MBAE blokuje Internet Explorera i Firefoxa
#1
Witam z trybu awaryjnego!

Tak jak pisałem, MBAE blokuje mi FF i IE twierdząc, że chroni je przed atakiem Heap Spray. Chrome działa, alen ie mogę wejść na SG - twierdzi, że mam nieaktualny certyfikat SSL :/

Nie widzę żadnych nowych procesów, żadnych nowych programów zainstalowanych, żadnych dziwnych wpisów w autostarcie czy schedulerze, Firewall ani HIPS nic nie wykrył. Jedyna niepokojąca rzecz tamtego dnia to PUP wykryty w instalatorze, ale, do diaska, Avira wykryła go jeszcze przed wypakowaniem z archiwum :/ Jedynie parę wpisów w dzienniku zdarzeń nie pasuje, ale nic w nim nie mogę wyłuskać.

Załączam logi FRST.

Raczej nie proszę o czyszczenie komputera z mało szkodliwego śmiecia, szkoda waszego czasu, kompchodził dosyć sprawnie. Chcę tylko wiedzieć, czy to faktycznie jakiś atak na mnie, czy FP MBAE i mogę korzystać z internetu.

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcuts:

[Aby zobaczyć linki, zarejestruj się tutaj]

Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#2
To mi przypomina mój kiedyś przypadek z certyfikatem...sprawdź w zasobniku systemową datę.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Co się tyczy certu to tak będzie na ie i chrome ze względu na brak wsparcia przeglądarek rozszerzonego protokołu TLS (SNI)

[Aby zobaczyć linki, zarejestruj się tutaj]


Co się tyczy samego teoretycznego ataku Heap Spray

Odinstaluj na chwilę obecną MBAE i Avire

Z Firefoxa wywal DuckDuckGo

Reset Firefoxa zrób dodatkowy i Chrome

Zastosuj się do błędu EventID: 1500
System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu.

[Aby zobaczyć linki, zarejestruj się tutaj]


Jak to zrobisz to napisz.
Odpowiedz
#4
Zrobione, czekam na dalsze polecenia.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#5
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_page_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
URLSearchHook: [S-1-5-21-842925246-1645522239-682003330-1007.bak] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-842925246-1645522239-682003330-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
S3 cleanhlp; \??\C:\Program Files\Ashampoo\Ashampoo Anti-Virus\cleanhlp32.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S4 IntelIde; Brak ImagePath
C:\user.js
C:\prefs.js
C:\Documents and Settings\WIN\jagex_runescape_preferences.dat
C:\Documents and Settings\WIN\jagex_runescape_preferences2.dat
C:\Documents and Settings\WIN\szukaj.bat
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ashampoo Anti-Virus Guard
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXMediaServer
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Dropbox Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HP Software Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISUSPM Startu
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISUSScheduler
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LanguageShortcut
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBKeyScan
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SecurDisc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSche
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\26470913.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\71480619.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\89084961.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\26470913.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\71480619.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\89084961.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
Hosts:
CMD: netsh firewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Odpowiedz
#6

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodatkowo błąd o braku dostępu FRST do kernel32.dll wystąpił na początku skanowania, podczas czyszczenia plików tymczasowych.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#7
Ale wykonane pomyślnie.

Zainstaluj MBAE,ciekawe czy dalej będzie zgłaszał jakiś atak.
Odpowiedz
#8
Owszem, wciąż blokuje Firefoxa. ale tym razem nie daje komunikatu o jakiejkolwiek akcji, po prostu proces siedzi zawieszony w tle, jeśli MBAE jest włączony i ochrona aktywna.

Inna ciekawostka, MBAE jest w teraz w wyższej wersji niż było, jakby wcześniej auto-aktualizacja coś przespała. Instalkę miałem nową ze strony producenta.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#9
Hmm no ogólnie z mojej strony to wszystko więcej nic tu i tak nie wykombinuje już.
Wiadomo samym też i problemem jest też wiekowy system.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Odpowiedz
#10
Czyli z tego, co widzę, raczej kosmetyka, a winny jest sam program. Raportować to do twórców MBAE?
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#11
(04.11.2015, 20:07)Mcin napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Raportować to do twórców MBAE?

Raczej tak.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości