Silent Runners - opis narzędzia i interpretacja logów

[Bieniol]

Silent Runners - opis narzędzia.

Ostatnimi czasy bardzo często pojawiają się pytania, czy oprócz opisu interpretacji logów z Hijacka, istnieje opis logów z Silenta. Jako, że do tej pory taki opis nie istniał, to postanowiłem zrobić coś dla polskiego internetu, a to są tego wszystkiego efekty.

[Aby zobaczyć linki, zarejestruj się tutaj]

(klikamy prawym przyciskiem myszy -> Zapisz element docelowy jako)

Silent Runners jest pomocnym narzędziem przy zwalczaniu złośliwego oprogramowania. Z jednej strony jest lepszy od Hijacka, ponieważ jego logi są znacznie dokładniejsze, jednak z drugiej strony Silent Runners służy jedynie do generowania loga - wszelkie nieprawidłowości trzeba zwalczać ręcznie.

Instrukcja obsługi:

1.Śšciągamy narzędzie Silent Runners

2.Odpalamy poprzez dwuklik na ikonkę programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

3. Pojawi nam się okno z następującymi opcjami:

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak - program wykona krótkiego i mniej dokładnego loga
Nie - program wykona szczegółowy skan systemu i zapisze jego wyniki w postacie dokładnego loga
Anuluj - wyjście z programu

4. Wybieramy Nie , ponieważ zależy nam na dokładnym skanie systemu.

5. Pokazuje nam się teraz okno, czy jesteśmy pewni, że chcemy robić dokładne skanowanie systemu, ponieważ zajmuje ono troszkę czasu. Wybieramy oczywiście TAK .

[Aby zobaczyć linki, zarejestruj się tutaj]

6. Pojawi się następujący komunikat świadczący o rozpoczęciu skanowania:

[Aby zobaczyć linki, zarejestruj się tutaj]

UWAGA: Silent Runners pracuje w tle, czyli nie daje żadnych znaków pracy - proszę cierpliwie czekać :!:

7. Pojawienie się następującego komunikatu świadczy o skończeniu pracy programu i zapisaniu loga w folderze, w którym sam program się znajdował.

[Aby zobaczyć linki, zarejestruj się tutaj]

8.Wygląd przykładowego loga:

"Silent Runners.vbs", revision 49,

[Aby zobaczyć linki, zarejestruj się tutaj]

Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++}
"Gadu-Gadu" = ""Crogram FilesGadu-Gadugg.exe" /tray" ["Gadu-Gadu Sp. z oo"]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++}
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}" = "Crogram FilesGoogleGmail Notifiergnotify.exe" ["Google Inc."]

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "CROGRA~1SPYBOT~1SDHelper.dll" ["Safer Networking Limited"]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
InProcServer32(Default) = "Crogram FilesJavajre1.5.0_10binssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEToolbarHelper Class"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
InProcServer32(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobat ElementsContextMenu.dll" ["Adobe Systems Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
InProcServer32(Default) = "CROGRA~1ALCOHO~1ALCOHO~1AXShlEx.dll" ["Alcohol Soft Development Team"]
"{46E22146-59C0-4136-9233-52E412E2B428}" = "EzCddax extension"
-> {HKLM...CLSID} = "EzCddax Class"
InProcServer32(Default) = "Crogram FilesEasy CD-DA Extractor 8ezcddax8.dll" [null data]
"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"
-> {HKLM...CLSID} = "UnlockerShellExtension"
InProcServer32(Default) = "Crogram FilesUnlockerUnlockerCOM.dll" [null data]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
-> {HKLM...CLSID} = "Groove Folder Synchronization"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
-> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
-> {HKLM...CLSID} = "Groove XML Icon Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "Crogram FilesMicrosoft OfficeOffice12msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
InProcServer32(Default) = "CROGRA~1COMMON~1MICROS~1OFFICE12msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
InProcServer32(Default) = "CROGRA~1COMMON~1MICROS~1OFFICE12msoshext.dll" [MS]

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
InProcServer32(Default) = "Crogram Filesewido anti-spyware 4.0shellexecutehook.dll" ["Anti-Malware Development a.s."]
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
InProcServer32(Default) = "C:WINDOWSsystem32WPDShServiceObj.dll" [MS]

HKLMSoftwareClassesPROTOCOLSFilter
<<!>> text/xmlCLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
InProcServer32(Default) = "CROGRA~1COMMON~1MICROS~1OFFICE12MSOXMLMF.DLL" [MS]

HKLMSoftwareClasses*shellexContextMenuHandlers
Adobe.Acrobat.ContextMenu(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobat ElementsContextMenu.dll" ["Adobe Systems Inc."]
ewido anti-spyware(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
InProcServer32(Default) = "Crogram Filesewido anti-spyware 4.0context.dll" ["Anti-Malware Development a.s."]
EzCddax(Default) = "{46E22146-59C0-4136-9233-52E412E2B428}"
-> {HKLM...CLSID} = "EzCddax Class"
InProcServer32(Default) = "Crogram FilesEasy CD-DA Extractor 8ezcddax8.dll" [null data]
WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesDirectoryshellexContextMenuHandlers
ewido anti-spyware(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
InProcServer32(Default) = "Crogram Filesewido anti-spyware 4.0context.dll" ["Anti-Malware Development a.s."]
WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesFoldershellexContextMenuHandlers
UnlockerShellExtension(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
InProcServer32(Default) = "Crogram FilesUnlockerUnlockerCOM.dll" [null data]
WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesAllFilesystemObjectsshellexContextMenuHandlers
UnlockerShellExtension(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
InProcServer32(Default) = "Crogram FilesUnlockerUnlockerCOM.dll" [null data]
XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral
"Wallpaper" = "C:WINDOWSsystem32configsystemprofileUstawienia lokalneDane aplikacjiMicrosoftWallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCUControl PanelDesktop
"Wallpaper" = "Cocuments and SettingsRealDane aplikacjiOperaOperaprofileskinCradle_of_Filth_1280.bmp"


Enabled Screen Saver:
---------------------

HKCUControl PanelDesktop
"SCRNSAVE.EXE" = "C:WINDOWSSystem32logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_Entries {++}
000000000001LibraryPath = "%SystemRoot%System32mswsock.dll" [MS]
000000000002LibraryPath = "%SystemRoot%System32winrnr.dll" [MS]
000000000003LibraryPath = "%SystemRoot%System32mswsock.dll" [MS]

Transport Service Providers

HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_Entries {++}
0000000000##PackedCatalogItem (contains) DLL [Company Name] , (at) ## range:
%SystemRoot%system32mswsock.dll [MS] , 01 - 03, 06 - 13
%SystemRoot%system32rsvpsp.dll [MS] , 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCUSoftwareMicrosoftInternet ExplorerToolbarShellBrowser
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

HKCUSoftwareMicrosoftInternet ExplorerToolbarWebBrowser
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

HKLMSoftwareMicrosoftInternet ExplorerToolbar
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

Explorer Bars

HKLMSoftwareMicrosoftInternet ExplorerExplorer Bars
{182EC0BE-5110-49C8-A062-BEB1D02A220B}(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

HKLMSoftwareClassesCLSID{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}(Default) = "Groove Folder Synchronization"
Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar]
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesCLSID{FF059E31-CC5A-4E2E-BF3B-96E929D65503}(Default) = "&Poszukaj"
Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar]
InProcServer32(Default) = "CROGRA~1MICROS~1Office12REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLMSoftwareMicrosoftInternet ExplorerExtensions
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_10"
InProcServer32(Default) = "Crogram FilesJavajre1.5.0_10binnpjpi150_10.dll" ["Sun Microsystems, Inc."]

{2670000A-7350-4F3C-8081-5663EE0C6C49}
"ButtonText" = "Wyślij do programu OneNote"
"MenuText" = "Wyślij &do programu OneNote"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12ONBttnIE.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}
"ButtonText" = "Research"

{FB5F1910-F110-11D2-BB9E-00C04F795683}
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "Crogram FilesMessengermsmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

HTTP SSL, HTTPFilter, "C:WINDOWSSystem32svchost.exe -k HTTPFilter" {"C:WINDOWSSystem32w3ssl.dll" [MS] }
Machine Debug Manager, MDM, ""Crogram FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe"" [MS]


Print Monitors:
---------------

HKLMSystemCurrentControlSetControlPrintMonitors
Adobe PDF PortDriver = "C:WINDOWSsystem32AdobePDF.dll" ["Adobe Systems Incorporated."]
Monitor 2 języka BJDriver = "CNBJMON2.DLL" [MS]
Send To Microsoft OneNote MonitorDriver = "msonpmon.dll" [MS]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 18 seconds for message boxes)

Problemy z uruchomieniem Silent Runners:

Bardzo często zdarza się, że użytkownicy zgłaszają problem z uruchomieniem programu. Na szczęście każdy taki błąd ma rozwiązanie, więc nie należy rezygnować. Oto kilka najczęstszych błędów pojawiających się przy próbie uruchomienia Silenta:

1.Przy próbie uruchomienia programu pojawia się następujący błąd:

"Silent Runners" cannot use WMI to identify the operating system.
This is caused by corruption of the WMI installation.

WMI is complex and it is recommended that you use a Microsoft
tool, "WMIDiag.vbs," to diagnose WMI on your system.

W tym wypadku należy pobrać

[Aby zobaczyć linki, zarejestruj się tutaj]

, rozpakować i uruchomić plik WMIDiag.vbsi cierpliwie czekać na pojawienie się komunikatu i wyświetlenie loga.

2. Przy próbie uruchomienia programu pojawia się następujący błąd:

"Brak aparatu skryptów dla plików o rozszerzeniu vbs"

W tym wypadku należy wejść: Mój komputer -> Narzędzia -> Opcje folderów -> Typy plików

Zaznacz tam rozszerzenie VBSi kliknij Usuń . Następnie kliknij Nowy-> rozszerzenie pliku: VBS , Skojarzone typy plików: VBSscript Script Filei ok.
Następnie podświetl dodane rozszerzenie VBSi kliknij na dole Zaawansowane-> w oknie Akcje podświetl Otwórzi kliknij edytuj -> i ustaw tak:

• Aplikacja używana do wykonania akcji: C:WINDOWSsystem32wscript.exe "%1" %*
  
• Zaznacz: Użyj DDE
  
• Komunikat DDE: zostawiasz puste
  
• Aplikacja: WScript
  
• Nieuruchomiona aplikacja DDE: zostawiasz puste
  
• Temat: System

Klikasz OK -> OK -> Zastosuj -> Zamknij

3. Przy próbie uruchomienia programu pojawia się następujący błąd:

"Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze", lub program chce się otworzyć za pomocą notatnika

W tym wypadku należy ściągnąć niewielkie narzędzie

[Aby zobaczyć linki, zarejestruj się tutaj]

-> odpalić i zmienić z disable na enable.

[Bieniol]

Interpretacja loga - wstęp.

Narzędzie Silent Runners generuje logi w taki sposób, że widzimy je podzielone na poszczególne sekcje. Opiszę najpierw każdą z występujących (z mogących występować, ponieważ nie w każdym logu wszystkie się pojawiają) sekcji.

1. [Aby zobaczyć linki, zarejestruj się tutaj]

   - zbiór wpisów w rejestrze, które startują wraz ze startem systemu
   
   

2. [Aby zobaczyć linki, zarejestruj się tutaj]

   - w tej sekcji pokazywane są wszystkie restrykcje wprowadzane do naszego systemu (blokowanie pewnych opcji w systemie, przeglądarkach). W żadnym wypadku nie są one szkodliwe dla systemu, jednak powodują (gdy są ustawiane przez złośliwe oprogramowanie) utrudnienie pracy.
   
   

3. [Aby zobaczyć linki, zarejestruj się tutaj]

   - w tej sekcji określone są programy, akcesoria, za pomocą których otwierane są dane rozszerzenia plików. Jeżeli ta sekcja wystąpi i w podejrzany sposób daje o sobie znać, należy zastosować narzędzie ->

   [Aby zobaczyć linki, zarejestruj się tutaj]

   
   

4. [Aby zobaczyć linki, zarejestruj się tutaj]

   - są to pliki, które są dodawane do autostartu. W systemie występują w ścieżkach: Cocuments and SettingsAll UsersMenu StartProgramyAutostart lub Cocuments and SettingsNazwa Twojego KontaMenu StartProgramyAutostart. Rzadko się zdarza, że znajdują się tam nieproszeni goście, jednak takie przypadki są spotykane.
   
   

5. [Aby zobaczyć linki, zarejestruj się tutaj]

   - Zaplanowane zadania w naszym systemie.
   
   

6. [Aby zobaczyć linki, zarejestruj się tutaj]

   - właściwości tapety.
   
   

7. [Aby zobaczyć linki, zarejestruj się tutaj]

   - Wygaszacz ekranu.
   
   

8. [Aby zobaczyć linki, zarejestruj się tutaj]

   - wykaz plików, które znajdują się łańcuchu Winsock
   
   

9. [Aby zobaczyć linki, zarejestruj się tutaj]

   - w tej sekcji wymienione są dodatkowe narzędzia: osobiste paski (toolbary), dodatkowe przyciski (w przeglądarkach lub systemie).
   
   

10. [Aby zobaczyć linki, zarejestruj się tutaj]

    - rozmaite "udoskonalenia" przeglądarki Internet Explorer.
    
    

11. [Aby zobaczyć linki, zarejestruj się tutaj]

    - tutaj zostajemy informowani, czy w pliku HOSTS nie dzieją się jakieś dziwne rzeczy. Więcej o pliku HOSTS dowiedzieć się można

    [Aby zobaczyć linki, zarejestruj się tutaj]

    
    

12. [Aby zobaczyć linki, zarejestruj się tutaj]

    - monitor drukownia, czyli pliki powiązane z drukarkami. Bardzo rzadko znajdują się tam wirusy, jednak w dzisiejszych czasach możemy się spodziewać wszystkiego.
    
    

13. [Aby zobaczyć linki, zarejestruj się tutaj]

    - jest to wykaz aktywnych w systemie usług (niekoniecznie systemowych).

Podstawowa terminologia:

• [file not found] - każdy, który choć troche zna język angielski potrafi przerobić to na nasz język ojczysty - pliku nie odnaleziono. W takich przypadkach w 99% wpisy te usuwamy, chyba że są one wynikiem przekłamania programu, co jednak zdarza się bardzo rzadko.
  
  
• [null data] - są nim oznaczane pliki, które istnieją w systemie, jednak nieznane jest ich "pochodzenie" (firma, koroporacja..). Nie jest tutaj jasno określone, czy dany plik jest plikiem fałszywym, czy też prawdziwym - dlatego to one stwarzają nam najwięcej problemów.
  
  
• [nazwa korporacji] - dzięki takiemu oznaczeniu wiemy, że dany plik jest powiązany z jakąś korporacją. W większości przypadków pliki takie są plikami prawidłowymi, jednak istnieją pewne odstępstwa.
  
  
• (empty string)- w dosłownym tłumaczeniu "pusta ścieżka", czyli pliki które w Silencie mają tę ścieżkę poukrywaną.
  
  
• (unwritable string)- niezapisywalna ścieżka, przeważnie są nim oznaczane pliki, których ścieżka nie jest jednoznacznie określona.
  
  
• INFECTION WARNING!(w najnowszej wersji Silenta pokazuje sie: <<!>> ) - wpis ten niby sugeruje zagrożenie, jednak niekoniecznie owe zagrożenie musi się pojawić. Nie należy od razu przejmować się, że system może być zakażony.

[Bieniol]

Sekcja I - Startup items buried in registry

HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++}

W tej sekcji znajdują się programy, które startują wraz ze startem systemu i są poukrywane w kluczu HKEY_CURRENT_USER(czyli programy, które odpalają się dla indywidualnego użytkownika). Są one dokładnymi odpowiednikami wpisów z Hijacka (wpisy: O4 - HKCU..Run ). Przeglądając ten klucz, zwróć uwagę na programy, ktore się tam pojawiają. Jeżeli kompletnie nie znasz danego softu, to warto rozejrzeć się, czy nie jest to szkodnik.

Prawidłowe:

"MailScanner" = "Crogram FilesMKS_VIR_2006Mks_mail.exe" ["MKS sp. z o. o."]
"Gadu-Gadu" = ""Crogram FilesGadu-Gadugg.exe" /tray" ["Gadu-Gadu S.A."]
"ctfmon.exe" = "C:WINDOWSsystem32ctfmon.exe" [MS]
"LogitechSoftwareUpdate" = ""Crogram FilesLogitechVideoManifestEngine.exe" boot" ["Logitech Inc."]
"Skype" = ""Crogram FilesSkypePhoneSkype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"odk_mcd" = (empty string)

Szkodliwe:

"myZt1" = "COCUME~1RavnenUSTAWI~1Temp Zt1 SVCH0ST.EXE" [null data]
"myWl2" = "COCUME~1RavnenUSTAWI~1Temp Wl2 lexplore.exe" [null data]
"Tona" = ""C:WINDOWSsystem32CURITY~1 attrib.exe " -vt yazr" [null data]
"Vdwov" = "Crogram FilesCommon Files W*nSxS w*nspool.exe" (unwritable string) [null data]

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun {++}

W kluczu tym wylistowane są programy (dla wszystkich userów systemu), które odpalają się zaraz po załadowaniu Explorera. Różnica polega na tym, że w tej lokalizacji w rejestrze nie powinny się znajdować żadne wpisy, więc tutaj raczej problemów z określeniem szkodliwości nie ma.

Szkodliwe:

"twin" = "C:WINDOWSSystem32 twunk32.exe " [null data]
"WinUpdate.exe" = "Crogram FilesWindows WinUpdate.exe " [null data]
"DriverLoad" = "criverLoad svchost.exe -dl" [file not found]
"DriverCheck" = "criverLoad svchost.exe -dc" [file not found]
"SystemDriverLoad" = "criverLoad svchost.exe -sdl" [file not found]
"SystemDriverCheck" = "criverLoad svchost.exe -sdc" [file not found]
"SystemCheck" = "criverLoad svchost.exe -sc" [file not found]

HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun

W kluczu tym wylistowane są programy (dla indywidualnego użytkownika), które odpalają się zaraz po załadowaniu Explorera. Różnica polega na tym, że w tej lokalizacji w rejestrze nie powinny się znajdować żadne wpisy, więc tutaj raczej problemów z określeniem szkodliwości nie ma.

Szkodliwe:

"{D0D97591-0BB0-1045-0221-051020030030}" = ""Crogram FilesCommon Files {D0D97591-0BB0-1045-0221-051020030030} Update.exe" mc-110-12-0000272" [null data]
"WinUpdate.exe" = "Crogram FilesWindows WinUpdate.exe " [null data]
"{4C719D1B-0710-1045-0315-061005050030}" = ""Crogram FilesCommon Files {4C719D1B-0710-1045-0315-061005050030} Update.exe" mc-110-12-0000272" [null data]

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun {++}

W tej sekcji znajdują się programy, które startują wraz ze startem systemu i są poukrywane w kluczu HKEY_LOCAL_MACHINE(czyli odpalają się dla wszystkich userów systemu). Są one dokładnymi odpowiednikami wpisów z Hijacka (wpisy: O4 - HKLM..Run ).

Prawidłowe:

"Jet Detection" = ""Crogram FilesCreativeSBLivePROGRAMADGJDet.exe"" [empty string]
"H2O" = "Crogram FilesSyncroSoftPosH2Ocledx.exe" ["Team H2O"]
"avast!" = "CROGRA~1ALWILS~1Avast4ashDisp.exe" [null data]
"SunJavaUpdateSched" = "Crogram FilesJavajre1.5.0_06binjusched.exe" ["Sun Microsystems, Inc."]
"DAEMON Tools" = ""Crogram FilesDAEMON Toolsdaemon.exe" -lang 1033" ["DT Soft Ltd."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"Zone Labs Client" = ""Crogram FilesZone LabsZoneAlarmzlclient.exe"" ["Zone Labs, LLC"]

Szkodliwe:

"mhs2" = "COCUME~1RavnenUSTAWI~1Temp smss.exe " [null data]
"jiahus" = "C:WINDOWSSystem32 svchcs.exe " [file not found]
"keyboard" = "C:\ keyboard25.exe " [file not found]
"defender" = "C:\ defender23a.exe " ["ÄÂAIA"]
"newname" = "C:\ newname25.exe " [file not found]
"mhxbwija" = "C:WINDOWSsystem32 scxfcjuo.exe " [null data]
"WeatherOnTray" = "Crogram Files HbTools Bin4.7.0.0HbtWeatherOnTray.exe" ["Hotbar.com Inc."]

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

W tej sekcji znajdują się rozszerzenia przeglądarki internetowej. Rozszerzenia te mogą być zarówno pożyteczne, jak i szkodliwe (co widać niżej). Każde wejście jest oznaczone numerkiem CLSID(czyli zapisany w systemie szesnastkowym). Przy identyfikowaniu tego wejścia warto zapoznać się z

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz

[Aby zobaczyć linki, zarejestruj się tutaj]

Są to odpowiedniki wpisów: O2 - BHOw Hijacku.

Prawidłowe:

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll" ["Adobe Systems Incorporated"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
InProcServer32(Default) = "Crogram FilesJavajre1.5.0_06binssv.dll" ["Sun Microsystems, Inc."]

{02478D38-C3F9-4EFB-9B51-7695ECA05670}(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
InProcServer32(Default) = "Crogram FilesYahoo!CompanionInstallscpnyt.dll" ["Yahoo! Inc."]

Szkodliwe:

{00A6FAF1-072E-44cf-8957-5838F569A31D}(Default) = (no title provided)
-> {HKLM...CLSID} = "MyWebSearch Search Assistant BHO"
InProcServer32(Default) = "Crogram Files MyWebSearch SrchAsttd.binMWSSRCAS.DLL" ["MyWebSearch.com"]

{2A8A997F-BB9F-48F6-AA2B-2762D50F9289}(Default) = "ShprRprts"
-> {HKLM...CLSID} = "ShprRprts"
InProcServer32(Default) = "Crogram Files ShopperReports Bin2.0.0ShprRprt.dll" ["ShopperReports"]

{37B85A21-692B-4205-9CAD-2626E4993404}(Default) = "My Global Search Bar BHO"
-> {HKLM...CLSID} = "My Global Search Bar BHO"
InProcServer32(Default) = "Crogram Files MyGlobalSearch bar2.binMGSBAR.DLL" ["My Global Search"]

HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved

Jak wiadomo wszystkie wejścia shella muszą zostać zaakceptowane. Dzieje się to w tym kluczu, ponieważ tworzą się tam nowe wartości o nazwie takiej samej jak CLSIDw Shell Extension , które przekazywane są dalej.


Prawidłowe:

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
InProcServer32(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]

"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
InProcServer32(Default) = "CROGRA~1ALCOHO~1ALCOHO~1AXShlEx.dll" ["Alcohol Soft Development Team"]

Szkodliwe:

"{DBAC98A7-B83D-473A-AB70-AFD44EA3C8CB}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "C:WINDOWSsystem32 mwrepl40.dll " [file not found]

"{C60A6C33-318A-453B-B790-B2B66A079EFD}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "C:WINDOWSsystem32 guard.tmp " [file not found]

"{856CCDDF-B2A4-477A-86F5-D8FCB06130DC}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "C:WINDOWSsystem32 kfdir.dll " [null data]

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

W kluczu tym wylistowane są aplikacje COM( jest to pewien standard definiowania i tworzenia interfejsów programistycznych na poziomie binarnym dla komponentów software wprowadzony przez firmę Microsoft wraz z bibliotekami zapewniającymi podstawowe ramy i usługi dla współdziałania komponentów COM i aplikacji) . Wszystkie objekty są identyfikowane przez system unikatowo ( GUID ).


Prawidłowe:

<<!>> "{93994DE8-8239-4655-B1D1-5F4E91300429}" = (no title provided)
-> {HKLM...CLSID} = "DVDIdleShell Class"
InProcServer32(Default) = "cROGRA~1DVDREG~1DVDShell.dll" ["Fengtao Software"]

<<!>> "{06A48AD9-FF57-4E73-937B-B493E72F4226}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "Crogram FilesCommon FilesMicrosoft SharedMSINFOWinInfo.rxk" [null data]

INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}InProcServer32(Default) = "Crogram FilesMicrosoft AntiSpywareshellextension.dll" [MS]

INFECTION WARNING! "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID]
-> {CLSID}InProcServer32(Default) = "Crogram FilesSpywareGuardspywareguard.dll" [null data]

Szkodliwe:

INFECTION WARNING! "{C4836B24-616D-40E4-779C-AA844B88CBD7}" = "*" (unwriteable string)
-> {CLSID}InProcServer32(Default) = "C:WINDOWS lmzuxil.dll " [file not found]

INFECTION WARNING! "{695C7A06-0723-4D3D-66BD-E27E09C12791}" = "*] " (unwriteable string)
-> {CLSID}InProcServer32(Default) = "C:WINDOWS hslkh.dll " [file not found]

INFECTION WARNING! "{93CBA334-BB51-42AD-10A8-6DE6224A31A2}" = "*" (unwriteable string)
-> {CLSID}InProcServer32(Default) = "C:WINDOWS zgzwp.dll " [file not found]

INFECTION WARNING! "{81EF2F2D-64AF-4219-5FBF-16E80D5D07DE}" = "*d" (unwriteable string)
-> {CLSID}InProcServer32(Default) = "C:WINDOWS vgrun.dll " [file not found]

HKLMSoftwareMicrosoftActive SetupInstalled Components

W kluczu tym mamy listę aplikacji, które zostały zidentyfikowane przez system Windows w sposób unikatory (tzw. GUID - Globally Unique Identifier- GUID jest generowany między innymi na podstawie czasu wygenerowania oraz liczb losowych. Ma on postać grupy znaków rozdzielonych myślnikami zawartej w nawiasach klamrowych. Znaki te to liczby zapisane w systemie szesnastkowym. ). Przeważnie są to typowo systemowe programy (Outlook Express, Interet Explorer...).

Prawidłowe:

>{26923b43-4d38-484f-9b9e-de460746276c}(Default) = "Internet Explorer"
StubPath = "C:WINDOWSsystem32shmgrate.exe OCInstallUserConfigIE" [MS]

>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}(Default) = "Outlook Express"
StubPath = "C:WINDOWSsystem32shmgrate.exe OCInstallUserConfigOE" [MS]

<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}(Default) = "IE7 Uninstall Stub"
StubPath = "C:WINDOWSsystem32ieudinit.exe" [MS]

HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

W kluczu tym zgromadzone są (wylistowane) biblioteki DLL, które ładują się bezpośrednio po załadowaniu Explorera. Róznica (w stosunku do klczy Run) polega na tym, że nie informacje o bibliotece DLL są przekazywane w postaci numerka CLSID. Są to dokładne odpowiedniki wpisów

• O21 - SSODL:

Prawidłowe:

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
InProcServer32(Default) = "C:WINDOWSsystem32WPDShServiceObj.dll" [MS]

Szkodliwe:

"CE0CFJAI" = "{0BE80B77-6D55-174A-172B-18FB5F207A1F}"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "C:WINDOWSSystem32 Gjckmf32.dll " [null data]

WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
-> {CLSID}InProcServer32(Default) = "C:WINDOWSSystem32 xp52661.dll " [null data]

"SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34546}"
-> {HKLM...CLSID} = "System Check Application"
InProcServer32(Default) = "C:WINDOWSsystem32 vbsys2.dll " [null data]

"bestreak" = "{874443fe-aa33-4ebf-a6ac-73208787e62d}"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "C:WINDOWSsystem32 viruxz.dll " [null data]

HKLMSoftwareClassesPROTOCOLSFilter

Wpisy te są odpowiedzialne za tworzenie nowego protokołu, który jest interpretowany przez przegladarkę Internet Explorer jako początek adresu strony. To wejście w Silencie jest odpowiednikiem wpisów:

• O18 - Filter hijack:

Prawidłowe:

<<!>> text/xmlCLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "Crogram FilesCommon FilesMicrosoft SharedOFFICE11MSOXMLMF.DLL" [MS]

INFECTION WARNING! application/octet-streamCLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
InProcServer32(Default) = "C:WINDOWSsystem32mscoree.dll" [file not found]

INFECTION WARNING! application/x-complusCLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
InProcServer32(Default) = "C:WINDOWSsystem32mscoree.dll" [file not found]

INFECTION WARNING! application/x-msdownloadCLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
InProcServer32(Default) = "C:WINDOWSsystem32mscoree.dll" [file not found]

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows

W kluczu tym (a dokładniej w wartości AppInit_DLLs ) umieszczona jest lista plików DLL, które ładują się z systemem po załadowaniu pliku user32.dll . Pliki, które znajdują się na tej liście startują w fazie rozruchowej, czyli ich usuwanie jest znacznie utrudnione. Odpowiednikiem tego wejścia w Silencie jest wpis:

• O20 - AppInit_DLLs

Prawidłowe:

"AppInit_DLLs" = "CROGRA~1KASPER~1KASPER~1.0adialhk.dll" ["Kaspersky Lab"]
INFECTION WARNING! "AppInit_DLLs" = "sockspy.dll" [null data]
INFECTION WARNING! "AppInit_DLLs" = " C:WINDOWSsystem32ati2evxx.dll" [null data]

Szkodliwe:

INFECTION WARNING! "AppInit_DLLs" = " sysiusrc.dll hhsedpvo.dll " [null data]
INFECTION WARNING! "AppInit_DLLs" = " 2o0a4ocblzi34.tlb 6mm1auif9x5.tlb " [null data]
INFECTION WARNING! "AppInit_DLLs" = " Wqk.dll " [null data]

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows

Klucz ten nie jest już przeważnie używany, ale w zamierzchłych czasach (i jednak czasami się to spotyka), klucz ten służył do autostaru programów. Wartość loadstandardowo istnieje w rejestrze Windowsowym, ale jego wartość jest pusta. Watrość runnatomiast, standardowo nie istnieje, jednak niektóre szkodniki same sobie ją tworzą, żeby mieć łatwiejszy dostęp do systemu. Wejścia te są dokładnymi odpowiednikami kolejno:

• run - F1 - win.ini: run
  
• load - F1 - win.ini: load

Prawidłowe:

INFECTION WARNING! "load" = "C:YDPDictwatch.exe" [null data]

Szkodliwe:

INFECTION WARNING! "run" = "C:WINDOWS inet20001 winlogon.exe" [null data]
INFECTION WARNING! "load" = "C:WINDOWSsystem32 shchostv.exe " [null data]
INFECTION WARNING! "run" = "C:WINDOWSsystem32 shchostv.exe " [null data]
INFECTION WARNING! "load" = "?g" [file not found]

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

W kluczu tym (a zarazem w Silencie) pojawiają się trzy wartości: Shell , Userinitoraz System . Wartość Shelljest odpowiedzialna za programy, będące domyślnym Shellem Windows. Standardowa wartość to explorer.exe(odpowiedzialna za start paska zadań, pulpitu, menu start), ale istnieją również programy, które wszczepiają się w Shella, ale szkodliwe nie są. Userinitz kolei pokazuje nam, jaki program będzie uruchomiony tuż po zalogowaniu się do systemu. Wpisy te są kolejno odpowiednikami:

• Shell - F2 - REG:system.ini: Shell
  
• Userinit - F2 - REG:system.ini: UserInit

[/list]
Trzecią grupę stanowi wartość System , w której wylistowane są programy odpowiedzialne za ochornę systemu. Klucz w rejestrze istnieć musi, jednak jego standardowa wartość jest pusta. Klucz ten nie posiada swojego odpowiednika w Hijacku.

Prawidłowe:

INFECTION WARNING! "GinaDLL" = "C:WINDOWSSystem32BCMLogon.dll" ["Broadcom Corporation"]

Szkodliwe:

INFECTION WARNING! "System" = " csxhc.exe " [null data]
INFECTION WARNING! "System" = " csbbj.exe " [null data]
INFECTION WARNING! "System" = " csmgc.exe " [null data]
INFECTION WARNING! "Shell" = "Explorer.exe, C:WINDOWSsystem32 ofpoi.exe " [MS] , [null data]
INFECTION WARNING! "Userinit" = "C:WINDOWSSYSTEM32Userinit.exe, abwsthi.exe " [MS] , [null data]
INFECTION WARNING! "Shell" = "explorer.exe "Crogram FilesCommon FilesMicrosoft SharedWeb Folders ibm00001.exe "" [MS] , [file not found] , [file not found] , [file not found] , [file not found] , [file not found]

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify

Winlogon ładuje różnorodne powiadomienia, które wylistowane są w tym kluczu. Powiadomienia mogą być prawdziwe (jak np. powiadomienie o nielegalności systemu Windows), oraz powiadomienia np. w formie reklam (wtedy trzeba zagłębić się w tę kwestię). Odpowiednikiem tego wejścia jest w Hijacku wpis:

• O20 - Winlogon Notify:

Prawidłowe:

<<!>> klogonDLLName = "C:WINDOWSSystem32klogon.dll" ["Kaspersky Lab"]
INFECTION WARNING! WgaLogonDLLName = "WgaLogon.dll" [MS]
INFECTION WARNING! igfxcuiDLLName = "igfxdev.dll" ["Intel Corporation"]
INFECTION WARNING! AtiExtEventDLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

Szkodliwe:

INFECTION WARNING! artm_newregDLLName = "Focuments and SettingsAll UsersDokumentySettings artm_new.dll " [null data]
INFECTION WARNING! scrovfpoDLLName = "F:WINDOWSsystem32 scrovfpo.dll " [null data]
INFECTION WARNING! App PathsDLLName = "C:WINDOWSsystem32 azaml9f11.dll " [null data]
<<!>> winmmt32DLLName = " winmmt32.dll " [null data]

HKLMSystemCurrentControlSetControlSession Manager

W tym kluczu pojawia się jedynie wartość BootExecutezawierająca spis komend egzekwowanych w trakcie bootowania systemu. Domyślna wartość tego klucza to autocheck autochk * , jednak czasami (jak widać niżej) prawidłowe aplikacje podłączają się pod ten klucz.

Prawidłowe:

INFECTION WARNING! "BootExecute" = "oodbs" ["O&O Software GmbH"]
INFECTION WARNING! "BootExecute" = "pgdfgsvc C 1" ["Sysinternals -

[Aby zobaczyć linki, zarejestruj się tutaj]

"]

Szkodliwe:

INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e" [file not found] , [MS] , [file not found] , [file not found]

INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.exerentVersionPoliciesSystem" [file not found] , [MS] , [file not found] , [file not found]

"BootExecute" = ** WARNING -- empty or invalid data! **

Rejestr Windowsa ma wylistowane programy (lub wybrane opcje programów), które występują w menu kontekstowym (pod prawym przyciskiem myszy). Widzimy to w następujących kluczach:

HKLMSoftwareClasses*shellexContextMenuHandlers

Opcje w Menu kontekstowym dla poszczególnych plików na dyskach.

Prawidłowe:

NOD32 Context Menu Shell Extension(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
-> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
InProcServer32(Default) = "Crogram FilesEsetnodshex.dll" [null data]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]

Kaspersky Anti-Virus(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "Crogram FilesKaspersky LabKaspersky Internet Security 6.0shellex.dll" ["Kaspersky Lab"]

EzCddax(Default) = "{46E22146-59C0-4136-9233-52E412E2B428}"
-> {HKLM...CLSID} = "EzCddax Class"
InProcServer32(Default) = "Crogram FilesEasy CD-DA Extractor 8ezcddax8.dll" [null data]

Adobe.Acrobat.ContextMenu(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobat ElementsContextMenu.dll" ["Adobe Systems Inc."]

Szkodliwe:

mkqyskst(Default) = "{14b0caf9-d1f6-4fe5-979f-abd0af6edc25}"
-> {CLSID}InProcServer32(Default) = "C:WINDOWSSystem32 kklmq.dll " [null data]

kgqxfynq(Default) = "{cf730d36-f8dd-444b-ad90-2791fd761cec}"
-> {CLSID}InProcServer32(Default) = "D:WINDOWSSystem32 kglwf.dll " [null data]

fsqxffsn(Default) = "{93211749-b820-4524-9bf7-18ef8249546c}"
-> {CLSID}InProcServer32(Default) = "C:WINDOWSsystem32 fqlwf.dll " [file not found]

HKLMSoftwareClassesDirectoryshellexContextMenuHandlers

Opcje w Menu kontekstowym dla poszczególnych katalogów na dyskach.

Prawidłowe:

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]

7-Zip(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
InProcServer32(Default) = "C:7-Zip7-zip.dll" ["Igor Pavlov"]

ewido(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
InProcServer32(Default) = "Crogram Filesewido anti-malwarecontext.dll" ["ewido networks"]

XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesFoldershellexContextMenuHandlers

Opcje w Menu kontekstowym dla poszczególnych folderów na dyskach.

Prawidłowe:

NOD32 Context Menu Shell Extension(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
-> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
InProcServer32(Default) = "Crogram FilesEsetnodshex.dll" [null data]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
InProcServer32(Default) = "Crogram FilesWinRARrarext.dll" [null data]

Kaspersky Anti-Virus(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "Crogram FilesKaspersky LabKaspersky Internet Security 6.0shellex.dll" ["Kaspersky Lab"]

UnlockerShellExtension(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
InProcServer32(Default) = "Crogram FilesUnlockerUnlockerCOM.dll" [null data]

XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesAllFilesystemObjectsshellexContextMenuHandlers

Opcje w Menu kontekstowym dla wszystkich objektów systemowych na dyskach.

Prawidłowe:

UnlockerShellExtension(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
InProcServer32(Default) = "Crogram FilesUnlockerUnlockerCOM.dll" [null data]

XXX Groove GFS Context Menu Handler XXX(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

HKLMSoftwareClassesFoldershellexColumnHandlers

W kluczu tym widzimy listę informacji, które będą nam się pojawiać w chwili, kiedy wybierzemy widok szczegółowy wybranego folderu. Trudno jest to opisać słowami, więc przedstawiam screena:

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

{F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
InProcServer32(Default) = "Drogram FilesAdobeAcrobat 7.0ActiveXPDFShell.dll" ["Adobe Systems, Inc."]

{7D4D6379-F301-4311-BEBA-E26EB0561882}(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
InProcServer32(Default) = "Crogram FilesCommon FilesAheadLibNeroDigitalExt.dll" ["Nero AG"]

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = ""C:OpenOffice.ux.pl 2.0.4.1programshlxthdl.dll"" ["Sun Microsystems, Inc."]

Szkodliwe:

{CE3A44D8-BC88-4D62-A890-42D96245F8D6}(Default) = "{CE3A44D8-BC88-4D62-A890-42D96245F8D6}"
-> {HKLM...CLSID} = "Columns class"
InProcServer32(Default) = "C:WINDOWSsystem32 dmonwv.dll " [file not found]

[Bieniol]

Sekcja 2 - Group Policies {GPedit.msc branch and setting}

HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies
HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

W tych kluczach znajdują się restrykcje nakładane na nasz system (blokady przeglądarek, rejestru...). Zwykle nie mają one szkodliwego wpływu na działanie systemu, jednak często znacznie utrudniają pracę w systemie. W tej sekcji trzeba samemu sobie odpowiedzieć, czy dana restrykcja jest nałożona przez nas, czy przez ewentualnego robaka, oraz czy nie jest to wartość standardowa.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Szkodliwe:

HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]
{User Configuration|Administrative Templates|Windows Components|
Internet Explorer|Toolbars|Disable customizing browser toolbars}

HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:WINDOWS desktop.html "
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name

[Bieniol]

Sekcja 3 - Default executables

W sekcji tej, a dokładnie w kluczach:

HKLMSoftwareClasses.bat
HKCUSoftwareClasses.scr
HKLMSoftwareClasses.com
HKLMSoftwareClasses.exe
HKLMSoftwareClasses.pif
HKLMSoftwareClassesexefileshellopencommand
HKLMSoftwareClassesscrfileshellopencommand

Określone są programy, akcesoria, za pomocą których otwierane są dane rozszerzenia plików. Z reguły, kiedy ta sekcja się pojawi, wypadałoby zastosować narzędzie

[Aby zobaczyć linki, zarejestruj się tutaj]

. Czasami zdarza się (jak widać na przykładzie niżej), że szkodnik podpina się pod jakieś rozszerzenie, jednak w dużej ilości przypadków problem stanowi brak ustawionej dla danego rozszerzenia aplikacji. Jeżeli któreś rozszerzenie plików odmawia nam posłuszeństwa, to tą sekcją trzeba się szczególnie zainteresować.

Prawidłowe:

<<!>> HKLMSoftwareClassesscrfileshellopencommand(Default) = ""%1" %*" [file not found]

HKCUSoftwareClasses.scr(Default) = "AutoCADScriptFile"

<<!>> HKCUSoftwareClassesAutoCADScriptFileshellopencommand(Default) = ""C:WINDOWSnotepad.exe" "%1"" [MS]

Szkodliwe:

HKLMSoftwareClasses.bat(Default) = (value not set)

HKLMSoftwareClasses.com(Default) = (value not set)

HKLMSoftwareClasses.exe(Default) = (value not set)

.EXE: HKLMSOFTWAREClassesexefileshellopencommand
INFECTION WARNING! "Default" = ""C:WINDOWSSystem32 msnethlp32.exe " -run "%1" %*"

[Bieniol]

Sekcja 4 - Startup items in "****" & "All Users" startup folders

Są to ścieżki nie w rejestrze, ale w systemie, gdzie znajdują się pliki, które ręcznie dodaliśmy (bądź też zostały dodane przez szkodniki) do autostartu.

Cocuments and Settings****Menu StartProgramyAutostart

W tej ścieżce znajdują się aplikację, które ładują się z konkretnego profilu użytkownika.

Cocuments and SettingsAll UsersMenu StartProgramyAutostart

W tej natomiast ścieżce znajdują się aplikacje, które ładują się ze wszystkich profili. Oba te wejścia są kolejno odpowiednikami:

• O4 - Startup:
  
• O4 - Global Startup:

Prawidłowe:

"Adobe Gamma" -> shortcut to: "Erogram FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader Speed Launch" -> shortcut to: "Erogram FilesAdobeAcrobat 7.0Readerreader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "Crogram FilesMicrosoft OfficeOfficeOSA9.EXE -b -l" [MS]

Szkodliwe:

INFECTION WARNING! " Uninstall.exe " [null data]
INFECTION WARNING! " Reboot.exe " [null data]

[Bieniol]

Sekcja 5 - Enabled Scheduled Tasks

W tym wejściu w Silencie pokazywane są zaplanowane zadania. Mamy również wgląd na nie poprzez: Panel Sterowania -> Zaplanowane zadania. Nie można lekceważyć tych zadań, ponieważ mogą w nich siedzieć (ostatnio bardzo popularne) reklamiarze.

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

"FRU Task #Hewlett-Packard#hp psc 1200 series#1157549067" -> launches: "Crogram FilesHewlett-PackardDigital ImagingBinhpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1157549067"" [empty string]

"AppleSoftwareUpdate" -> launches: "Crogram FilesApple Software UpdateSoftwareUpdate.exe -Task" ["Apple Computer, Inc."]

Szkodliwe:

"AAC79D599184114D" -> launches: "c:docume~1xxxdaneap~1 idolcl~1 PEAK SHOW GRID.exe" [null data]
"At4" -> launches: "C:WINDOWSsystem32 username.exe " [null data]
"At5" -> launches: "C:WINDOWSsystem32 shell32.exe " [null data]
"At7" -> launches: "C:WINDOWSsystem32 wudupdate.exe " [null data]
"At8" -> launches: "C:WINDOWSsystem32 sp2protect.exe " ["PubID139WO"]

[Bieniol]

Sekcja 6 - Active Desktop and Wallpaper

Active Desktop may be disabled at this entry:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState

Jak sama nazwa wskazuje - tutaj możemy zablokować aktywny pulpit (jest to technologia opracowana przez M$, umożliwiająca umieszczenie na pulpicie stron WWW lub innych elementów zapisanych w języku HTML).


Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral
"Wallpaper"

W tej lokalizacji w rejestrze ustawiona jest tapeta, która pojawia się w chwili kiedy włączona jest opcja pokazywania aktywnego pulpitu, oraz tapeta nie jest narzucona przez jakiekolwiek restrykcje.


Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCUControl PanelDesktop
"Wallpaper"

Tutaj widzimy jaka jest ustawiona standardowa tapeta w naszym systemie. Pojawia się ona wtedy, gdy wyłączona jest opcja aktywnego pulpitu, oraz tapeta nie jest narzucona przez jakiekolwiek restrykcje.

Nie jest tutaj jasno określone, czy dany plik jest szkodliwy, czy nie. Sam(a) musisz zdecydować, czy plik znasz, oraz czy został on ustawiony przez Ciebie. Przejąć można się, jeżeli w logu widać to:

Szkodliwe:

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.

[Bieniol]

Sekcja 7 - Enabled Screen Saver

HKCUControl PanelDesktop
"SCRNSAVE.EXE"

W tym wejściu pokazany jest nasz aktywny (ustawiony w systemie) wygaszacz ekranu. Rzadko kiedy pojawiają się tam szkodniki.

Prawidłowe:

"SCRNSAVE.EXE" = "C:WINDOWSSystem32logon.scr" [MS]
"SCRNSAVE.EXE" = "C:WINDOWSSystem32sspipes.scr" [MS]
"SCRNSAVE.EXE" = "C:WINDOWSKROLEW~2.SCR" (Krolewskie-4.scr) [empty string]
"SCRNSAVE.EXE" = "C:WINDOWSFish.scr" [null data]

[Bieniol]

Sekcja 8 - Winsock2 Service Provider DLLs

HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_Entries
HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_Entries {++}

Widzimy tutaj pliki, które są zintegrowane z naszym łańcuchem Winsock. Przy usuwaniu niektórych szkodników (WebHancer, NewDotNet) trzeba uważać na pliki znajdujące się tutaj, ponieważ błędny sposób ich usuwania grozi utratą internetu. Wszystkie nieprawidłowe (a raczej wszystkie niesystemowe) pliki, które znajdują się w tych kluczach pokazane są również w Hijacku jako wpis:

• O10 - Broken Internet access because of LSP provider

Prawidłowe:

%SystemRoot%system32mswsock.dll [MS] , 01 - 03, 06 - 13
%SystemRoot%system32rsvpsp.dll [MS] , 04 - 05

Szkodliwe:

Crogram Files webHancer Programswebhdll.dll ["webHancer Corporation"] , 01 - 02, 18
Crogram Files NewDotNet newdotnet6_38.dll ["New.net, Inc."] , 01 - 02, 19 - 20

[Bieniol]

Sekcja 9 - Toolbars, Explorer Bars, Extensions

Sekcja ta wylistowuje nam rozszerzenia kolejno:

• Toolbars - rozszerzenia przeglądrki Internet Explorer o dodatkowe paski narzędzi
  
• Explorer Bars - są to pionowe okienka wyświetlane w przeglądarce po lewej stronie okna głównego
  
• Extensions - dodatkowe przyciski w Narzędziach przeglądarki Internet Explorer, lub w głównym pasku narzędzi

Zacznijmy najpierw od tej pierwszej grupy, czyli Toolbars . Występują tutaj trzy klucze:

HKCUSoftwareMicrosoftInternet ExplorerToolbarShellBrowser
HKCUSoftwareMicrosoftInternet ExplorerToolbarWebBrowser
HKLMSoftwareMicrosoftInternet ExplorerToolbar

W każdym z nich umieszczone są rozszerzenia (informacje o rozszerzeniach) przeglądarki Internet Explorer, objawiające się poprzez nowe paski narzędzie w tejże przeglądarce. Łatwo zauważyć, kiedy jest coś nie tak, ponieważ każdy chyba wie jakie toolbary sobie instaluje. Są to dokładne odpowiedniki wpisów: O3 - Toolbar: .

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
InProcServer32(Default) = "Crogram FilesYahoo!CompanionInstallscpnyt.dll" ["Yahoo! Inc."]

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}InProcServer32(Default) = "c:program filesgooglegoogletoolbar3.dll" ["Google Inc."]

Szkodliwe:

"{B7D3E479-CC68-42B5-A338-938ECE35F419}" = "BearShare MediaBar" [from CLSID]
-> {CLSID}InProcServer32(Default) = "Crogram Files BearShare MediaBar MediaBar.dll" [file not found]

"{37B85A29-692B-4205-9CAD-2626E4993404}"
-> {HKLM...CLSID} = "My Global Search Bar"
InProcServer32(Default) = "Crogram Files MyGlobalSearch bar2.binMGSBAR.DLL" ["My Global Search"]

"{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}" = "Search Bar" [from CLSID]
-> {CLSID}InProcServer32(Default) = "C:WINDOWS webdlg32.dll " [file not found]

"{74CC49F7-EB32-4A08-B204-948962A6E3DB}"
-> {HKLM...CLSID} = "H&otbar"
InProcServer32(Default) = "Crogram Files HbTools Bin4.7.7.0HbtHostIE.dll" [file not found]

Druga grupa, to Explorer Bars , czyli tak jak już wyżej wyjaśniłem pionowe okienka wyświetlane w przeglądarce po lewej stronie okna głównego. Tutaj również (po wejściu w przeglądarkę) łatwo jest stwierdzić, czy dany pasek jest zainstalowany z naszej inicjatywy, czy też pod wpływem jakiegoś zewnętrznego, szkodliwego czynnika. Wpisy z tej sekcji umieszczone są w kluczach:

HKCUSoftwareMicrosoftInternet ExplorerExplorer Bars
HKLMSoftwareMicrosoftInternet ExplorerExplorer Bars
HKLMSoftwareClasses

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

{182EC0BE-5110-49C8-A062-BEB1D02A220B}(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
InProcServer32(Default) = "Crogram FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll" [null data]

{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}(Default) = "Groove Folder Synchronization"
Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar]
InProcServer32(Default) = "CROGRA~1MICROS~1Office12GRA8E1~1.DLL" [MS]

{FF059E31-CC5A-4E2E-BF3B-96E929D65503}(Default) = "&Poszukaj"
Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar]
InProcServer32(Default) = "CROGRA~1MICROS~1Office12REFIEBAR.DLL" [MS]

{03C1C47F-0538-4645-8372-D3109B9FC636}(Default) = "Easy-WebPrint"
Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar]
InProcServer32(Default) = "Crogram FilesCanonEasy-WebPrintToolband.dll" [null data]

Szkodliwe:

{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}(Default) = "My Web Search Quick View"
Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar]
InProcServer32(Default) = "C:WINDOWSsystem32shdocvw.dll" [MS]

{2178C864-B8BC-41AE-A1FB-EB6A32F87EB1}(Default) = (no title provided)
-> {HKLM...CLSID} = "ShopperReports – Price Comparison"
InProcServer32(Default) = "Crogram Files ShopperReports Bin2.0.0ShprRprt.dll" ["ShopperReports"]

{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}(Default) = (no title provided)
-> {HKLM...CLSID} = "Web Assistant"
InProcServer32(Default) = "Crogram Files HbTools Bin4.7.7.0HbtHostIE.dll" [file not found]

Ostatnia grupa w tej sekcji, to Extensions , czyli dodatkowe przyciski w Narzędziach przeglądarki Internet Explorer, lub w głównym pasku narzędzi. Warto dodać, że są to odpowiedniki wpisów:

• O9 - Extra button:
  
• O9 - Extra ''Tools'' menuitem:

Wszystkie wpisy z tej sekcji umieszczane są w kluczu:

HKLMSoftwareMicrosoftInternet ExplorerExtensions

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_09"
InProcServer32(Default) = "Crogram FilesJavajre1.5.0_09binssv.dll" ["Sun Microsystems, Inc."]

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}InProcServer32(Default) = "Crogram FilesJavajre1.5.0_06binnpjpi150_06.dll" ["Sun Microsystems, Inc."]

{2670000A-7350-4F3C-8081-5663EE0C6C49}
"ButtonText" = "Wyślij do programu OneNote"
"MenuText" = "Wyślij &do programu OneNote"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
InProcServer32(Default) = "CROGRA~1MICROS~1Office12ONBttnIE.dll" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "Crogram FilesMessengermsmsgs.exe" [MS]

Szkodliwe:

{946B3E9E-E21A-49C8-9F63-900533FAFE14}
"ButtonText" = "ShopperReports - Compare product prices"
"CLSIDExtension" = "{580a1f3f-89b4-433b-bbdb-b97aeb13f3fc}"
-> {HKLM...CLSID} = "IEButton"
InProcServer32(Default) = "Crogram Files ShopperReports Bin2.0.0ShprRprt.dll" ["ShopperReports"]

[Bieniol]

Sekcja 10 - Miscellaneous IE Hijack Points

Widzimy tutaj "udoskonalenia" przeglądarki Internet Explorer. W tej sekcji praktycznie nie zagnieżdża się syf, jednak czasami może się to zdarzyć, więc nie lekceważymy tej sekcji:

Prawidłowe:

HKCUSoftwareMicrosoftInternet ExplorerURLSearchHooks
<<H>> "{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = (no title provided)
-> {HKLM...CLSID} = "Search Class"
InProcServer32(Default) = "CROGRA~1NEOSTR~1SEARCH~1.DLL" [empty string]


HKLMSoftwareMicrosoftInternet ExplorerAboutURLs
Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Documents and Settings/All Users/Dane aplikacji/TuneUp Software/Common/base.css" [file not found]



HKLMSoftwareMicrosoftInternet ExplorerVersion = (invalid data)
The Internet Explorer version cannot be found!

C:WINDOWSINFIERESET.INF (used to "Reset Web Settings")
The contents of IERESET.INF cannot be reliably checked!

Added lines (compared with English-language version):
[Strings] : START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
[Strings] : MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

Missing lines (compared with English-language version):
[Strings] : 2 lines

Szkodliwe:

Missing lines (compared with English-language version):
"{00A6FAF6-072E-44cf-8957-5838F569A31D}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
InProcServer32(Default) = "Crogram Files MyWebSearch SrchAstt1.binMWSSRCAS.DLL" ["MyWebSearch.com"]

[Bieniol]

Sekcja 11 - HOSTS file

C:WINDOWSSystem32driversetcHOSTS

Jest to ścieżka do pliku, dzięki któremu jesteśmy w stanie zablokować dostęp do wybranych stron internetowych, oraz spowodować przekierowywanie. Bardzo często pojawiają się tam nieznane nam adresy. W Silencie widzimy to w następujący sposób:

Przykład:

maps: 99 domain names to IP addresses,
71 of the IP addresses are *not* localhost!

Jeżeli pojawia się ta sekcja, to koniecznie (chyba, że adresy były dodawane świadomie) trzeba wedytować plik HOSTS. Jak to zrobić opisane

[Aby zobaczyć linki, zarejestruj się tutaj]

. Wszystkie adresy, które są "dodane" do tego pliku pojawiają się również w Hijacku jako wpisy: O1 - Hosts:

[Bieniol]

Sekcja 12 - Print Monitors

HKLMSystemCurrentControlSetControlPrintMonitors

[Aby zobaczyć linki, zarejestruj się tutaj]

W kluczu tym widzimy monitor drukowania, czyli pliki powiązane z drukarkami. Praktycznie nie ma w tej sekcji syfu, więc podam jedynie kilka przykładów:

Prawidłowe:

Canon BJ Language Monitor S100Driver = "CNMLM3A.DLL" ["CANON INC."]
LIDIL hpzll4piDriver = "hpzll4pi.dll" ["Hewlett-Packard Company"]
PDF995 MonitorDriver = "pdf995mon.dll" [null data]
Microsoft Document Imaging Writer MonitorDriver = "mdimon.dll" [MS]
Microsoft Shared Fax MonitorDriver = "FXSMON.DLL" [MS]
Toshiba Bluetooth MonitorDriver = "tbtmon.dll" ["Toshiba America Business Solutions, Inc."]

[Bieniol]

Sekcja 13 - Running Services (Display Name, Service Name, Path {Service DLL})

Ta sekcja pojawia się praktycznie w każdym logu, ponieważ z niej gromadzone są usługi systemowe. Niestety za pomocą prostych plików naprawczych nie jesteśmy w stanie "naprawić" ewentualnych szkód, ale dostajemy tutaj wystarczająco dużo informacji. Usługi wylistowane w tej sekcji są dokładnymi odpowiednikami wpisów O23 - Service:pojawiających się w Hijacku. Bardzo często jednak nie wszystkie usługi wylistowane są w Hijacku, więc należy spogladać na wyniki z obu narzędzi.

Prawidłowe:

Ati HotKey Poller, Ati HotKey Poller, "C:WINDOWSSystem32Ati2evxx.exe" ["ATI Technologies Inc."]
Windows User Mode Driver Framework, UMWdf, "C:WINDOWSSystem32wdfmgr.exe" [MS]
BlueSoleil Hid Service, BlueSoleil Hid Service, "Crogram FilesIVT CorporationBlueSoleilBTNtService.exe" [null data]
LexBce Server, LexBceS, "C:WINDOWSsystem32LEXBCES.EXE" ["Lexmark International, Inc."]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""Crogram FilesCommon FilesLightScribeLSSrvc.exe"" ["Hewlett-Packard Company"]
Windows User Mode Driver Framework, UMWdf, "C:WINDOWSsystem32wdfmgr.exe" [MS]

Szkodliwe:

Power Manager, PowerManager, "C:WINDOWS svchost.exe " [MS]
Windows Logon Process Service, MSWinLogonProcService, ""C:WINDOWS winlogon.exe " -service" [MS]
Command Service, cmdService, "C:WINDOWS SGFtbWVyZmFsbA command.exe" [null data]
Network Monitor, Network Monitor, "Crogramme Network Monitor netmon.exe service" [null data]

UWAGA:Czasami zdarza się, że w sekcji tej widzimy takie herezje:

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.

Jest to bardzo zły znak, ponieważ Silent nie może wylistować usług, co oznacza masakre w systemie. W tym wypadku koniecznie trzeba podeprzeć się innymi narzędziami.