Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
03.11.2015, 19:23
(Ten post był ostatnio modyfikowany: 04.11.2015, 09:44 przez nikita.
Powód edycji: poprawiam temat
)
Witam z trybu awaryjnego!
Tak jak pisałem, MBAE blokuje mi FF i IE twierdząc, że chroni je przed atakiem Heap Spray. Chrome działa, alen ie mogę wejść na SG - twierdzi, że mam nieaktualny certyfikat SSL :/
Nie widzę żadnych nowych procesów, żadnych nowych programów zainstalowanych, żadnych dziwnych wpisów w autostarcie czy schedulerze, Firewall ani HIPS nic nie wykrył. Jedyna niepokojąca rzecz tamtego dnia to PUP wykryty w instalatorze, ale, do diaska, Avira wykryła go jeszcze przed wypakowaniem z archiwum :/ Jedynie parę wpisów w dzienniku zdarzeń nie pasuje, ale nic w nim nie mogę wyłuskać.
Załączam logi FRST.
Raczej nie proszę o czyszczenie komputera z mało szkodliwego śmiecia, szkoda waszego czasu, kompchodził dosyć sprawnie. Chcę tylko wiedzieć, czy to faktycznie jakiś atak na mnie, czy FP MBAE i mogę korzystać z internetu.
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
Shortcuts: [Aby zobaczyć linki, zarejestruj się tutaj]
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
To mi przypomina mój kiedyś przypadek z certyfikatem...sprawdź w zasobniku systemową datę.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Co się tyczy certu to tak będzie na ie i chrome ze względu na brak wsparcia przeglądarek rozszerzonego protokołu TLS (SNI)
[Aby zobaczyć linki, zarejestruj się tutaj]
Co się tyczy samego teoretycznego ataku Heap Spray
Odinstaluj na chwilę obecną MBAE i Avire
Z Firefoxa wywal DuckDuckGo
Reset Firefoxa zrób dodatkowy i Chrome
Zastosuj się do błędu EventID: 1500
System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak to zrobisz to napisz.
Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
Zrobione, czekam na dalsze polecenia.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
04.11.2015, 18:16
(Ten post był ostatnio modyfikowany: 04.11.2015, 18:17 przez tachion.)
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_page_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
URLSearchHook: [S-1-5-21-842925246-1645522239-682003330-1007.bak] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-842925246-1645522239-682003330-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
S3 cleanhlp; \??\C:\Program Files\Ashampoo\Ashampoo Anti-Virus\cleanhlp32.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S4 IntelIde; Brak ImagePath
C:\user.js
C:\prefs.js
C:\Documents and Settings\WIN\jagex_runescape_preferences.dat
C:\Documents and Settings\WIN\jagex_runescape_preferences2.dat
C:\Documents and Settings\WIN\szukaj.bat
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ashampoo Anti-Virus Guard
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXMediaServer
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Dropbox Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HP Software Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISUSPM Startu
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISUSScheduler
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LanguageShortcut
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBKeyScan
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SecurDisc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSche
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\26470913.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\71480619.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\89084961.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\26470913.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\71480619.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\89084961.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
Hosts:
CMD: netsh firewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodatkowo błąd o braku dostępu FRST do kernel32.dll wystąpił na początku skanowania, podczas czyszczenia plików tymczasowych.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ale wykonane pomyślnie.
Zainstaluj MBAE,ciekawe czy dalej będzie zgłaszał jakiś atak.
Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
Owszem, wciąż blokuje Firefoxa. ale tym razem nie daje komunikatu o jakiejkolwiek akcji, po prostu proces siedzi zawieszony w tle, jeśli MBAE jest włączony i ochrona aktywna.
Inna ciekawostka, MBAE jest w teraz w wyższej wersji niż było, jakby wcześniej auto-aktualizacja coś przespała. Instalkę miałem nową ze strony producenta.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hmm no ogólnie z mojej strony to wszystko więcej nic tu i tak nie wykombinuje już.
Wiadomo samym też i problemem jest też wiekowy system.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
Czyli z tego, co widzę, raczej kosmetyka, a winny jest sam program. Raportować to do twórców MBAE?
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
(04.11.2015, 20:07)Mcin napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Raportować to do twórców MBAE?
Raczej tak.
|