witam wszystkich, całkiem przypadkiem na innym bardzo podobnym forum znalazłem temat bezpieczeeństwo i logi hijacka, ale na tym foum nie uznają samego loga hijacka, trzeba wkleić rónież drugi log z programu
Silent Runners adresu tego forum wam nie podam z oczywistych względów . Zatem wklejam cały opis aby wam pomóc w walce ze szkodnikami! 
Silent Runners
Pobierz: http://www.silentrunners.org/Silent%20Runners.vbs (prawy klik Zapisz jako)
Jak uruchomić Silent Runners i zrobić loga:
Ściągamy linkowany wyżej plik na dysk. Plik podwójnie klikamy. Jeśli uruchomienie się powiedzie i nie będzie błędów (patrz niżej) otrzymamy takie tajemnicze pytanko które jest nieco podchwytliwe:
http://www.searchengines.pl/phpbb203/pl … ilent1.png
“Supplementary searches” oznacza wyszukiwanie dodatkowe i bardziej kompletne ale za to bardzo powolne. “Do You want to skip…” = czy chcesz ominąć:
-
Zaznaczenie opcji Yes da skróconego loga generowanego bardzo szybko
-
Zaznaczenie opcji No da pełnego loga generowanego bardzo wolno
Chcę od was oczywiście “No”. Zatwierdzenie tego wyboru rozpocznie pracę narzędzia obwieszczoną komunikatem:
http://www.searchengines.pl/phpbb203/pl … ilent2.png
Od tego momentu odbywa się skan rejestru i kompletowanie loga i tu … UWAGA … Praca narzędzia odbywa się w sposób niewidoczny i to wygląda jakby się nic nie działo ale macie czekać cierpliwie nawet jeśli będzie to trwać 3 minuty (teoretycznie trwa to tylko 30 sec)! Znakiem zakończenia pracy narzędzia jest komunikat:
http://www.searchengines.pl/phpbb203/pl … ilent3.png
Dopóki ten komunikat się nie pojawi log będzie niekompletny i obcięty! Log jest tworzony automatycznie w folderze w którym jest Silent Runners w postaci pliku Startup Programs (data-czas). TXT. Mamy więc loga, otwieramy go w Notatniku i przeklejamy jego zawartość do posta by pokazać picasso i spółce.
Problemy z uruchomieniem Silent Runners:
Norton lub inny antywirus zawiadamia o szkodliwym skrypcie
Pomyłka antywirusa Silent Runners jest programem skryptowym VBS a skrypty są często wykorzystywaną metodą przez wirusy /robaki. Program antywirusowy z wbudowaną funkcją filtrunku skryptów natychmiast wyłapuje próbę uchrumienia skryptu a że nie zna jego pochodzenia na oko ocenia go tylko na podstawie rozszerzenia VBS jako szkodliwy. Silent Runners NIE JEST SZKODLIWY i proszę w Nortonie autoryzować skrypt:
http://www.searchengines.pl/phpbb203/pl … ilent4.gif
Po kliknięciu na VBS następuje prośba o wskazanie programu otwierającego lub program otwiera się w Notatniku
Problemem jest wyłączone WSH Windowsa. Proszę z TEJ instrukcji wykonać włączenie WSH (narzędzie Noscript na Enable, skojarzyć otwieranie VBS z wscript.exe, ustawić domyślną akcję z Edytuj na Otwórz).
Komunikat “Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze”
Kolejna wariacja problemu wyżej świadcząca o wyłączonym WSH ale na bazie restrykcji w rejestrze. W TYM temacie jest opisana edycja rejestru którą trzeba wykonać na odwrót by to odblokować (Wartości Enabled przypisać liczbę 1 i zresetować komputer).
Komunikat “This script requires WMI…”
Dotyczy starych systemów Windows 95/98/NT którym brakuje składnika WMI. Proszę sobie ściągnąć i zainstalować Windows Management Instrumentation (WMI) CORE
Komunikat “Serwer zdalny nie istnieje lub jest niedostępny”
Dotyczy Windows XP SP2. Problem może tworzyć wyłączona jedna z usług Windows. Proszę:
Start Uruchom services.msc
Na liście znaleźć usługę o nazwie Program uruchamiający proces serwera DCOM prawy klik Właściwości Typ startowy ustawić na Auto zresetować komputer.
Komunikat “The script cannot create its report file”
Dotyczy Windows XP a jest znakiem iż narzędzie nie może zapisać loga. Obejściem problemu jest skorzystanie z innej wersji Silent Runners: SilentRunnerRED.vbs gdy ukończy skorzystać z wersji oryginalnej.
Analiza loga:
Na teraz zaznaczę jedną ważną rzecz:
Silent Runners TYLKO robi listę lokalizacji gdzie coś ewentualnie się czai a lista ta zawiera zarówno pozycje prawidłowe jak i szkodliwe. Nie ma żadnej bazy danych i nie potrafi ocenić wpisów które listuje. Jedyny mechanizm który jest wbudowany do Silent Runners to porównanie zastanych wpisów do domyślnych wpisów aplikowanych na Windows. W związku z tym możecie napotkać dwa rodzaje komunikatów w logu:
INFECTION WARNING! / HIJACK WARNING!
Wpis sugerujący zakażenie ale wcale nie znaczący iż jest to faktyczna infekcja! Ten zapis jedynie mówi iż skanowanie zwróciło nietypowy wpis w miejscu gdzie go nie powinno domyślnie być ale ocena tego faktu zostaje dla tego kto loga analizuje. Kilka przykładów wpisów które mimo towarzyszącego opisu “WARNING” są absolutnie nieszkodliwe:
QUOTE
Aplikacje anty:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! “{9EF34FF2-3396-4527-9D27-04C8C1C67806}” = “Microsoft AntiSpyware Service Hook”
- {CLSID}\InProcServer32(Default) = “C:\Program Files\Microsoft AntiSpyware\shellextension.dll” [MS]
INFECTION WARNING! “{81559C35-8464-49F7-BB0E-07A383BEF910}” = “SpywareGuard.Handler” [from CLSID]
- {CLSID}\InProcServer32(Default) = “C:\Program Files\SpywareGuard\spywareguard.dll” [null data]
Narzędzie PageDefrag:
HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! “BootExecute” = “pgdfgsvc C 1” [“Sysinternals - http://www.sysinternals.com”]
Sterowniki ATI:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”]
Office 2003:
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = “{807553E5-5146-11D5-A672-00B0D022E945}”
- {CLSID}\InProcServer32(Default) = “C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL” [MS]
Słownik angielski:
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! “load” = “F:\YDPDict\watch.exe” [null data]
Narzędzie filtrowania skryptów:
.HTA: HKLM\SOFTWARE\Classes\htafile\shell\open\command\
INFECTION WARNING! “Default” = “C:\Program Files\AnalogX\Script Defender\sdefend.exe %1 %*”
EXECUTION UNLIKELY
Tak markowane wpisy to oznaczenie przez Silent Runners iż jest to obiekt nie wykorzystywany przez system. Teoretycznie do usuwania jako zbędny, w praktyce tego nie ruszamy. Bardzo rzadki przypadek.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ {++}
EXECUTION UNLIKELY: “Registrando Panda ActiveX” = “C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\as.dll” [MS]
EXECUTION UNLIKELY: “Registrando Panda Almacen” = “C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\pavpz.dll” [MS]
EXECUTION UNLIKELY: “Registering ActiveScan controles” = “C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\ascontrol.dll” [MS]
i to jest na razie tyle odnośnie tego programu , jeżeli coś już takiego było na tym forum to proszę moda o skasowani postu a jak nie to przenisienie w inne dostępne miejsce dostępne dla wszystkich, sądzę że na tak poważnym forum powinno znaleść się miejsce dla tego tematu i znajdą się również szpece od podpowiedzi w tym programie!
