Tutaj sprawdzamy logi z HiJack This
Po wygenerowaniu loga w HiJack This, naleźy go wkleić w okno na stronie http://www.hijackthis.de/en i nacisnąć przycisk ANALYZE.
Wpisy oznaczone zielonym znaczkiem SAFE są OK, ale zwracamy uwagę na wpisy "R0" i "R1" zawierające strony startowe, strony wyszukiwarek. Sprawdzamy –> My instalowaliśmy "searcha" ? My wpisywaliśmy daną stronę ? Jeśli nie, usuwamy pomimo zielonego koloru.
Czerwone NASTY i źółte POSSIBLY NASTY są niepoźądane – oczywiście naleźy im sie bliźej przyjrzeć, by nie usunąć zainstalowanego przez nas programu, który nie jest znany analizatorowi.
Szczególną uwagę naleźy zwrócić na oznaczenia UNKNOWN – analizator nie zna jeszcze takich programow/plikow. Naleźy je sprawdzić własnoręcznie, uźywajac www.google.com – chyba źe plik jest nam świetnie znany i pochodzi z instalowanego przez nas programu – takim wyjątkiem jest np. plik Gadu–Gadu gg.exe
Wpisy O17, np.:
Upewnijmy się czy to nasze numery DNS:
– w W9x z Uruchom komenda "winipcfg", porównujemy numery DNS
– w XP, 2wk, 2wk3 z Uruchom komenda "cmd"+Enter i w czarnym oknie Wiersza polecen "ipconfig /all". Równieź porównujemy numery DNS.
Warto przyglądnąć się tym wpisom, poniewaź zdarza się (bardzo rzadko), źe posiadamy oprócz swoich DNSów, równieź fałszywe – dodane przez śmieci.
Wpisy O20 – Winlogon Notify.
Sprawdzamy w google.com nazwę/nazwy występujących we wpisie plików. W razie podejrzeń pkt nr 8 w drugim przyklejonym temacie. Stosujemy od razu Look2Me Remover, Look2Me–Destroyer lub L2MFIX.
–––––––––––––––––––––––––––––––––––––––––––––––––––––
W przypadku gdyby usuwane wpisy pojawiały się na nowo i objawy zawirusowania nie ustępowały, naleźy załoźyc temat, podać wykonane kroki, podać objawy i wkleić nowo wykonany log.
Z sytuacją taką (powrót wpisów) moźemy spotkać się np. w przypadku obecności we wpisach "R0" ścieźki dostępu do plików "se.dll", "sp.html" i podobnych. Jeśli zauwaźymy w logu powyźsze pliki, w pierwszej kolejności ściągamy i uruchamiamy "fixa" dostępnego w drugim przyklejonym TUTAJ temacie, po czym wykonujemy nowy log i poddajemy analizie automatowi na linkowanej stronie.
Wpisy oznaczone zielonym znaczkiem SAFE są OK, ale zwracamy uwagę na wpisy "R0" i "R1" zawierające strony startowe, strony wyszukiwarek. Sprawdzamy –> My instalowaliśmy "searcha" ? My wpisywaliśmy daną stronę ? Jeśli nie, usuwamy pomimo zielonego koloru.
Czerwone NASTY i źółte POSSIBLY NASTY są niepoźądane – oczywiście naleźy im sie bliźej przyjrzeć, by nie usunąć zainstalowanego przez nas programu, który nie jest znany analizatorowi.
Szczególną uwagę naleźy zwrócić na oznaczenia UNKNOWN – analizator nie zna jeszcze takich programow/plikow. Naleźy je sprawdzić własnoręcznie, uźywajac www.google.com – chyba źe plik jest nam świetnie znany i pochodzi z instalowanego przez nas programu – takim wyjątkiem jest np. plik Gadu–Gadu gg.exe
Wpisy O17, np.:
oznaczane są przez analizator jako POSSIBLY NASTY. To nic innego jak nasze numery serwerów DNS, a oznaczane są tak wyłącznie dlatego, źe analizator nie zna wszystkich DNSów funkcjonujących w Europie, czy teź na całym świecie.O17 – HKLM\System\CCS\Services\Tcpip\..\{3F3F53E4–8B12–4E73–B474–7ADA7886F886}: NameServer = 194.204.152.34 217.98.63.164
Upewnijmy się czy to nasze numery DNS:
– w W9x z Uruchom komenda "winipcfg", porównujemy numery DNS
– w XP, 2wk, 2wk3 z Uruchom komenda "cmd"+Enter i w czarnym oknie Wiersza polecen "ipconfig /all". Równieź porównujemy numery DNS.
Warto przyglądnąć się tym wpisom, poniewaź zdarza się (bardzo rzadko), źe posiadamy oprócz swoich DNSów, równieź fałszywe – dodane przez śmieci.
Wpisy O20 – Winlogon Notify.
Sprawdzamy w google.com nazwę/nazwy występujących we wpisie plików. W razie podejrzeń pkt nr 8 w drugim przyklejonym temacie. Stosujemy od razu Look2Me Remover, Look2Me–Destroyer lub L2MFIX.
–––––––––––––––––––––––––––––––––––––––––––––––––––––
W przypadku gdyby usuwane wpisy pojawiały się na nowo i objawy zawirusowania nie ustępowały, naleźy załoźyc temat, podać wykonane kroki, podać objawy i wkleić nowo wykonany log.
Z sytuacją taką (powrót wpisów) moźemy spotkać się np. w przypadku obecności we wpisach "R0" ścieźki dostępu do plików "se.dll", "sp.html" i podobnych. Jeśli zauwaźymy w logu powyźsze pliki, w pierwszej kolejności ściągamy i uruchamiamy "fixa" dostępnego w drugim przyklejonym TUTAJ temacie, po czym wykonujemy nowy log i poddajemy analizie automatowi na linkowanej stronie.
Odpowiedzi: 3
Wklej.to wydaje się być rozsądniejszym rozwiązaniem, prawda?
Nie prościej by było opisać problem w swoim własnym wątku? Ten jakoś każdy potrzebujący potrafił ominąć i wstawić to do swojego tematu.
Wygrzebanie go zajęło ci pewnie więcej czasu niżby założenie nowego :]
Oto log z Trend Micro HijackThis v.2.0.2
http://www.wklejto.pl/78989
A co gdy pisze Unnecessarily. ( czerwony wykrzyknik a źółtym kółku)
Unnecessarily = niepotrzebny
EL NINO
Unnecessarily = niepotrzebny
EL NINO
Strona 1 / 1