из вложения подозрительный файл (не все почтовые провайдеры имеют встроенную защиту от отправки/приёма EXE и всё, что к нему приравнивается) и затем кликает в самом же браузере на скачанный файл. Приведу простой пример. Пользователю обманным путём дают ссылку на EXE под видом Word-а, значёк тот же, расширение doc.exe. Имя может быть и длинным, так что расширения можно сразу не увидеть в браузере, т.к. он его сокращает. По-умолчанию, обычно файл сохраняется в папку "Загрузки". Заражения можно было бы избежать, если заблокировать популярный места случайного запуска вот таких файлов. Тогда пользователь перейдет в папку Загрузки, а там уже увидит, что это обманка.Не важно в какой папке будет архив, при открытии архива, он системно распаковывается в %TEMP% в своей папке, и все запущенные файлы внутри архиватора работают именно через %TEMP% где SRP их и блокирует.
Думаю, что это делается как-то через SRP/AppLocker. Я особо не вникал в эту тему. Такого отдельного ключа как с WSH нету.Если есть шаблон реестра для отключения Powershell то добавлю.
Детект сняли.Отправил запрос на снятие детекта.
[HKEY_CLASSES_ROOT\batfile\shell]
@="zip"
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?