Jak zmienić IP?
Czy wiesz jak szybko zmienić IP?..
CyberGhost VPN
Wypróbuj darmowe narzędzie do anonimowego korzystania z internetu..
Jak stworzyć silne i bezpieczne hasło?
Wszyscy dobrze wiemy jak ważne jest posiadanie dobrego hasła..
Tor Browser Bundle
Sprawdź darmowe narzędzie do ochrony danych użytkownika i całego komputera..
Pokaż wyniki od 1 do 4 z 4

Temat: Wykrywanie trojanów/robaków

  1. #1
    Użytkownik
    Dołączył
    13-09-2005
    Posty
    5

    Domyślnie Wykrywanie trojanów/robaków

    Jak mozna sprawdzic czy ma sie trojana lub jakiegos robaka? Wiem ze mozna to zauwazyc w procesach ale po czym?

  2. Pani Haker
    Avatar Pani Haker Moderator

    Dołączył
    05-03-2009
    Skąd
    Internet
    Postów
    666
    Pochwał
    0
  3. #2
    Użytkownik
    Dołączył
    07-09-2005
    Posty
    26

    Domyślnie

    No z reguły kazdy zna wszystkie procesy systemowe, czy te ktore naleza do programow przez siebie zainstalowanych - jak pojawia sie jakis nowy, czesto o dziwnej nazwie (lub nie). To mozemy przupuszczac ze to trojan.

  4. #3
    Wielce zasłużona dla haker
    jak też dawny administrator

    Dołączył
    31-10-2002
    Posty
    474

    Domyślnie

    hej

    Jak rozpoznac Trojana/wirusa, kilka moich metod.

    Komputer zaczyna sie "nienormalnie" zachowywac, wolno pracuje, wolno otwieraja sie strony
    www o ile wogole sie otwieraja, zamiast strony X otwiera sie Y.
    Otwieranie programow wyglada dziwnie wolno, czesto pojawiaja sie dziwne bledy i
    Komunikaty nie zrozumiale nawet dla samego komputera Dziwne nowe "przyciski"
    na pasku przegladarki IE,
    Na pulpicie,na pasku po prawej stronie obok zegara ( najczesciej dialery)
    Zaczynaja tajemniczo znikac pliki, polaczenie z internetem trwa 30s ... itp

    Moze oznaczac tylko jedno - mamy goscia

    Najlepiej w takiej sytuacji uzyc jakiegos zewnetrznego skanera typu: On-line
    co prawda skanery tego typu nie zawsze usuna Trojana/wirusa, ale warto sie
    dowiedziec co to jest i gdzie jest.
    Skaner antywirusowy zainstalowany na komputerze moze zostac wylaczony, podobnie jak Firewall.
    ( wczesniej jednak polecam zrobic pozadek i usunac niepotrzebne smieci - aby skanowanie nie trwalo wieki)

    O ile jest to mozliwe:
    Start->programy->Akcesoria->narzedzia systemowe->oczyszczenie dysku
    (skasowac to co niepotrzebne)
    Outlook Express -> skasowac wszystkie niepotrzebne wiadomosci, szczegolnie z: elementy usuniete,
    potem:
    Menu Plik->Foldery->kompaktuj wszystkie foldery (usunie tone smieci zwiazanych z zalacznikami
    e-mail)
    dalej:
    Cocuments and Settings/nazwa uzytkownika/Ustawienia lokalne (plik ukryty, aby go zobaczyc,
    nalezy wlaczyc funkcje "pokaz pliki ukryte" w Panelu sterowania/Opcje folderow/zakladka Widok/zaznaczyc
    "pokaz pliki i foldery ukryte)

    Ustawienia lokalne/Temporary Internet Files <- zawartosc mozna skasowac
    /Temp <- zawartosc mozna skasowac
    Jak i inne niepotrzebne - szukaj w google czegos typu "porzadkowanie Windows"

    Mozna uzyc jakiegos programu do oczyszczania dysku, ktory zrobi porzadek za nas.
    To takie porzadki wstepne


    Najepiej zobaczyc co mamy w autostarcie
    start->uruchom->msconfig->zakladka autostart.
    Odznaczyc to co wydaje sie podejrzane -> zastosowac.

    Programy umieszczone w autostarcie uruchamiaja sie razem ze startem systemu,
    odznaczenie nie powoduje ich usuniecia, a jedynie wstrzymanie ich
    uruchamiania przy ponownym uruchomieniu systemu.
    Uruchamianie w tzw. trybie selektywnym. (Uruchamianie Selektywne
    mozna podejrzec w zakladce 'Ogolne" i w razie potrzeby powrocic do "normalnego")

    Warto zobaczyc co jest w:
    Cocuments and SettingsAll UsersMenu StartProgramyAutostart
    Jesli tam znajduje sie podejrzany program, to "odznaczajac" go w Autostarcie,
    moze spowodowac ponowne jego skopiowanie i znow bedzie sie uruchamial.
    klucz rejestru:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupfolder
    ( tutaj sa zdeaktywowane elementy Autostartu- przynajmiej powinny byc)

    Tutaj klucz w ktorym mzona zobaczyc co sie uruchamia:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
    Tutaj mozna to odinstalowac:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionUninstal.

    Wszystkie zmiany w rejestrze sa nieodwracalne , wiec nie polecam zabawy jak
    ktos nie jest pewien co chce usunac/zmodyfikowac.
    ( dla ryzykantow: Zrob Kupie rejestru!: start->uruchom->regedit->plik->exportuj rejestr.)



    Zobaczyc czy nie ma podejrzanych ikonek, programow
    C:Windows
    C:Windows/system
    C:Windows/system32
    lub znajomych ikonek ktore wygladaja jak prawdziwe a nie powinny sie tam znajdowac.
    Przy probie usuniecia podejrzanego programu zazwyczaj Windows na to:
    "Nie mozna usunac, poniewaz program jest uzywany itp.."
    Wtedy jesli sie uda, zakoncz dzialanie niechcianego prgramu Ctrl+Alt+Delate ->
    procesy->znalesc proces i zakonczyc.
    jesli nie pomaga to tryb awaryjny ( dla XP - F8, lub Start->uruchom-.msconfig->
    zakladka BOOT.INI->zaznacz SAFEBOOT , potem wybrac "minimal" bez Net,"network" z net, - restart.)


    Moze sie zdazyc, ze przy probie kasowania takiego programu zobaczysz komunikat:
    "Brak uprawnien" mimo ze jestes Adminem
    W takiej sytuacji trzeba dodac sobie uprawnienia do pliku (szczegolnie kasowania)
    Start->ustawienia->panel sterowania->opcje folderow->widok->odznacz: uzyj prostego udostepnienia plikow
    (mniej wiecej w srodku listy)
    dalej wroc do wybranego pliku: prawy przycisk myszki->wlasciwosci->zabezpieczenia->
    zaawansowane->Wlasciciel
    z listy wybieraz usera-> zaznaczasz odpowiednie uprawnienia, zanzaczasz opcje "Zmień właściciela"
    na pytanie czy "na pewno" klikasz OK.
    (moglam cos pominac, nie wszystko pamietam)
    Bedac wlascicielem pliku, mozesz sprobowac go skasowac.

    Czasem Windows-a mozna troche oszukac, tworzac nowy plik o tej samej nazwie
    i rozszerzeniu ktory chcesz skasowac np: na pulpicie, pozniej skopiowac i wkleic
    go tam gdzie znajduje sie "oryginal".
    Na pytanie "Plik o takiej nazwie juz istnieje czy chcesz go zamienic?"
    odpowiadamy: Tak.

    Jesli po skasowaniu i ponownym restarcie plik ponownie "wraca na miejsce"
    ale juz pod inna nazwa - to chyba jedyne wyjscie, znalesc wszystkie pliki
    odpowiadajace jego wielkosci i skasowac nie sugerujac sie jego nazwa.


    Warto zobaczyc polaczenia z naszym komputerem:
    start->cmd-> wpisac "netstat" <- widac aktualne polaczenia.

    Zobaczyc co mamy w pliku HOSTS (o ile uzywasz IE, plik jest ukryty, bez rozszerzenia,
    mozna go edytowac za pomoca notatnika, wpis: 127.0.0.1 localhost -> Nie DOTYKAC!)
    C:Windows/system32/drivers/etc <- tutaj mozemy np. znalesc odpowiedz dlaczego
    www.mks.com.pl nie chce sie uruchomic
    jesli wpis wyglada tak: 127.0.0.1 www.mks.com.pl = Nie mozna odnalesc servera.
    lub inne cuda przekierowan w kosmos.
    Uwaga! Plik moze zmienic swoja lokalizacje za pomoca zlosliwych programow
    ale np: HijackThis mozna go zlokalizowac lub szukamy.

    Jesli jakis programik pozarl nam Plik HOSTS , to szukamy jego kopi o nazwie:
    hosts.bak lub hosts.sam , Otwieramy notatnik, kopiujemy zawartosc,nadajemy mu nazwe HOSTS
    ( bez rozszerzenia - Windows bedzie protestowal - ale i tak wcisnij OK)
    wklejamy tam gdzie powinien byc, tutaj: C:Windows/system32/drivers/etc
    Ogolnie wpisy w tym pliku powoduja szybsze otwieranie ulubionych stron, uwielbiaja go wszelkie programy szpiegujace itp,
    ale zbyt wielki, moze
    spowolnic ich wczytywanie, mozna tez nadac mu atrybuty "tylko do odczytu"
    aby zaden programik nic w nim nie mogl zapisac lub.... wylaczyc.

    Strona startowa w IE zmianila sie na jakies cudo lub about:blank - to zazwyczaj kolejny znak.
    Zmiana strony startowej na taka jaka byla, poprzez; IE-narzedzia->opcje internetowe -
    pomaga do nastepnego restartu Czesto zmiana w rejestrze tez niewiele pomaga, jesli istnieje
    "plik" ktory ponownie modyfikuje rejestr.
    wpisy do modyfikacji:
    HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

    modyfikujesz: Start Page na wlasciwa,
    wpisy z: Search Page, Search Bar, Default_Page_URL, Default_Search_URL, <- kasujesz dziwne www
    Use Search Assistant - ustawienie na "NO"

    sprawdzasz w kluczach:
    HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch
    HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch
    HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchURL
    Kasujesz dziwne wwww jesi tam jest.

    Przekierowania sa tutaj:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionURLDefaultPrefix
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionURLPrefixes
    Najlepiej uzyc wyszukiwarki rejestru aby znalesc wszystkie wpisy dotyczace dziwnego
    www i przeczytac Topic by SZKOD[nick] ktory napisal chyba o tym wszystko.

    Ogolnie nie da sie napisac prostej uniwersalnej instrukcji na rozpoznawanie i usuwanie
    roznych niechcianych programow, poniewaz kazdy jest inny a jego zdolnosci ukrywania sie
    w systemie zaleza od pomyslowosci jego autora.
    Coz, zawsze mozna zrobic format, ale czy warto sie tak poddac

    pozdrawiam
    aniolek

  5. #4
    Użytkownik
    Dołączył
    13-09-2005
    Posty
    5

    Domyślnie

    Dzieki ;D .. intruz odnaleziony i usuniety ;D.. pozdr!

Podobne wątki

  1. kody źródłowe robaków
    Przez LiFo
    w forum Inne
    Odpowiedzi: 3
    Ostatni post / autor: 18-08-2005, 01:30
  2. wykrywanie szpiegów
    Przez astRX
    w forum Security
    Odpowiedzi: 21
    Ostatni post / autor: 04-07-2005, 00:29
  3. Kurs pisnia wirósów, robaków w c++
    Przez Kubuś&amp;Puchatek
    w forum Inne
    Odpowiedzi: 6
    Ostatni post / autor: 11-06-2005, 21:18
  4. Wykrywanie wirusów
    Przez noWy85
    w forum Security
    Odpowiedzi: 3
    Ostatni post / autor: 22-01-2005, 00:41
  5. wykrywanie podsluchu
    Przez shockworks
    w forum Komunikatory
    Odpowiedzi: 2
    Ostatni post / autor: 18-01-2005, 17:53

Uprawnienia

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •