ща накидаю бейзлайн

в каб его и на канал закинем

приличный список такой https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

в каб его и на канал закинем

ща найду какой нить уязвимый, допилю до юзабильного состояния

а есть кто, кто с ACS tr-069 работал?

@masyan толи нет у меня уязвимой версии дров толи я что-то не так сделал глянешь?

ага, ща

ну и запрос там у него

а, чот он не то собрал, какие g2

там другие же

g2 там тоже вроде были

https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

у него в запросе не те модели

по ссылке правильные? а в selecte не правильные?

ага

по ссылке кб от hp

я отсюда брал http://www.windowssecurity.tips/hp-audio-driver-exposes-real-time-keystrokes-via-local-api/ в конце

там совпадает

ftp://whp-aus1.cold.extweb.hp.com/pub/softpaq/sp79001-79500/sp79420.html

и?

первое с сайта, второе из хп

откаментил ему

и запрос я бы переписал на select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System inner join SMS_G_System_COMPUTER_SYSTEM on SMS_G_System_COMPUTER_SYSTEM.ResourceId = SMS_R_System.ResourceId where SMS_G_System_COMPUTER_SYSTEM.Model in ( 'HP EliteBook 820 G3', 'HP EliteBook 828 G3', 'HP EliteBook 840 G3', 'HP EliteBook 848 G3', 'HP EliteBook 850 G3', 'HP ProBook 640 G2', 'HP ProBook 650 G2', 'HP ProBook 645 G2', 'HP ProBook 655 G2', 'HP ProBook 450 G3', 'HP ProBook 430 G3', 'HP ProBook 440 G3', 'HP ProBook 446 G3', 'HP ProBook 470 G3', 'HP ProBook 455 G3', 'HP EliteBook 725 G3', 'HP EliteBook 745 G3', 'HP EliteBook 755 G3', 'HP EliteBook 1030 G1', 'HP ZBook 15u G3', 'HP EliteBook Folio 1040 G3', 'HP ZBook 17 G3', 'HP ZBook 15 G3', 'HP ZBook Studio G3', 'HP EliteBook Folio G1' )

во, 277 клиентов в коллекции

На сервере 2016 запускается каждый день инвентаризация (агент последней версии) и обращается к нескольким классам один из них Class "Win32_TSLicenseKeyPack" does not exist. и в итоге останавливается служба WMI ошибка на всех 2016-х, где установлен новый агент SCCM/ Не сталкивались?

во, 277 клиентов в коллекции

я пока взял все %HP%book%

Ko Mar (@Olann_MK), добро пожаловать. Просьба соблюдать простые правила и уважать участников группы. Не забудь отключить нотификации в свойствах этого телеграм чата, чтобы не просыпаться от группового траблшутинга в 5 утра. Группа Facebook - https://www.facebook.com/groups/sccm.russia/ IT Talks для общих тем - https://t.me/ittalks SCCM - https://t.me/configmgr SCOM - https://t.me/OpsMgr IT Flood для флуда - https://t.me/ITflood Новостной канал Microsoft News - https://t.me/MicrosoftRus Подписываемся.

пока один отчитался уже

C:\users\public\MicTray.log но вот такого нет на клиенте

а, не, есть

срикпт на коленке чтобы подогнать

Import-Module "C:\Users\s-korotkov\OneDrive\PowerShell\Scripts\SCCM\Clear-CCMClient\TestConnectionAsync.psm1" Import-Module $env:SMS_ADMIN_UI_PATH.Replace("\bin\i386","\bin\configurationmanager.psd1") -ErrorAction SilentlyContinue $SiteCode = Get-PSDrive -PSProvider CMSITE Set-Location "$($SiteCode.Name):\" $EvaluteAllDCM = { param($RemotePc) Write-Output "`t$($RemotePc):" if (Test-Connection $RemotePc -Quiet -ErrorAction 0) { # Get a list of baseline objects assigned to the remote computer $Baselines = Get-WmiObject -ComputerName $RemotePc -Namespace root/ccm/dcm -Class SMS_DesiredConfiguration # For each (%) baseline object, call SMS_DesiredConfiguration.TriggerEvaluation, passing in the Name and Version as params $Baselines | % { ([wmiclass]"\\$RemotePc\root\ccm\dcm:SMS_DesiredConfiguration").TriggerEvaluation($_.Name, $_.Version) } } else { Write-Output "`tNo echo`n" } } $AllComps = Get-CMDevice -CollectionName 'HP Risk Devices' | select -ExpandProperty name | sort "All Count = " + $AllComps.Count $OnLine = $AllComps | Test-ConnectionAsync -MaxConcurrent 50 -Quiet | where{ $_.Success } | select -ExpandProperty ComputerName "Online Count = " + $OnLine.Count $OnLine | foreach { $_ Start-Job $EvaluteAllDCM -ArgumentList $_ } Get-Job | wait-job | receive-job Get-Job | Remove-Job -Force

а )

;))))

ща

а блин модуль там дополнительный

C:\Users\s-korotkov\OneDrive\PowerShell\Scripts\SCCM\Clear-CCMClient\TestConnectionAsync.psm1"

а, не, есть

Реально там все подряд и коды нажатых символов?

там вроде еще в програм файлз он может быть, лог этот

да, файлики тоже есть, пустые

У меня пустые

аналогично но как я понял данные все равно собираются и можно достать дебугером (без повышения привелегий)

у тя версия MicTray 1.0.0.31 вероятно

проверил разные тачки, везде пусто

ща поглядим как последняя себя ведет

а нет... бля

не та модель

народ домой посваливал

свалю и я

всем хороших выходных

да там пилить нечего можно политиками запретить запуск 86/64 версий и GPP для удаления *.log

меня больше беспокоит как все обновлять потом находить эти дрова в сторе....

запустить сбор по версии файла и апдейтить

там еще неизвесно какие версии

лан война план покажет

Petros Yiallouris (@petrosfxwizards), добро пожаловать. Просьба соблюдать простые правила и уважать участников группы. Не забудь отключить нотификации в свойствах этого телеграм чата, чтобы не просыпаться от группового траблшутинга в 5 утра. Группа Facebook - https://www.facebook.com/groups/sccm.russia/ IT Talks для общих тем - https://t.me/ittalks SCCM - https://t.me/configmgr SCOM - https://t.me/OpsMgr IT Flood для флуда - https://t.me/ITflood Новостной канал Microsoft News - https://t.me/MicrosoftRus Подписываемся.

http://www.bbc.com/news/technology-39901382?ocid=socialflow_twitter

Ага, уже инженеры мне пишут про WNCRY многие знакомые к ним обращаются Местный офис Мегафон вроде полёг от него

В Мегафоне все компьютеры и серверы на Windows выключили

ERROR: S client not available

хз

как распространяется?

типа так https://xakep.ru/2017/05/10/msmpeng-rce/

Но это же не то

Тут уязвимость 3х месячной давности

Патч в марте ещё был

Тут уязвимость 3х месячной давности

https://technet.microsoft.com/en-us/library/security/4022344.aspx?f=255&MSPPError=-2147217396

8 мая 17 я хз

9 мая

Да не то это

Это в движке эндпоинта

а в марте у нас что было?

чета не припомню

с офисом было с вордом

В Мегафоне все компьютеры и серверы на Windows выключили

посоны, что происходит?

вирусня, вымогатель

ща ТС-ки обновлю на всякий случай

хмммммммммм

ну это я понял

у мну со всуса приезжают апдейты на scep...

ну тут простая рекмендация - проверить / подогнать из консоли

я думаю это не про антивирус все таки

0day редко бывают, конечно...

неужто так быстро разобрали пач

если про мартовское обновление МС то скорее всего про офис, больше не понмю пачей в марте

про смб

нормально там прорвало )

https://mobile.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html?_r=0

я пока не могу найти технических описаний каких-либо, везде только и орут "вирусы", "хакиры", "опасность" и т.д.

угу