Jak mozna sprawdzic czy ma sie trojana lub jakiegos robaka? Wiem ze mozna to zauwazyc w procesach ale po czym?
Wykrywanie trojanów/robaków
Jak mozna sprawdzic czy ma sie trojana lub jakiegos robaka? Wiem ze mozna to zauwazyc w procesach ale po czym?
No z reguły kazdy zna wszystkie procesy systemowe, czy te ktore naleza do programow przez siebie zainstalowanych - jak pojawia sie jakis nowy, czesto o dziwnej nazwie (lub nie). To mozemy przupuszczac ze to trojan.
hej
Jak rozpoznac Trojana/wirusa, kilka moich metod.
Komputer zaczyna sie "nienormalnie" zachowywac, wolno pracuje, wolno otwieraja sie strony
www o ile wogole sie otwieraja, zamiast strony X otwiera sie Y.
Otwieranie programow wyglada dziwnie wolno, czesto pojawiaja sie dziwne bledy i
Komunikaty nie zrozumiale nawet dla samego komputeraDziwne nowe "przyciski"
na pasku przegladarki IE,
Na pulpicie,na pasku po prawej stronie obok zegara ( najczesciej dialery)
Zaczynaja tajemniczo znikac pliki, polaczenie z internetem trwa 30s
Moze oznaczac tylko jedno - mamy goscia
Najlepiej w takiej sytuacji uzyc jakiegos zewnetrznego skanera typu: On-line
co prawda skanery tego typu nie zawsze usuna Trojana/wirusa, ale warto sie
dowiedziec co to jest i gdzie jest.
Skaner antywirusowy zainstalowany na komputerze moze zostac wylaczony, podobnie jak Firewall.
( wczesniej jednak polecam zrobic pozadek i usunac niepotrzebne smieci - aby skanowanie nie trwalo wieki)
O ile jest to mozliwe:
Start->programy->Akcesoria->narzedzia systemowe->oczyszczenie dysku
(skasowac to co niepotrzebne)
Outlook Express -> skasowac wszystkie niepotrzebne wiadomosci, szczegolnie z: elementy usuniete,
potem:
Menu Plik->Foldery->kompaktuj wszystkie foldery (usunie tone smieci zwiazanych z zalacznikami
e-mail)
dalej:
Cocuments and Settings/nazwa uzytkownika/Ustawienia lokalne (plik ukryty, aby go zobaczyc,
nalezy wlaczyc funkcje "pokaz pliki ukryte" w Panelu sterowania/Opcje folderow/zakladka Widok/zaznaczyc
"pokaz pliki i foldery ukryte)
Ustawienia lokalne/Temporary Internet Files <- zawartosc mozna skasowac
/Temp <- zawartosc mozna skasowac
Jak i inne niepotrzebne - szukaj w google czegos typu "porzadkowanie Windows"
Mozna uzyc jakiegos programu do oczyszczania dysku, ktory zrobi porzadek za nas.
To takie porzadki wstepne
Najepiej zobaczyc co mamy w autostarcie
start->uruchom->msconfig->zakladka autostart.
Odznaczyc to co wydaje sie podejrzane -> zastosowac.
Programy umieszczone w autostarcie uruchamiaja sie razem ze startem systemu,
odznaczenie nie powoduje ich usuniecia, a jedynie wstrzymanie ich
uruchamiania przy ponownym uruchomieniu systemu.
Uruchamianie w tzw. trybie selektywnym. (Uruchamianie Selektywne
mozna podejrzec w zakladce 'Ogolne" i w razie potrzeby powrocic do "normalnego")
Warto zobaczyc co jest w:
C
Jesli tam znajduje sie podejrzany program, to "odznaczajac" go w Autostarcie,
moze spowodowac ponowne jego skopiowanie i znow bedzie sie uruchamial.
klucz rejestru:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupfolder
( tutaj sa zdeaktywowane elementy Autostartu- przynajmiej powinny byc)
Tutaj klucz w ktorym mzona zobaczyc co sie uruchamia:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
Tutaj mozna to odinstalowac:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionUninstal.
Wszystkie zmiany w rejestrze sa nieodwracalne , wiec nie polecam zabawy jak
ktos nie jest pewien co chce usunac/zmodyfikowac.
( dla ryzykantow: Zrob Kupie rejestru!: start->uruchom->regedit->plik->exportuj rejestr.)
Zobaczyc czy nie ma podejrzanych ikonek, programow
C:Windows
C:Windows/system
C:Windows/system32
lub znajomych ikonek ktore wygladaja jak prawdziwe a nie powinny sie tam znajdowac.
Przy probie usuniecia podejrzanego programu zazwyczaj Windows na to:
"Nie mozna usunac, poniewaz program jest uzywany itp.."
Wtedy jesli sie uda, zakoncz dzialanie niechcianego prgramu Ctrl+Alt+Delate ->
procesy->znalesc proces i zakonczyc.
jesli nie pomaga to tryb awaryjny ( dla XP - F8, lub Start->uruchom-.msconfig->
zakladka BOOT.INI->zaznacz SAFEBOOT , potem wybrac "minimal" bez Net,"network" z net, - restart.)
Moze sie zdazyc, ze przy probie kasowania takiego programu zobaczysz komunikat:
"Brak uprawnien" mimo ze jestes Adminem
W takiej sytuacji trzeba dodac sobie uprawnienia do pliku (szczegolnie kasowania)
Start->ustawienia->panel sterowania->opcje folderow->widok->odznacz: uzyj prostego udostepnienia plikow
(mniej wiecej w srodku listy)
dalej wroc do wybranego pliku: prawy przycisk myszki->wlasciwosci->zabezpieczenia->
zaawansowane->Wlasciciel
z listy wybieraz usera-> zaznaczasz odpowiednie uprawnienia, zanzaczasz opcje "Zmień właściciela"
na pytanie czy "na pewno" klikasz OK.
(moglam cos pominac, nie wszystko pamietam)
Bedac wlascicielem pliku, mozesz sprobowac go skasowac.
Czasem Windows-a mozna troche oszukac, tworzac nowy plik o tej samej nazwie
i rozszerzeniu ktory chcesz skasowac np: na pulpicie, pozniej skopiowac i wkleic
go tam gdzie znajduje sie "oryginal".
Na pytanie "Plik o takiej nazwie juz istnieje czy chcesz go zamienic?"
odpowiadamy: Tak.
Jesli po skasowaniu i ponownym restarcie plik ponownie "wraca na miejsce"
ale juz pod inna nazwa - to chyba jedyne wyjscie, znalesc wszystkie pliki
odpowiadajace jego wielkosci i skasowac nie sugerujac sie jego nazwa.
Warto zobaczyc polaczenia z naszym komputerem:
start->cmd-> wpisac "netstat" <- widac aktualne polaczenia.
Zobaczyc co mamy w pliku HOSTS (o ile uzywasz IE, plik jest ukryty, bez rozszerzenia,
mozna go edytowac za pomoca notatnika, wpis: 127.0.0.1 localhost -> Nie DOTYKAC!)
C:Windows/system32/drivers/etc <- tutaj mozemy np. znalesc odpowiedz dlaczego
www.mks.com.pl nie chce sie uruchomic
jesli wpis wyglada tak: 127.0.0.1 www.mks.com.pl = Nie mozna odnalesc servera.
lub inne cuda przekierowan w kosmos.
Uwaga! Plik moze zmienic swoja lokalizacje za pomoca zlosliwych programow
ale np: HijackThis mozna go zlokalizowaclub szukamy.
Jesli jakis programik pozarl nam Plik HOSTS, to szukamy jego kopi o nazwie:
hosts.bak lub hosts.sam , Otwieramy notatnik, kopiujemy zawartosc,nadajemy mu nazwe HOSTS
( bez rozszerzenia - Windows bedzie protestowal - ale i tak wcisnij OK)
wklejamy tam gdzie powinien byc, tutaj: C:Windows/system32/drivers/etc
Ogolnie wpisy w tym pliku powoduja szybsze otwieranie ulubionych stron, uwielbiaja go wszelkie programy szpiegujace itp,
ale zbyt wielki, moze
spowolnic ich wczytywanie, mozna tez nadac mu atrybuty "tylko do odczytu"
aby zaden programik nic w nim nie mogl zapisac lub.... wylaczyc.
Strona startowa w IE zmianila sie na jakies cudo lub about:blank - to zazwyczaj kolejny znak.
Zmiana strony startowej na taka jaka byla, poprzez; IE-narzedzia->opcje internetowe -
pomaga do nastepnego restartu
"plik" ktory ponownie modyfikuje rejestr.
wpisy do modyfikacji:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain
modyfikujesz: Start Page na wlasciwa,
wpisy z: Search Page, Search Bar, Default_Page_URL, Default_Search_URL, <- kasujesz dziwne www
Use Search Assistant - ustawienie na "NO"
sprawdzasz w kluczach:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchURL
Kasujesz dziwne wwww jesi tam jest.
Przekierowania sa tutaj:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionURLDefaultPrefix
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionURLPrefixes
Najlepiej uzyc wyszukiwarki rejestru aby znalesc wszystkie wpisy dotyczace dziwnego
www i przeczytac Topic by SZKOD[nick] ktory napisal chyba o tym wszystko.
Ogolnie nie da sie napisac prostej uniwersalnej instrukcji na rozpoznawanie i usuwanie
roznych niechcianych programow, poniewaz kazdy jest inny a jego zdolnosci ukrywania sie
w systemie zaleza od pomyslowosci jego autora.
Coz, zawsze mozna zrobic format, ale czy warto sie tak poddac
pozdrawiam
aniolek
Dzieki ;D .. intruz odnaleziony i usuniety ;D.. pozdr!
Uprawnienia
Odpowiedź z Cytatem