revan
Administrator
Dołączył: 10 Cze 2007
Posty: 199
Przeczytał: 0 tematów
Ostrzeżeń: 0/5
Skąd: Polska-nie przyznaje sie do kaczorów
|
 Wysłany: Sob 9:00, 16 Cze 2007 Temat postu: Logi z SR(Silent Runner) |
|
|
Program sam w sobie nie kasuje zarażonych plików. Mało tego, pokazuje nam wpisy zarówno te dobre jak i te złe (podobnie jak HJT). A robi to na podstawie analizy domyślnych wpisów Windowsa w Rejetrze do tych zastanych juz w trakcie użytkowania komputera. Kompletną listę tychże wpisów, które analizuje Silent Runners znajdziecie TUTAJ.
Częstą pomyłką, którą popełnia "mniej świadomy" użytkownik, to kasacja wpisów, które zawierają zwrot: INFECTION WARNING! lub: HIJACK WARNING!
Te zwroty nie zawsze oznaczają infekcję. Przykłady tych dobrych, a zawierające te wyrażenia:
Kod:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
Kod:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]
Oczywiście nie są to wszystkie przykłady, więc przy analizie logu należy być naprawdę ostrożnym.
Uruchamianie.
Po zapisaniu pliku na dysku, klikamy nań dwukrotnie i naszym oczom pojawi się małe okienko z pytaniem: Do you want to skip the supplementary searches?
Mamy do wyboru dwie możliwości, czyli Yes lub No (trzeciej, czyli Anuluj nie bierzemy pod uwagę, chyba, że nie mamy zamiaru nic robic).
Yes (Tak) - Ta opcja spowoduje, że program wygeneruje skróconego loga w bardzo szybkim okresie czasu.
No (Nie) - Ta opcja spowoduje, że program wygeneruje pełnego loga, ale w dłuższym okresie czasu.
Nie muszę chyba mówić, że dajemy zawsze No, gdyż tylko taka opcja pozwoli nam na prawidłowe rozwiązanie problemu.
UWAGA!
Program pracuje w tle, a co za tym idzie, nie widzimy jego poczynań i cierpliwie czekamy aż skończy, co przejawia się takim komunikatem jak na screen'ie.
Program automatycznie zapisze log w tym samym folderze, w którym znajduje się program w postaci Startup Programs.txt.
Problemy z uruchamieniem
Jako, że program jest niczym innym jak skryptem VBS, to może pojawć się w związku z tym sporo problemów, związanych z samym funkcjonowaniem systemu Windows jak również restrykcjami nałożonymi przez [link widoczny dla zalogowanych] (zwłaszcza Norton Symantec). Postaram sie pokazać jak ów najczęstrze problemy ominąć.
Komunikat: Prośba o wskazanie programu otwierającego lub program otwiera się w Notatniku
Rozwiązanie.
Ten problem pojawia się, gdy nie mamy domyślnie skojarzonego programu do otwierania plików VBS. Można ominąć to na dwa sposoby. Pierwszy, to właśnie skojarzenie programu z ów plikiem. A robimy to w ten spoób:
Mój komputer=>Narzędzia=>Opcje folderów=>Typy plików
Odnajdujemy na liście VBS Script Files, podświetlamy i kasujemy.
Aby teraz przywrócić wszystko do dobrego stanu, należy utworzyć nowe rozszeżenie i przypisać mu odpowiedni program. Metoda jest następująca:
W tym samym oknie dajemy Nowy i w polu Rozszeżenie pliku wpisujemy VBS.
Następnie Zaawansowane i z listy Skojarzone typy plików wybieramy VBS Script Files i OK.
Przechodzimy do Zaawansowane i dajemy Nowe. W okienku które się pojawi:
Wpisujemy w polu Akcja - Otwórz, a w polu Aplikacja używana do wykoania akcji wpisujemy:
C:\WINDOWS\system32\wscript.exe "%1" %*
Drugim sposobem i znacznie łatwiejszym jest użycie jednego z malutkich programów, które całą tę operację zrobią za nas. Do jednej z nich należy noscript.exe firmy Symantec. Wystarczy kliknąć na Disable i mamy zablokowane uruchamianie plików VBS na naszym komputerze.
Jeśli chcemy aby skrypty mogły się otwierać, to wystarczy kliknąć na Enable i po kłopocie. Proste, skuteczne i co najważniejsze - działa.
Komunikat: Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze.
Rozwiązania.
Podobnie jak wyżej, z tą różnicą, że WSH (Windows Scripting Host) jest wyłączony restrykcją w Rejestrze. Naprawiamy to w taki oto sposób:
Przechodzimy do Rejestru (Start=>Uruchom=>Regedit) i szukamy klucza:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
W tym kluczu tworzymy nową wartość DWORD i jako nazwę podajemy Enable. Klikamy dwukrotnie na tę wartość i przypisujemy jej wartość 0.
Po zastosowaniu tego obejścia, przy próbie otwarcia pliku VBS, otzymamy błąd:
Chcąc odwrócić sytuację, wystarczy zmienić wartość Enable z 0 na 1.
Komunikat: Brak aparatu skryptów dla plików o rozszerzeniu vbs
Rozwiązanie.
Wystarczy powtórzyć czynności, które opisałem przy pierwszej poradzie. Dotyczy pierwszej części i to ona powinna wystarczyć.
Komunikat: This script requires WMI to run. Click on Start, Control Panel, Administrative Tools, Services, and start the WMI service.
Rozwiązanie.
Nawet jeśli w komputerze jest włączona usługa WMI, to może ona pracować niepoprawnie. Postępujemy tak:
Start=>Uruchom=>cmd i komenda net stop winmgmt
Następnie opróżnić folder C:\WINDOWS\system32\wbem\Repository
Start=>Uruchom=>cmd i komenda net start winmgmt
Restartujemy komputer.
Komunikat: This script requires WMI to run. It can be downloaded at: ...
Rozwiązanie.
Dotyczy tylko starszych systemów takich jak: Windows 95/98/NT
W takiej sytuacji należy zaopatrzyć się w WMI ściągając ją ze stron Microsoftu - do pobrania TUTAJ.
Komunikat: Serwer zdalny nie istnieje lub jest niedostępny
Rozwiązanie.
Należy uruchomić usługę DCOM i ustawić na tryb uruchamiania Automatyczny. Robimy to wpisując w: Start=>Uruchom=>services.msc.
Komunikat: The script cannot create its report file
Rozwiązanie.
Dotyczy tylko Windows XP. W takim przypadku proszę się zaopatrzyć w alternatywną wersję programu - SilentRunnersRED.vbs.
Komunikat: ... cannot use WMI to identify operating system. This is caused by corruption od WMI installation
Rozwiązanie.
W tym przypadku rozwiązanie nie jest aż takie proste, gdyż prawdopodobnie WMI w ogóle nie działa na naszym komputerze. Aby to skorygować i upewnić się, że tak właśnie jest, należy ściągnąć WMI Diagnosis Utility. Program pracuje w tle, więc proszę uzbroić się w cierpliwość i poczekać aż wygeneruje log, którego dajemy do analizy na Forum.
Post został pochwalony 0 razy
Ostatnio zmieniony przez revan dnia Sob 12:53, 04 Sie 2012, w całości zmieniany 1 raz
|
|
