Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Silent Runners - opis.

#1
Silent Runners - opis.
Wątek w trakcie aktualizacji.

Silent Runners - Bardzo przydatny program, który we współpracy z HJT stanowi podstawę przy usuwaniu zainfekowanych plików z komputera. Zapisujemy program na dysku poprzez prawy klawisz myszy i dajemy: Zapisz jako.

Program sam w sobie nie kasuje zarażonych plików. Mało tego, pokazuje nam wpisy zarówno te dobre jak i te złe (podobnie jak HJT). A robi to na podstawie analizy domyślnych wpisów Windowsa w Rejetrze do tych zastanych juz w trakcie użytkowania komputera. Kompletną listę tychże wpisów, które analizuje Silent Runners znajdziecie TUTAJ.
Częstą pomyłką, którą popełnia "mniej świadomy" użytkownik, to kasacja wpisów, które zawierają zwrot: INFECTION WARNING! lub: HIJACK WARNING!
Te zwroty nie zawsze oznaczają infekcję. Przykłady tych dobrych, a zawierające te wyrażenia:
Kod:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
Kod:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

Oczywiście nie są to wszystkie przykłady, więc przy analizie logu należy być naprawdę ostrożnym.Oczko

Uruchamianie.

Po zapisaniu pliku na dysku, klikamy nań dwukrotnie i naszym oczom pojawi się małe okienko z pytaniem: Do you want to skip the supplementary searches?

[Obrazek: khfo1998975596o_JPG_300x300_q85.jpg]

Mamy do wyboru dwie możliwości, czyli Yes lub No (trzeciej, czyli Anuluj nie bierzemy pod uwagę, chyba, że nie mamy zamiaru nic robic).

Yes (Tak) - Ta opcja spowoduje, że program wygeneruje skróconego loga w bardzo szybkim okresie czasu.

No (Nie) - Ta opcja spowoduje, że program wygeneruje pełnego loga, ale w dłuższym okresie czasu.

Nie muszę chyba mówić, że dajemy zawsze No, gdyż tylko taka opcja pozwoli nam na prawidłowe rozwiązanie problemu.

UWAGA!

Program pracuje w tle, a co za tym idzie, nie widzimy jego poczynań i cierpliwie czekamy aż skończy, co przejawia się takim komunikatem jak na screen'ie.

[Obrazek: erwl1407002883s_JPG_300x300_q85.jpg]

Program automatycznie zapisze log w tym samym folderze, w którym znajduje się program w postaci Startup Programs.txt.

Problemy z uruchamieniem


Jako, że program jest niczym innym jak skryptem VBS, to może pojawć się w związku z tym sporo problemów, związanych z samym funkcjonowaniem systemu Windows jak również restrykcjami nałożonymi przez antywirus (zwłaszcza Norton Symantec). Postaram sie pokazać jak ów najczęstrze problemy ominąć.

Komunikat: Prośba o wskazanie programu otwierającego lub program otwiera się w Notatniku

Rozwiązanie.

Ten problem pojawia się, gdy nie mamy domyślnie skojarzonego programu do otwierania plików VBS. Można ominąć to na dwa sposoby. Pierwszy, to właśnie skojarzenie programu z ów plikiem. A robimy to w ten spoób:
Mój komputer=>Narzędzia=>Opcje folderów=>Typy plików
Odnajdujemy na liście VBS Script Files, podświetlamy i kasujemy.

[Obrazek: vbshx0.jpg]

Aby teraz przywrócić wszystko do dobrego stanu, należy utworzyć nowe rozszeżenie i przypisać mu odpowiedni program. Metoda jest następująca:
W tym samym oknie dajemy Nowy i w polu Rozszeżenie pliku wpisujemy VBS.

[Obrazek: nowebr5.jpg]

Następnie Zaawansowane i z listy Skojarzone typy plików wybieramy VBS Script Files i OK.
Przechodzimy do Zaawansowane i dajemy Nowe. W okienku które się pojawi:

[Obrazek: akcjaiv1.jpg]

Wpisujemy w polu Akcja - Otwórz, a w polu Aplikacja używana do wykoania akcji wpisujemy:

C:\WINDOWS\system32\wscript.exe "%1" %*

Drugim sposobem i znacznie łatwiejszym jest użycie jednego z malutkich programów, które całą tę operację zrobią za nas. Do jednej z nich należy noscript.exe firmy Symantec. Wystarczy kliknąć na Disable i mamy zablokowane uruchamianie plików VBS na naszym komputerze.

[Obrazek: nosciptgz6.jpg]

Jeśli chcemy aby skrypty mogły się otwierać, to wystarczy kliknąć na Enable i po kłopocie. Proste, skuteczne i co najważniejsze - działa.

Komunikat: Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze.

Rozwiązania.

Podobnie jak wyżej, z tą różnicą, że WSH (Windows Scripting Host) jest wyłączony restrykcją w Rejestrze. Naprawiamy to w taki oto sposób:
Przechodzimy do Rejestru (Start=>Uruchom=>Regedit) i szukamy klucza:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

W tym kluczu tworzymy nową wartość DWORD i jako nazwę podajemy Enable. Klikamy dwukrotnie na tę wartość i przypisujemy jej wartość 0.

Po zastosowaniu tego obejścia, przy próbie otwarcia pliku VBS, otzymamy błąd:

[Obrazek: hostgv3.jpg]

Chcąc odwrócić sytuację, wystarczy zmienić wartość Enable z 0 na 1.

Komunikat: Brak aparatu skryptów dla plików o rozszerzeniu vbs

Rozwiązanie.

Wystarczy powtórzyć czynności, które opisałem przy pierwszej poradzie. Dotyczy pierwszej części i to ona powinna wystarczyć.

Komunikat: This script requires WMI to run. Click on Start, Control Panel, Administrative Tools, Services, and start the WMI service.

Rozwiązanie.

Nawet jeśli w komputerze jest włączona usługa WMI, to może ona pracować niepoprawnie. Postępujemy tak:

Start=>Uruchom=>cmd i komenda net stop winmgmt

Następnie opróżnić folder C:\WINDOWS\system32\wbem\Repository

Start=>Uruchom=>cmd i komenda net start winmgmt

Restartujemy komputer.

Komunikat: This script requires WMI to run. It can be downloaded at: ...

Rozwiązanie.

Dotyczy tylko starszych systemów takich jak: Windows 95/98/NT
W takiej sytuacji należy zaopatrzyć się w WMI ściągając ją ze stron Microsoftu - do pobrania TUTAJ.

Komunikat: Serwer zdalny nie istnieje lub jest niedostępny

Rozwiązanie.

Należy uruchomić usługę DCOM i ustawić na tryb uruchamiania Automatyczny. Robimy to wpisując w: Start=>Uruchom=>services.msc.

Komunikat: The script cannot create its report file

Rozwiązanie.

Dotyczy tylko Windows XP. W takim przypadku proszę się zaopatrzyć w alternatywną wersję programu - SilentRunnersRED.vbs.

Komunikat: ... cannot use WMI to identify operating system. This is caused by corruption od WMI installation

Rozwiązanie.

W tym przypadku rozwiązanie nie jest aż takie proste, gdyż prawdopodobnie WMI w ogóle nie działa na naszym komputerze. Aby to skorygować i upewnić się, że tak właśnie jest, należy ściągnąć WMI Diagnosis Utility. Program pracuje w tle, więc proszę uzbroić się w cierpliwość i poczekać aż wygeneruje log, którego dajemy do analizy na Forum.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
silent runnersdostęp do hosta skryptów systemu windows jest wyłączonywindows script silent runnersilent runners programjs serwer zdalny nie istnieje lub jest niedostępnyco oznacza komunikat,Dostbrak aparatu skryptów vbsbrak aparatu skryptów dla rozszerzenia swfbrak aparatu skryptów dla plików o rozszerzeniu vbs windows 7brak aparatu skryptów dla plików o rozszerzeniu .vbs windows xp

Podobne wątki (Silent Runners - opis.)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
Exclamation Niebezpieczny exploit! Pomocy! [Logi+opis+lokalizacja+informacje] violin 0 2701 16.07.2009, 19:54
Ostatni post: violin
  [Silent Runers] Proszę o sprawdzenie Loga. LILI 12 2516 18.10.2008, 18:42
Ostatni post: slake1
  logi z HJT i silent ruunera przemoo7 6 1458 20.07.2008, 14:37
Ostatni post: przemoo7

Skocz do: