DefenseWall HIPS - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Monitorowanie systemu (https://safegroup.pl/forum-12.html) +--- Wątek: DefenseWall HIPS (/thread-470.html) |
Re: DefenseWall HIPS - Creer - 01.10.2009 Meir napisał(a):To dziwne Zord...bo mi się Everestsam dodał automatycznie do Zaufanych. To mozliwe tylko w v3 z modulem whitelist (o ile everest jest na tych listach - nie sprawdzalem) W Twojej sytuacji jest kilka mozliwosc dlaczego Everest zainstalowal sie jako zaufany: 1. Uruchomiles go PPM DefenseWall > Uruchom jako Zaufany, 2. Plik juz przed uruchomieniem byl oznaczony jako Zaufany bo: a) wczesniej go oznaczyles jako zaufany, b) znajowal sie na dysku przed instalacja DW i nie zostal uwzgledniony jako niezaufany przez DW. zord napisał(a):sprawdzałem liste tak że nic niezamierzonego nie wyleciało Bedzie to usprawnione, pliki znajdujace sie na Whiteliscie beda musialy spelniac okreslone warunki zanim dany plik zostanie zainstalowany jako zaufany m.in.: - weryfikacja producenta pliku - weryfikacja podpisu cyfrowego Jesli jeden z w/w warunkow nie zostanie spelniony program zainstaluje sie jako Niezaufany. Ponadto zmiany dotyczace "Obszarow Download" - pliki znajdujace sie w tych folderach i ich uruchamianie bedzie potwierdzane przez DW, ktory bedzie wyswietlal monit z pytaniem czy chcesz podany plik uruchomic jako zaufany/niezaufany/przerwac proces uruchamiania. Re: DefenseWall HIPS - Meir - 01.10.2009 Tak Creer...to była opcja nr.2 b) Re: DefenseWall HIPS - czullo - 13.10.2009 Kod: DefenseWall HIPS log file yyy co to takiego ? zezwalać czy nie ? pojawilo sie okienko DW dalem na Terminate, niby to MS ale co o tym myslisz Creer? Re: DefenseWall HIPS - Creer - 14.10.2009 C:WINDOWSsystem32mshta.exe jest zaufanym procesem systemowym, dodawales ten proces do listy niezaufanych aplikacji? Ponadto wklej zawartosc pliku: c:windowsdwall_log_file.txt (o ile go masz) Re: DefenseWall HIPS - czullo - 14.10.2009 nie dodawałem go ani do zaufanych ani do niezaufanych(nie ma go na liscie niezaufanych aplikacji), zainstalowałem DW, po kilku nastu minutach pojawiło sie okienko DW z komunikatem ze próbuje uzyskać dostęp do C:WINDOWSsystem32config i miałem do wyboru OK albo Terinate i dałem Terminate. Tego pliku o ktorym mowisz nie mam. mshta.exe dziala jako niezaufany proces Re: DefenseWall HIPS - Creer - 14.10.2009 OK, wejdz do katalogu: C:WINDOWSsystem32 znajdz plik "mshta.exe" > PPM > DefenseWall > Własciwosci, Jesli plik bedzie oznaczony jako niezaufany: PPM na mshta.exe > DefenseWall > Zmien status na Zaufany Re: DefenseWall HIPS - czullo - 14.10.2009 Troche to dziwne bo plik ma wlasciwosci jako zaufany a jednak pojawia sie w niezaufanych procesach.... Aha i plik próbuje łączyć się z internetem Re: DefenseWall HIPS - Creer - 14.10.2009 Uruchom program Process Explorer: [Aby zobaczyć linki, zarejestruj się tutaj] I zobacz na ''drzewie'' procesow, co jest procesem ''matka'' dla mshta.exe Re: DefenseWall HIPS - Meir - 14.10.2009 DW mi blokuje AQQ...Creer-help me [Aby zobaczyć linki, zarejestruj się tutaj] Re: DefenseWall HIPS - Creer - 14.10.2009 Meir napisał(a):DW mi blokuje AQQ...Creer-help me Dany program nie działa poprawnie gdy uruchamiam go w trybie Niezaufanym. Wszystko działa poprawnie, gdy uruchomię go jako Zaufany - gdzie leży problem? Odp. Po pierwsze, aby móc zdiagnozować Twoj konkretny przypadek, potrzeba wiecej szczegółowych informacji, dlatego pisząc posta ze swoim problemem załącz do niego logi z DefenseWall''a. Instrukcja jak je uzyskać: Wykonaj nastepujace czynnosci: 1. Zakładka "Zaawansowane" > Opcje > zaznacz jesli jest niezaznaczone "Pokaż logi" ->"OK" 2. Wyczyść zakładkę "Logi zdarzeń" ("Skasuj wszystko"->"Zastosuj"). 3. Uruchom program z ktorym masz problem i poczekaj az pojawi sie blad, ktory Ci sie pojawia 4. Bez uruchamiania innych niezaufanych aplikacji, wejdz ponownie w zakladke "Logi zdarzeń" w DW i kliknij przycisk "Eksportuj logi". Tak otrzymane logi wklej na forum. Re: DefenseWall HIPS - czullo - 14.10.2009 no niestety z DW i AQQ sa spore problemy, jedynym rozwiazaniem jest uruchamianie AQQ jako zaufanego, tylko ze wtedy jak ci ktos wysle trojana przez aqq masz przej*** Re: DefenseWall HIPS - Meir - 14.10.2009 Proszę bardzo: [Aby zobaczyć linki, zarejestruj się tutaj] Re: DefenseWall HIPS - czullo - 14.10.2009 Oto screen z Proces Explorera, co poradzic na to Ceer ? co jakis czas wyskakuje okienko z ta aplikacja. Re: DefenseWall HIPS - zbycho - 14.10.2009 Cytat:Troche to dziwne bo plik ma wlasciwosci jako zaufany a jednak pojawia sie w niezaufanych procesach.... Aha i plik próbuje łączyć się z internetem Mshta.exe w tej lokalizacji jest plikiem windowsa odpowiedzialnym za uruchamianie skryptów pisanych w html-u (pliki hta) i to nie on łaczy sie z siecia a skrypt poprzez niego.Jeśli masz firewalla to zablokuj dostep do sieci dla tego pliku ii sprawdź w logach co usiłowało nawiazac połaczenie Re: DefenseWall HIPS - czullo - 14.10.2009 Firewall pokazuje ze to właśnie Mshta.exe próbuje się połączyć z internetem Re: DefenseWall HIPS - zbycho - 14.10.2009 Mshta.exe nie łaczy sie z internetem sam,to jakiś skrypt uzywa tego pliku. Przeskanuj system jakims dobrym antywirusem. P.S. dotyczy sysinternals najedź kursorem myszy na nazwę svchost.exe znajdujaca sie bezpośredni nad nazwa pliku mshta.exe i podaj informacje z "dymku" który sie otworzy Re: DefenseWall HIPS - czullo - 14.10.2009 gdata, avira, nod32 prevx, mbam, dr web niczego nie widza Re: DefenseWall HIPS - Creer - 14.10.2009 czullo napisał(a):Oto screen z Proces Explorera, co poradzic na to Ceer ? co jakis czas wyskakuje okienko z ta aplikacja. Niezaufany proces mshta.exe w Twoim przypadku uruchomil mshta poprzez COM. Musisz znalezc proces ktory wywoluje mshta w systemie, czy to sie dzieje po uruchomieniu systemu bez uruchamiania zadnej aplikacji, czy mshta uruchamia sie gdy startujesz jakas aplikacje? To bardzo niecodzienny przypadek. Re: DefenseWall HIPS - czullo - 14.10.2009 Sprawdzałem sumy kontrolne mshta.exe i zgadzają się z tymi które ma oryginalny plik MS wiec nie jest podmieniony. Plik ten nie startuje razem z systemem, startuje po kilku kulkunastu minutach, nawet gdy go zabije, po jakims czasie znowu sie uruchamia i chce dostepu do neta Re: DefenseWall HIPS - Meir - 14.10.2009 Creer a co z moim AQQ ? |