Liczba postów: 577
Liczba wątków: 6
Dołączył: 23.09.2008
Reputacja:
10
Cytat: Czullo, infekcja mogla juz byc w systemie przed instalacja DW, lub zainfekowany plik zostal oznaczony przez uzytkownika jako zaufany i uruchomiony w tymze trybie...
Link do tematu z ktorego wklejone zostaly w/w logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widac w logach HJT, DW nie byl uruchomiony, zadna usluga DW nie byla uruchomiona podczas skanu, ten watek jest z 8 lutego 2009, DW moglbyc juz dawno odinstalowany (np w styczniu ''09). Mozliwosc jest wiele, lepiej je dokladnie przeanalizowac zanim zacznie sie rozprzestrzeniac plotki.
Po pierwsze.
Logi z HJT sa z okresu po infekcji Tdss.
Ten rootkit potrafi kasowac usługi.
Wpisy 023 nie pokazuja usunietych a to zaden problem dla tdss-a.
Drugi log z HJT juz nie pokazuje usług aviry
Po drugie.
Deinstalacja DW powoduje usuniecie głównego pliku defensewall_serv.exe z c:windowssystem32
A skoro jest,to nikt DW nie deinstalował.
Po trzecie.
[Aby zobaczyć linki, zarejestruj się tutaj]
Po czwarte.
Infekcja jest prawie o miesiac pózniej niz instalacja DW.
Po piąte.
Nie jest wazne czy infekcja nastapiła w trybie zaufanym.
Ważne jest to ze po niej DW przestał pełnic swoją rolę.
P.S.
logi trzeba czytac ze zrozumieniem
Liczba postów: 2 485
Liczba wątków: 14
Dołączył: 23.06.2009
Reputacja:
0
No to na Dw jest sposób wreszcie Jurek nie musi płacić czullo 100 patyków za znalezieniewira który rozmontuje Dw
Liczba postów: 1 564
Liczba wątków: 21
Dołączył: 05.01.2009
Reputacja:
10
Na wszystko jest sposób. Nie możemy się dziś czuć bezpiecznie nawet mając 100 programów zainstalowanych na kompie różnej maści od A do Z.
ESET NOD32 Antivirus
Zemana AntiMalware (Premium)
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
Infekcja jest prawie o miesiac pózniej niz instalacja DW - trial DW jest 30 dniowy, po tym okresie czasu program przestaje dzialac. Nie trzeba go nawet odinstalowywac. Istnieje rowniez prawdopodobienstwo ze osoba ta wczesniej miala zainstalowany program DW, odistalowala go i ponownie po jakims czasie zainstalowala - w tym przypadku okres Trial ulega skroceniu, lub w ogole go nie ma jesli od pierwszego zainstalowania do ponownej instalacji programu minelo 30 dni.
Poza tym jak pisalem wczesniej samo posiadanie danego programu zabezpieczajacego na dysku to nie wszystko - podstawa jest poznac jego dzialanie, jesli plik uruchamiamy w trybie zaufanym - infekcja jest mozliwa.
Creer,
Member of the Alliance of Security Analysis Professionals
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
Dla jasnosci - DW jest odpornyna rootkit''a TDSS, dzieki kontroli funkcji "AddPrinter" procesu spoolss.exe na poziomie sterownika (LPC transport). Nalezy miec na uwadze fakt, iz niewiele programow zabezpieczajacych na dzien dzisiejszy jest w stanie ochronic system przed infekcja przez tego typu rootkit''a.
Mozesz szukac dalej zbycho, moze cos w koncu znajdziesz (bez ironii).
Creer,
Member of the Alliance of Security Analysis Professionals
Liczba postów: 650
Liczba wątków: 8
Dołączył: 28.03.2009
Reputacja:
0
Azureus Vuze 4.3.0.0 nie działa prawidlowo podczas gdy zainstalowany jest DefeneWall
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
czullo napisał(a):Azureus Vuze 4.3.0.0 nie działa prawidlowo podczas gdy zainstalowany jest DefeneWall
Tzn? konkretnie co sie dzieje?
Creer,
Member of the Alliance of Security Analysis Professionals
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
a jak to jest z tymi zaufanymi programami dw ogranicza je czy nie bo chyba jednak tak przy instalacji zewnętrznych dodatków do przeglądarki np toolbary nie instalują się one prawidłowo i trzeba całkowicie zamknąć dw żeby wszystko działało jak należy
Liczba postów: 4 621
Liczba wątków: 59
Dołączył: 12.10.2008
Reputacja:
11
zord napisał(a):a jak to jest z tymi zaufanymi programami dw ogranicza je czy nie bo chyba jednak tak przy instalacji zewnętrznych dodatków do przeglądarki np toolbary nie instalują się one prawidłowo i trzeba całkowicie zamknąć dw żeby wszystko działało jak należy
zawsze instaluje zaufany soft jako zaufany
albo po prostu wyłączam DW
i nie ma żadnej infekcji
WIN11
Ventura
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
nie chodzi o infekcje tylko o dodatki do przeglądarek np zone alarm czy antyphiszing z programów zabezpieczających mimo instalacji jako zaufane się nie instalują przy włączonym dw
Liczba postów: 4 621
Liczba wątków: 59
Dołączył: 12.10.2008
Reputacja:
11
to wyłącz ochronę DW i zainstaluj jak jesteś pewny że są to bezpieczne wynalazki
WIN11
Ventura
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
zord napisał(a):nie chodzi o infekcje tylko o dodatki do przeglądarek np zone alarm czy antyphiszing z programów zabezpieczających mimo instalacji jako zaufane się nie instalują przy włączonym dw
Ciezko mi odpowiedziec na to pytanie z prostej przyczyny, nigdy nie instaluje takich dodatkow. Jedyne co mi przychodzi w tym momencie do glowy to fakt, iz podczas instalacji dodatkow jako zaufanych, przegladarka moglabyc wlaczona i dzialala w trybie niezaufanym.
Creer,
Member of the Alliance of Security Analysis Professionals
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
można wyłączyć ale wychodzi na to że dw blokuje zaufane programy...
przeglądarki były wtedy wyłączone
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
zord napisał(a):można wyłączyć ale wychodzi na to że dw blokuje zaufane programy...
przeglądarki były wtedy wyłączone
Zeby nie byla to tylko pusta dyskusja, dobrze by bylo gdybys po tym zdarzeniu wkleil zawartosc pliku:
c:windowsdwall_log_file.txt (o ile bedzie)
Jego zawartosc bylaby kluczowa dla Twojego problemu.
Creer,
Member of the Alliance of Security Analysis Professionals
Liczba postów: 4 621
Liczba wątków: 59
Dołączył: 12.10.2008
Reputacja:
11
to samo jest z rozszerzeniami do firefoxa, zawsze wyłączam ochronę DW zanim pobierze się update np adblocka
po pobraniu update uruchamiam ochronę DW
WIN11
Ventura
Liczba postów: 650
Liczba wątków: 8
Dołączył: 28.03.2009
Reputacja:
0
Przy instalacji Add-onow, toolbarów, aktualizacji przeglądarki musi ona być uruchomiana jako zaufana inaczej nic z wymienionych rzeczy sie nie zrobi, a co do Vuze to nie można pobrać żadnego pliku, sypie errorami odczytu dysku. Co ciekawe w utorrent jest wszystko ok.
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
Czullo jestes pewien ze to nic z tych rzeczy:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Creer,
Member of the Alliance of Security Analysis Professionals
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
nie mam pliku dwall_log na wirtualu zainstalowałem firefoxa potem defensewall restart i mcafee siteadwisor i do ie się doinstalował a w firefoxie już nie chodziarz przy uruchomieniu ff wyskoczyło okienko że zainstalowano dodatek ale było puste
Liczba postów: 650
Liczba wątków: 8
Dołączył: 28.03.2009
Reputacja:
0
Creer napisał(a):Czullo jestes pewien ze to nic z tych rzeczy:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Tez myślałem ze o to chodzi ale jednak nie, wykasowałem całkowicie plik który ściągałem, uruchomiłem vuze (niezaufany) dodałem na nowo plik zaczął się ściągać, jednak w pewnym momencie bach ( nie można odczytać z dysku, nie można zapisać na dysku etc ), aha i nawet nie mogę uruchomić Vuze jako zaufanego...
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja:
12
zord, dziwne, dla scislosci uzywasz wersji 2.56?
czullo,
Wykonaj nastepujace czynnosci:
1. Zakładka "Zaawansowane" > Opcje > zaznacz jesli jest niezaznaczone "Pokaż logi" ->"OK"
2. Wyczyść zakładkę "Logi zdarzeń" ("Skasuj wszystko"->"Zastosuj").
3. Uruchom program z ktorym masz problem i poczekaj az pojawi sie blad, ktory Ci sie pojawia
4. Bez uruchamiania innych niezaufanych aplikacji, wejdz ponownie w zakladke "Logi zdarzeń" w DW i kliknij przycisk "Eksportuj logi". Tak otrzymane logi wklej na forum.
Czy po wylaczeniu ochrony DW (z menu w trayu), Vuze daje sie uruchomic?
Creer,
Member of the Alliance of Security Analysis Professionals
|