DefenseWall HIPS

[Creer]

To dziwne Zord...bo mi się Everestsam dodał automatycznie do Zaufanych.

To mozliwe tylko w v3 z modulem whitelist (o ile everest jest na tych listach - nie sprawdzalem)
W Twojej sytuacji jest kilka mozliwosc dlaczego Everest zainstalowal sie jako zaufany:
1. Uruchomiles go PPM DefenseWall > Uruchom jako Zaufany,
2. Plik juz przed uruchomieniem byl oznaczony jako Zaufany bo:
a) wczesniej go oznaczyles jako zaufany,
b) znajowal sie na dysku przed instalacja DW i nie zostal uwzgledniony jako niezaufany przez DW.

---

sprawdzałem liste tak że nic niezamierzonego nie wyleciało
ale przydało by się jakoś usprawnić zmiane zaufane niezaufane bo nieraz ściągam z niezaufanego źródła okazuje się że wszystko ok albo z rozpędu instaluje niezaufany pliki i potem jest problem ze zmianą statusu

Bedzie to usprawnione, pliki znajdujace sie na Whiteliscie beda musialy spelniac okreslone warunki zanim dany plik zostanie zainstalowany jako zaufany m.in.:
- weryfikacja producenta pliku
- weryfikacja podpisu cyfrowego
Jesli jeden z w/w warunkow nie zostanie spelniony program zainstaluje sie jako Niezaufany.

Ponadto zmiany dotyczace "Obszarow Download" - pliki znajdujace sie w tych folderach i ich uruchamianie bedzie potwierdzane przez DW, ktory bedzie wyswietlal monit z pytaniem czy chcesz podany plik uruchomic jako zaufany/niezaufany/przerwac proces uruchamiania.

[Meir]

Tak Creer...to była opcja nr.2 b)

[czullo]

Kod:

DefenseWall HIPS log file

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value ParseAutoexec within the key HKU.DEFAULTSoftwareMicrosoftWindows NTCurrentVersionWinlogon (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to open secured file C:WINDOWSsystem32config (File )

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to open secured file C:WINDOWSsystem32config (File )

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value AppData within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value ParseAutoexec within the key HKU.DEFAULTSoftwareMicrosoftWindows NTCurrentVersionWinlogon (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to open secured file C:WINDOWSsystem32config (File )

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to open secured file C:WINDOWSsystem32config (File )

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value AppData within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value IntranetName within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value UNCAsIntranet within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value AutoDetect within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value ProxyBypass within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value IntranetName within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value UNCAsIntranet within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value AutoDetect within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value Cache within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value Cookies within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value History within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to delete service (Service)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value ParseAutoexec within the key HKU.DEFAULTSoftwareMicrosoftWindows NTCurrentVersionWinlogon (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to open secured file C:WINDOWSsystem32config (File )

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to open secured file C:WINDOWSsystem32config (File )

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value Common AppData within the key HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders (Registry)

10.13.200922:26:00, module C:WINDOWSsystem32mshta.exe, Attempt to set value ProxyBypass within the key HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap (Registry)

yyy co to takiego ? zezwalać czy nie ? pojawilo sie okienko DW dalem na Terminate, niby to MS ale co o tym myslisz Creer?

[Creer]

C:WINDOWSsystem32mshta.exe jest zaufanym procesem systemowym, dodawales ten proces do listy niezaufanych aplikacji?
Ponadto wklej zawartosc pliku:
c:windowsdwall_log_file.txt
(o ile go masz)

[czullo]

nie dodawałem go ani do zaufanych ani do niezaufanych(nie ma go na liscie niezaufanych aplikacji), zainstalowałem DW, po kilku nastu minutach pojawiło sie okienko DW z komunikatem ze próbuje uzyskać dostęp do C:WINDOWSsystem32config i miałem do wyboru OK albo Terinate i dałem Terminate. Tego pliku o ktorym mowisz nie mam. mshta.exe dziala jako niezaufany proces

[Creer]

OK, wejdz do katalogu: C:WINDOWSsystem32
znajdz plik "mshta.exe" > PPM > DefenseWall > Własciwosci,
Jesli plik bedzie oznaczony jako niezaufany:
PPM na mshta.exe > DefenseWall > Zmien status na Zaufany

[czullo]

Troche to dziwne bo plik ma wlasciwosci jako zaufany a jednak pojawia sie w niezaufanych procesach.... Aha i plik próbuje łączyć się z internetem

[Creer]

Uruchom program Process Explorer:

[Aby zobaczyć linki, zarejestruj się tutaj]

I zobacz na ''drzewie'' procesow, co jest procesem ''matka'' dla mshta.exe

[Meir]

DW mi blokuje AQQ...Creer-help me

[Aby zobaczyć linki, zarejestruj się tutaj]

[Creer]

DW mi blokuje AQQ...Creer-help me

[Aby zobaczyć linki, zarejestruj się tutaj]

Dany program nie działa poprawnie gdy uruchamiam go w trybie Niezaufanym. Wszystko działa poprawnie, gdy uruchomię go jako Zaufany - gdzie leży problem?
Odp. Po pierwsze, aby móc zdiagnozować Twoj konkretny przypadek, potrzeba wiecej szczegółowych informacji, dlatego pisząc posta ze swoim problemem załącz do niego logi z DefenseWall''a. Instrukcja jak je uzyskać:
Wykonaj nastepujace czynnosci:
1. Zakładka "Zaawansowane" > Opcje > zaznacz jesli jest niezaznaczone "Pokaż logi" ->"OK"
2. Wyczyść zakładkę "Logi zdarzeń" ("Skasuj wszystko"->"Zastosuj").
3. Uruchom program z ktorym masz problem i poczekaj az pojawi sie blad, ktory Ci sie pojawia
4. Bez uruchamiania innych niezaufanych aplikacji, wejdz ponownie w zakladke "Logi zdarzeń" w DW i kliknij przycisk "Eksportuj logi". Tak otrzymane logi wklej na forum.

[czullo]

no niestety z DW i AQQ sa spore problemy, jedynym rozwiazaniem jest uruchamianie AQQ jako zaufanego, tylko ze wtedy jak ci ktos wysle trojana przez aqq masz przej***

[Meir]

Proszę bardzo:

[Aby zobaczyć linki, zarejestruj się tutaj]

[czullo]

Oto screen z Proces Explorera, co poradzic na to Ceer ? co jakis czas wyskakuje okienko z ta aplikacja.

[zbycho]

Troche to dziwne bo plik ma wlasciwosci jako zaufany a jednak pojawia sie w niezaufanych procesach.... Aha i plik próbuje łączyć się z internetem

Mshta.exe w tej lokalizacji jest plikiem windowsa odpowiedzialnym za uruchamianie skryptów pisanych w html-u (pliki hta) i to nie on łaczy sie z siecia a skrypt poprzez niego.Jeśli masz firewalla to zablokuj dostep do sieci dla tego pliku ii sprawdź w logach co usiłowało nawiazac połaczenie

[czullo]

Firewall pokazuje ze to właśnie Mshta.exe próbuje się połączyć z internetem

[zbycho]

Mshta.exe nie łaczy sie z internetem sam,to jakiś skrypt uzywa tego pliku.
Przeskanuj system jakims dobrym antywirusem.
P.S.
dotyczy sysinternals
najedź kursorem myszy na nazwę svchost.exe znajdujaca sie bezpośredni nad nazwa pliku mshta.exe i podaj informacje z "dymku" który sie otworzy

[czullo]

gdata, avira, nod32 prevx, mbam, dr web niczego nie widza

[Creer]

Oto screen z Proces Explorera, co poradzic na to Ceer ? co jakis czas wyskakuje okienko z ta aplikacja.

Niezaufany proces mshta.exe w Twoim przypadku uruchomil mshta poprzez COM.
Musisz znalezc proces ktory wywoluje mshta w systemie, czy to sie dzieje po uruchomieniu systemu bez uruchamiania zadnej aplikacji, czy mshta uruchamia sie gdy startujesz jakas aplikacje? To bardzo niecodzienny przypadek.

[czullo]

Sprawdzałem sumy kontrolne mshta.exe i zgadzają się z tymi które ma oryginalny plik MS wiec nie jest podmieniony. Plik ten nie startuje razem z systemem, startuje po kilku kulkunastu minutach, nawet gdy go zabije, po jakims czasie znowu sie uruchamia i chce dostepu do neta

[Meir]

Creer a co z moim AQQ ?