Witam z trybu awaryjnego!
Tak jak pisałem, MBAE blokuje mi FF i IE twierdząc, że chroni je przed atakiem Heap Spray. Chrome działa, alen ie mogę wejść na SG - twierdzi, że mam nieaktualny certyfikat SSL :/
Nie widzę żadnych nowych procesów, żadnych nowych programów zainstalowanych, żadnych dziwnych wpisów w autostarcie czy schedulerze, Firewall ani HIPS nic nie wykrył. Jedyna niepokojąca rzecz tamtego dnia to PUP wykryty w instalatorze, ale, do diaska, Avira wykryła go jeszcze przed wypakowaniem z archiwum :/ Jedynie parę wpisów w dzienniku zdarzeń nie pasuje, ale nic w nim nie mogę wyłuskać.
Załączam logi FRST.
Raczej nie proszę o czyszczenie komputera z mało szkodliwego śmiecia, szkoda waszego czasu, kompchodził dosyć sprawnie. Chcę tylko wiedzieć, czy to faktycznie jakiś atak na mnie, czy FP MBAE i mogę korzystać z internetu.
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition:
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcuts:
[Aby zobaczyć linki, zarejestruj się tutaj]
To mi przypomina mój kiedyś przypadek z certyfikatem...sprawdź w zasobniku systemową datę.
Co się tyczy certu to tak będzie na ie i chrome ze względu na brak wsparcia przeglądarek rozszerzonego protokołu TLS (SNI)
[Aby zobaczyć linki, zarejestruj się tutaj]
Co się tyczy samego teoretycznego ataku Heap Spray
Odinstaluj na chwilę obecną MBAE i Avire
Z Firefoxa wywal DuckDuckGo
Reset Firefoxa zrób dodatkowy i Chrome
Zastosuj się do błędu EventID: 1500
System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak to zrobisz to napisz.
Zrobione, czekam na dalsze polecenia.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-842925246-1645522239-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_page_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
URLSearchHook: [S-1-5-21-842925246-1645522239-682003330-1007.bak] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-842925246-1645522239-682003330-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
S3 cleanhlp; \??\C:\Program Files\Ashampoo\Ashampoo Anti-Virus\cleanhlp32.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S4 IntelIde; Brak ImagePath
C:\user.js
C:\prefs.js
C:\Documents and Settings\WIN\jagex_runescape_preferences.dat
C:\Documents and Settings\WIN\jagex_runescape_preferences2.dat
C:\Documents and Settings\WIN\szukaj.bat
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ashampoo Anti-Virus Guard
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXMediaServer
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Dropbox Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HP Software Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISUSPM Startu
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISUSScheduler
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LanguageShortcut
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBKeyScan
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SecurDisc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSche
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\26470913.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\71480619.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\89084961.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\26470913.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\71480619.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\89084961.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
Hosts:
CMD: netsh firewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Napraw. Po wykonaniu pokaż raport z tego działania.
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodatkowo błąd o braku dostępu FRST do kernel32.dll wystąpił na początku skanowania, podczas czyszczenia plików tymczasowych.
Ale wykonane pomyślnie.
Zainstaluj MBAE,ciekawe czy dalej będzie zgłaszał jakiś atak.
Owszem, wciąż blokuje Firefoxa. ale tym razem nie daje komunikatu o jakiejkolwiek akcji, po prostu proces siedzi zawieszony w tle, jeśli MBAE jest włączony i ochrona aktywna.
Inna ciekawostka, MBAE jest w teraz w wyższej wersji niż było, jakby wcześniej auto-aktualizacja coś przespała. Instalkę miałem nową ze strony producenta.
Hmm no ogólnie z mojej strony to wszystko więcej nic tu i tak nie wykombinuje już.
Wiadomo samym też i problemem jest też wiekowy system.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Czyli z tego, co widzę, raczej kosmetyka, a winny jest sam program. Raportować to do twórców MBAE?