Rogal Napisano 30 Sierpień 2010 Zgłoś Share Napisano 30 Sierpień 2010 Jak w temacie - od dłuższego czasu mnie to intryguje, jednak dopiero teraz zdecydowałem się o to zapytać. W jaki sposób analizować te logi, po czym poznawać co jest dobre a co nie? Ciekawi mnie to, bo goście spoglądają w loga i wiedzą co trzeba usunąć. Jak chcecie to ja mogę wstawić swoje i na przykładzie moich logów mi wytłumaczycie. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Ralliart Napisano 31 Sierpień 2010 Zgłoś Share Napisano 31 Sierpień 2010 Dla mnie po części też jest to czarna magia. Ludzie którzy to analizują na okrągło pewnie po prostu nie czytają wszystkiego, tylko sprawdzają newralgiczne wpisy świadczące o dziwnych rzeczach w systemie. Jak chcesz to wrzuć loga, postaramy się zanalizować. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Rogal Napisano 31 Sierpień 2010 Autor Zgłoś Share Napisano 31 Sierpień 2010 C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program files\P4G\BatteryLife.exe C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe C:\Program Files\Elantech\ETDCtrl.exe C:\Program Files\ASUS\Wireless Console 3\wcourier.exe D:\NOD32\nod32kui.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\SearchFilterHost.exe D:\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = wyborcza.biz/biznes/0,0.html?p=001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: :1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe O4 - HKLM\..\Run: [Wireless Console 3] C:\Program Files\ASUS\Wireless Console 3\wcourier.exe O4 - HKLM\..\Run: [nod32kui] "D:\NOD32\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA') O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Wpis w blogu - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Wpis w blogu w Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {4944924A-64E4-49C1-AC97-ABA3927262FE} (StWbUsa Control) - http://channel.dontblynk.com/Launcher/StWbUsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\NOD32\nod32krn.exe Generalnie odnoszę wrażenie, że wszystko odbywa się na zasadzie intuicji...ja np teraz usunąłbym O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing) bo wszelkie aplikacje Nero usunąłem bezpośrednio po pojawieniu się laptopa na moim biurku. Odnośnik do komentarza Udostępnij na stronach More sharing options...
imic89 Napisano 5 Listopad 2010 Zgłoś Share Napisano 5 Listopad 2010 Tutaj masz wszystko opisane co jest co: http://netsecurity.about.com/od/popupsandspyware/a/aahijackthis.htm Odnośnik do komentarza Udostępnij na stronach More sharing options...
Rogal Napisano 21 Czerwiec 2011 Autor Zgłoś Share Napisano 21 Czerwiec 2011 Od ostatniego posta minęło trochę czasu. Jak wiecie (albo część z was wie) udało mi się zmienić pracę, zajmuję się bardziej odpowiedzialnymi rzeczami. Zdarza mi się także serwisować komputery różnych osób, które w różny sposób je "infekują". HiJackThis! to doskonałe narzędzie do wstępnej analizy jakichkolwiek działań związanych ze sprawdzeniem "Whats going on". Nie jest jednak w 100% prostym. Nie ukrywajmy, że do najprostszych czynności należy wykonanie loga, o którym możemy przeczytać bezpośrednio na stronie domowej programu. Sama analiza loga to zabawa straszliwa. Kilka przydatnych porad w kwestii profesjonalnej analizy: 1. Wrzucaj pliki tekstowe ze skanem na forum. Ludzie tacy jak my są w stanie szybko i skutecznie analizować zapiski w pliku tekstowym z logiem wykonanego skanu, szybko wskazując odchylenia od prawidłowego działania. 2. Dla samodzielnej analizy można wykorzystać oficjalną stronę produktu: http://www.hijackthis.de/ . Wrzucacie zawartość pliku tekstowego lub go otwieracie przez narzędzie do uploadu na stronie www, zaś on sam dokonuje analizy z zaznaczeniem procesów "ok" i "check". 3. Metoda z punktu drugiego wymaga jednak wsparcia w postaci biblioteki procesów - jest ich kilka na Google. Samo wpisanie nazwy procesu w polu wyszukania Google pozwala znaleźć kilka typowych informacji o potencjalnym zagrożeniu. Zdecydowanie zalecam jednak wrzucanie logów z wykonanego skanu na forum (np. do nas). Pozwoli to zniwelować ryzyko "namieszania" w systemie bardziej niż przed podjęciem działań. Alternatywną aplikacją do HiJackThis jest Combofix - narzędzie dokładniejsze, lepsze i...trudniejsze. W większości przypadków wystarczy jednak zastosowanie HiJackThis. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Przem0l Napisano 22 Czerwiec 2011 Zgłoś Share Napisano 22 Czerwiec 2011 Teoretycnziej bezpieczniej jest jednak pracować na koncie "gość", wcześniej obciąć je dodatkowo poprzez chociażby gpedit i odpalać instalki poprzez "uruchum jako". To w pewnym stopniu powinno zabezpieczyć wasze dane. Kolejna sprawa to rozsądek: nie klikać we wszystko co zostanie wam podsunięte w mailu, na stronie czy od "znajomego" na FB, GG itp. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Tiritto Napisano 25 Czerwiec 2011 Zgłoś Share Napisano 25 Czerwiec 2011 Rogal w takim razie widze kolega po fachu . Ogólnie analiza HJT nie jest wcale taka trudna, a i jak już wspomniano szybko można to zrobić chociażby intyucyjnie (oczywiście po nabyciu w tym doświadczenia). Jeszcze inną ciekawą alternatywą dla HJT jest OTL. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Recommended Posts