Analizowanie logów z HiJackThis

[Rogal]

Jak w temacie - od dłuższego czasu mnie to intryguje, jednak dopiero teraz zdecydowałem się o to zapytać.

W jaki sposób analizować te logi, po czym poznawać co jest dobre a co nie?

Ciekawi mnie to, bo goście spoglądają w loga i wiedzą co trzeba usunąć. Jak chcecie to ja mogę wstawić swoje i na przykładzie moich logów mi wytłumaczycie.

[Ralliart]

Dla mnie po części też jest to czarna magia. Ludzie którzy to analizują na okrągło pewnie po prostu nie czytają wszystkiego, tylko sprawdzają newralgiczne wpisy świadczące o dziwnych rzeczach w systemie. Jak chcesz to wrzuć loga, postaramy się zanalizować.

[Rogal]

C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program files\P4G\BatteryLife.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files\ASUS\Wireless Console 3\wcourier.exe
D:\NOD32\nod32kui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\SearchFilterHost.exe
D:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = wyborcza.biz/biznes/0,0.html?p=001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: :1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [Wireless Console 3] C:\Program Files\ASUS\Wireless Console 3\wcourier.exe
O4 - HKLM\..\Run: [nod32kui] "D:\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Wpis w blogu - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Wpis w blogu w Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {4944924A-64E4-49C1-AC97-ABA3927262FE} (StWbUsa Control) - http://channel.dontblynk.com/Launcher/StWbUsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\NOD32\nod32krn.exe

Generalnie odnoszę wrażenie, że wszystko odbywa się na zasadzie intuicji...ja np teraz usunąłbym 

O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)

bo wszelkie aplikacje Nero usunąłem bezpośrednio po pojawieniu się laptopa na moim biurku. 

[imic89]

Tutaj masz wszystko opisane co jest co: http://netsecurity.about.com/od/popupsandspyware/a/aahijackthis.htm

[Rogal]

Od ostatniego posta minęło trochę czasu. Jak wiecie (albo część z was wie) udało mi się zmienić pracę, zajmuję się bardziej odpowiedzialnymi rzeczami. Zdarza mi się także serwisować komputery różnych osób, które w różny sposób je "infekują". HiJackThis! to doskonałe narzędzie do wstępnej analizy jakichkolwiek działań związanych ze sprawdzeniem "Whats going on". Nie jest jednak w 100% prostym.

Nie ukrywajmy, że do najprostszych czynności należy wykonanie loga, o którym możemy przeczytać bezpośrednio na stronie domowej programu.

Sama analiza loga to zabawa straszliwa. Kilka przydatnych porad w kwestii profesjonalnej analizy:

1. Wrzucaj pliki tekstowe ze skanem na forum. Ludzie tacy jak my są w stanie szybko i skutecznie analizować zapiski w pliku tekstowym z logiem wykonanego skanu, szybko wskazując odchylenia od prawidłowego działania.

2. Dla samodzielnej analizy można wykorzystać oficjalną stronę produktu: http://www.hijackthis.de/ . Wrzucacie zawartość pliku tekstowego lub go otwieracie przez narzędzie do uploadu na stronie www, zaś on sam dokonuje analizy z zaznaczeniem procesów "ok" i "check".

3. Metoda z punktu drugiego wymaga jednak wsparcia w postaci biblioteki procesów - jest ich kilka na Google. Samo wpisanie nazwy procesu w polu wyszukania Google pozwala znaleźć kilka typowych informacji o potencjalnym zagrożeniu.

Zdecydowanie zalecam jednak wrzucanie logów z wykonanego skanu na forum (np. do nas). Pozwoli to zniwelować ryzyko "namieszania" w systemie bardziej niż przed podjęciem działań.

Alternatywną aplikacją do HiJackThis jest Combofix - narzędzie dokładniejsze, lepsze i...trudniejsze.

W większości przypadków wystarczy jednak zastosowanie HiJackThis.

[Przem0l]

Teoretycnziej bezpieczniej jest jednak pracować na koncie "gość", wcześniej obciąć je dodatkowo poprzez chociażby gpedit i odpalać instalki poprzez "uruchum jako". To w pewnym stopniu powinno zabezpieczyć wasze dane. Kolejna sprawa to rozsądek: nie klikać we wszystko co zostanie wam podsunięte w mailu, na stronie czy od "znajomego" na FB, GG itp.

[Tiritto]

Rogal w takim razie widze kolega po fachu .

Ogólnie analiza HJT nie jest wcale taka trudna, a i jak już wspomniano szybko można to zrobić chociażby intyucyjnie (oczywiście po nabyciu w tym doświadczenia).

Jeszcze inną ciekawą alternatywą dla HJT jest OTL.