nauka loga.

[andig]

Witam! Zacznę od tego, że nie znalazłem takiego, bądź podobnego tematu na forum, oraz nie wiedziałem gdzie za bardzo stworzyć taki temat, więc w razie co proszę nie bić .

Dobra do rzeczy. Sprawa jest prosta. Jak nauczyć się ( gdzie, co wykuć itp. ) rozpoznawania który wpis Ok, który nie itp. w logu??

[M@+]

po pierwsze ortografia... po drugie musisz się na tym znać
temat pewnie i tak będzie zamknięty :]

[kilkujadek]

Na początek poczytaj sobie TU

[SER]

Ja podam Ci metodę przez którą sam się uczyłem

1. Przeczytaj kilka razy temat, który podał kilkujadek.
2. Oglądaj logi i zapamiętuj, co sprawdzający podaje za złe.
3. Z czasem Twoja wiedza będzie już na tyle rozległa, że będziesz mógł sprawdzać logi

EDIT

4. Za żadne skarby nie korzystać ze strony www.hijackthis.de -> każdy może dodawać wpisy, a jeśli napisze, że C:\WINDOWS\Explorer.EXE to trojan, to co wtedy (dodam, że to plik shella Windows)

[Tom@szek]

3. Z czasem Twoja wiedza będzie już na tyle rozległa, że będziesz mógł sprawdzać logi

Jeden warunek - trzeba dużo siedzieć w necie i patrzyć na logi - ( nie mówię o dziwnych forach)
Jest dużo stron które traktują o błędnych wpisach.
Ale jak napisał SER - to tylko kwestia czasu.

[andig]

OK, thx. Mam jeszcze 1 pytanie. Jest jakiś program do sprawdzania loga ( nie chodzi o strony internetowe typu tą co zablokowali, gdzie można było logo sprawdzić )??

[SER]

Jest -> www.hijackthis.de, ale jak mówiłem, jest ona tragiczna.

Jeśli chcesz np. sprawdzić swój log, to najlepiej jak nie znasz jakiegoś wpisu, to wpisz go w Google i sprawdź

To o wiele bardziej bezpieczne niż korzystanie z automata, który ma więcej minusów, niż plusów

[andig]

Mam kilka problemów.
1. Na tej stronie piszę ...usuń..,...naprawiam.... Opcja usuń jest w hijackthis, a drugiej, o ile wiem, nie ma. Czy mam to rozumieć, że poprostu tu chodzi o Fix Checked??
2.Ostatnio sporo popatrzyłem Se na loga i dość często, albo zawsze pisze ktoś, że usuń taki i taki wpis,a potem z dysku. Do jakich to plików/rejestrów się to odnosi?? Można jakoś to sklasyfikować??
3.Na tej stronie pisze -
R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE

"Miejsce" w systemie:

Rejestr ..... a wyniki tego ogląda się przy każdym uruchomieniu przeglądarki.

"Wygląd" w logu:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
itd.

czy to jest szkodliwe??

Jest tam sporo takich wpisów, gdzie nie pisze czy to szkodliwe, czy nie. Na pierwszy żut oka, wydaje mi się, że jest szkodliwe, ale nie mam pewności.

Strona - http://www.searchengines.pl/phpbb203/index.php?showtopic=15989

[mikstet]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html

"Wpisy R0 i R1 powinny być usuwane jeśli to nie są strony ustawione przez ciebie! (www.google.com, www.onet.pl). Dramatycznym wyjątkiem od reguły są trojany CWS z ukrytymi loaderami tych wpisów"

[jeff]

Jest tam sporo takich wpisów, gdzie nie pisze czy to szkodliwe, czy nie

to daj tu loga w TAGACH a sie sprawdzi

[andig]

Kod: Zaznacz wszystko

R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.yahoo.com"); (C:WINDOWSApplication DataMozillaProfilesdefaultl7ujgpwv.sltprefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRAM%20FILES%5CNETSCAPE%5CNETSCAPE%5Csearchplugins%5CSBWeb_02.src"); (C:WINDOWSApplication DataMozillaProfilesdefaultl7ujgpwv.sltprefs.js)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O5 - control.ini: inetcpl.cpl=no
O11 - Options group: [!CNS] JWord(
O11 - Options group: [CommonName] CommonName
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: http://free.aol.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O20 - AppInit_DLLs: C:\WINDOWS\System32\MSGINA268r.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O21 - SSODL: Cereng - {6C9815A9-1E7F-448F-9802-301134AA8E81} - C:\WINNT\System32\xpie.dll
O21 - SSODL: fqvthm - {BCC90786-1663-AD2C-0D7B-37ECA7FA8695} - C:\WINDOWS\System32\wdb.dll
O21 - SSODL: Nicwin - {9849C720-EB07-11D8-A1ED-00600F782B0D} - C:\WINDOWS\SYSTEM\mfcmidi.dll
O21 - SSODL: SysTrayGUID - {342D5ACA-6747-4740-BE55-12D6966E6534} - c:\windows\system32\netgnd.dll
O21 - SSODL: Winwebext - {f46f437a-435f-49c8-b4af-9320d2354825} - C:\WINDOWS\System32\klengine.dll


[jeff]

wstaw nagłowek loga >> cały ma być

[andig]

To jest ze strony http://www.searchengines.pl/phpbb203/index.php?showtopic=15989#4. Więc nie ma nagłówka loga, czyli jeśli dobrze rozumiem Logfile of HijackThis v1.99.1 itd. .

Mam jeszcze 1 pytanko. http://forum.programosy.pl/log-vt48012.html - gostek ma tu problem z przekierowaniem i reklamami. Czy Silent Runners pokazuje przekierowania w pliku HOSTS?? Bo z tego co czytałem, to jeszcze można było luknąć do pliku Hosts .

[mikstet]

andig, nagłowek czyli jaki windows i uruchomione procesy

[Red]

Własnie ,ten nagłowek to on o tym nam mówi ,wiec dołacz go ,dołacz a my cos z tym zrobimy,spokojnie na luzie dołacz i bedzie cały log....o moj boze na spokojnie i bedzie cały.Pozdrawiam i na spokojnie.

[andig]

Na luzie .

To jest fragment tekstu z kąd to wziołem .

R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE

"Miejsce" w systemie:

Rejestr ..... a wyniki tego ogląda się przy każdym uruchomieniu przeglądarki.

"Wygląd" w logu:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = tu adresik IP/nazwa domeny + port na którym chodzi proxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R2 - (na razie to nie jest pokazywane przez HijackThis)

R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)

itd. Nie moge podać jaki system i Running processes:, bo to są przykłady. I nie jest to log, tylko wpisy powyciągane z róznych działów na tej stronie .

edit:
Zaczne tak - ucze się .

Obserwuje, czytam loga itp. W tym logu wydaje mi się, że są szkodliwe

Kod: Zaznacz wszystko

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab

. Pytanie brzmi, czy mam rację, jeśli nie to dlaczego??
Mam nadzieję, że nie doprowadzam was do szewskiej pasji....

[Tom@szek]

Mam nadzieję, że nie doprowadzam was do szewskiej pasji

Doprowadzasz - jak wcześniej koledzy napisali - patrz i ucz się.
Nikt tutaj nie będzie Cię tego uczył ( chyba że poza forum na PW )
EOT