Silent Runners, coś jak hijack tylko ponoć dokładniejszy!


(Ulzana) #1

witam wszystkich, całkiem przypadkiem na innym bardzo podobnym forum znalazłem temat bezpieczeeństwo i logi hijacka, ale na tym foum nie uznają samego loga hijacka, trzeba wkleić rónież drugi log z programu

Silent Runners adresu tego forum wam nie podam z oczywistych względów . Zatem wklejam cały opis aby wam pomóc w walce ze szkodnikami! !!

Silent Runners

Pobierz: http://www.silentrunners.org/Silent%20Runners.vbs (prawy klik Zapisz jako)

Jak uruchomić Silent Runners i zrobić loga:

Ściągamy linkowany wyżej plik na dysk. Plik podwójnie klikamy. Jeśli uruchomienie się powiedzie i nie będzie błędów (patrz niżej) otrzymamy takie tajemnicze pytanko które jest nieco podchwytliwe:

http://www.searchengines.pl/phpbb203/pl ... ilent1.png

"Supplementary searches" oznacza wyszukiwanie dodatkowe i bardziej kompletne ale za to bardzo powolne. "Do You want to skip..." = czy chcesz ominąć:

  • Zaznaczenie opcji Yes da skróconego loga generowanego bardzo szybko

  • Zaznaczenie opcji No da pełnego loga generowanego bardzo wolno

Chcę od was oczywiście "No". Zatwierdzenie tego wyboru rozpocznie pracę narzędzia obwieszczoną komunikatem:

http://www.searchengines.pl/phpbb203/pl ... ilent2.png

Od tego momentu odbywa się skan rejestru i kompletowanie loga i tu ... UWAGA ... Praca narzędzia odbywa się w sposób niewidoczny i to wygląda jakby się nic nie działo ale macie czekać cierpliwie nawet jeśli będzie to trwać 3 minuty (teoretycznie trwa to tylko 30 sec)! Znakiem zakończenia pracy narzędzia jest komunikat:

http://www.searchengines.pl/phpbb203/pl ... ilent3.png

Dopóki ten komunikat się nie pojawi log będzie niekompletny i obcięty! Log jest tworzony automatycznie w folderze w którym jest Silent Runners w postaci pliku Startup Programs (data-czas). TXT. Mamy więc loga, otwieramy go w Notatniku i przeklejamy jego zawartość do posta by pokazać picasso i spółce.

Problemy z uruchomieniem Silent Runners:

Norton lub inny antywirus zawiadamia o szkodliwym skrypcie

Pomyłka antywirusa Silent Runners jest programem skryptowym VBS a skrypty są często wykorzystywaną metodą przez wirusy /robaki. Program antywirusowy z wbudowaną funkcją filtrunku skryptów natychmiast wyłapuje próbę uchrumienia skryptu a że nie zna jego pochodzenia na oko ocenia go tylko na podstawie rozszerzenia VBS jako szkodliwy. Silent Runners NIE JEST SZKODLIWY i proszę w Nortonie autoryzować skrypt:

http://www.searchengines.pl/phpbb203/pl ... ilent4.gif

Po kliknięciu na VBS następuje prośba o wskazanie programu otwierającego lub program otwiera się w Notatniku

Problemem jest wyłączone WSH Windowsa. Proszę z TEJ instrukcji wykonać włączenie WSH (narzędzie Noscript na Enable, skojarzyć otwieranie VBS z wscript.exe, ustawić domyślną akcję z Edytuj na Otwórz).

Komunikat "Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze"

Kolejna wariacja problemu wyżej świadcząca o wyłączonym WSH ale na bazie restrykcji w rejestrze. W TYM temacie jest opisana edycja rejestru którą trzeba wykonać na odwrót by to odblokować (Wartości Enabled przypisać liczbę 1 i zresetować komputer).

Komunikat "This script requires WMI..."

Dotyczy starych systemów Windows 95/98/NT którym brakuje składnika WMI. Proszę sobie ściągnąć i zainstalować Windows Management Instrumentation (WMI) CORE

Komunikat "Serwer zdalny nie istnieje lub jest niedostępny"

Dotyczy Windows XP SP2. Problem może tworzyć wyłączona jedna z usług Windows. Proszę:

Start Uruchom services.msc

Na liście znaleźć usługę o nazwie Program uruchamiający proces serwera DCOM prawy klik Właściwości Typ startowy ustawić na Auto zresetować komputer.

Komunikat "The script cannot create its report file"

Dotyczy Windows XP a jest znakiem iż narzędzie nie może zapisać loga. Obejściem problemu jest skorzystanie z innej wersji Silent Runners: SilentRunnerRED.vbs gdy ukończy skorzystać z wersji oryginalnej.

Analiza loga:

Na teraz zaznaczę jedną ważną rzecz:

Silent Runners TYLKO robi listę lokalizacji gdzie coś ewentualnie się czai a lista ta zawiera zarówno pozycje prawidłowe jak i szkodliwe. Nie ma żadnej bazy danych i nie potrafi ocenić wpisów które listuje. Jedyny mechanizm który jest wbudowany do Silent Runners to porównanie zastanych wpisów do domyślnych wpisów aplikowanych na Windows. W związku z tym możecie napotkać dwa rodzaje komunikatów w logu:

INFECTION WARNING! / HIJACK WARNING!

Wpis sugerujący zakażenie ale wcale nie znaczący iż jest to faktyczna infekcja! Ten zapis jedynie mówi iż skanowanie zwróciło nietypowy wpis w miejscu gdzie go nie powinno domyślnie być ale ocena tego faktu zostaje dla tego kto loga analizuje. Kilka przykładów wpisów które mimo towarzyszącego opisu "WARNING" są absolutnie nieszkodliwe:

QUOTE

Aplikacje anty:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"

  • {CLSID}\InProcServer32(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

INFECTION WARNING! "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID]

  • {CLSID}\InProcServer32(Default) = "C:\Program Files\SpywareGuard\spywareguard.dll" [null data]

Narzędzie PageDefrag:

HKLM\System\CurrentControlSet\Control\Session Manager\

INFECTION WARNING! "BootExecute" = "pgdfgsvc C 1" ["Sysinternals - http://www.sysinternals.com"]

Sterowniki ATI:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

Office 2003:

HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  • {CLSID}\InProcServer32(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

Słownik angielski:

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

INFECTION WARNING! "load" = "F:\YDPDict\watch.exe" [null data]

Narzędzie filtrowania skryptów:

.HTA: HKLM\SOFTWARE\Classes\htafile\shell\open\command\

INFECTION WARNING! "Default" = "C:\Program Files\AnalogX\Script Defender\sdefend.exe %1 %*"

EXECUTION UNLIKELY

Tak markowane wpisy to oznaczenie przez Silent Runners iż jest to obiekt nie wykorzystywany przez system. Teoretycznie do usuwania jako zbędny, w praktyce tego nie ruszamy. Bardzo rzadki przypadek.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ {++}

EXECUTION UNLIKELY: "Registrando Panda ActiveX" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\as.dll" [MS]

EXECUTION UNLIKELY: "Registrando Panda Almacen" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\pavpz.dll" [MS]

EXECUTION UNLIKELY: "Registering ActiveScan controles" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\ascontrol.dll" [MS]

i to jest na razie tyle odnośnie tego programu , jeżeli coś już takiego było na tym forum to proszę moda o skasowani postu a jak nie to przenisienie w inne dostępne miejsce dostępne dla wszystkich, sądzę że na tak poważnym forum powinno znaleść się miejsce dla tego tematu i znajdą się również szpece od podpowiedzi w tym programie! !!


(Drahalt) #2

ulzana zupełnie nie rozumiem po co ten temat, przecież na dobrychprogramach znany jest Silent Runners :P, wpisz sobie w szukajke :stuck_out_tongue:

Pozdrawiam :smiley:


(Proph3t) #3

Może po to iż mamy również tutaj mniej doświadczonych użytkowników, którzy nie za bardzo wiedzą jak zrobić skana tym programem, gdzie znajduje się log itp. :lol:


(Asterisk) #4

Zamknięty do czasu posprzątania