djmentos
Użytkownik
- Dołączył
- Maj 1, 2007
- Posty
- 1868
Ostatnio widziałem takich tematów dość sporo, więc napisałem, żeby życie Wam ułatwić ;]
Po pierwsze:
Musisz wiedzieć czy w ogóle coś złapałeś:
* Przyda nam się TaskManager (CTRL + ALT + DEL)
- Klikamy zakładkę procesy
- Segregujemy wg. nazwy i czytamy
Ważne jest porównanie nazwy i użytkownika.
Procesy systemowe korzystają z konta system(w większości)
Lista procesów systemowych:
Proces sys.: smss.exe,
Proces wirusa: sms.exe
Musisz wiedzieć co złapałeś.
Może to być:
)
* Odpalam Windowsowskiego FireWalla
- Kasuje wszystkie wyjątki (poza systemowymi aplikacjami)
- Za chwilę sprawdzam czy coś się dodało do listy.
#JEŻELI TAK:
- Złapałeś botneta lub trojana, który dla zachowania ciągłości połączenia ciągle sprawdza czy ma wolną "linię", aby czynić swoje.
#JEŻELI NIE:
- Złapałeś wirusika, lub trojan, botnet są cienkie i utworzą wyjątek przy ponownym uruchomieniu.
* Menedzer procesów: jeśli coś, żre procesor więcej jak 5% i ja tego nie znam to wiadomo co to ;]
USUWAMY WROGA! xD
* Co nam będzie potrzebne:
- Unlocker
- CCleaner
- Mózg ;]
* Co czynić:
# jeśli otworzyliśmy coś i nie chce się usunąć klikamy na to PPM i odpalamy Unlocker. Za jego pomocą zamykamy proces. Usuwamy ten plik.
- Odpalamy CCleaner, zakładka Narzędzia > Autostart > kasujemy wpis, który odnosił się do procesu.
# jeżeli otworzyliśmy a plik się da usunąć, to wchodzimy w:
STAR > Programy > Autostart > próbujemy usnąć plik, który przeszkadza. Jeśli się nie da to Unlocker.
- Jeśli pliku tam nie ma, to CCLeaner, i sprawdzamy autostart. Rozpoznajemy ścieżkę po nazwie procesu, usuwamy wpis, przechodzimy do ścieżki kasujemy plik. Jeśli się nie da to Unlocker.
Mi praktycznie(skrajne przypadki opiszę niżej) to zawsze wystarcza.
Na koniec możemy użyć MSK On-Line:
http://www.mks.com.pl/skaner/
_____________________________
Skrajne przypadki:
- Ostatnio złapałem taki cud:
- Autostart gdzie się da: (Rejestr, Menu start, Autoexec i kilka innych)
- Zbindował się z explorer.exe >> to dobiło, musiałem prosić, żeby mi podesłali
- Skasował plik Firewall.cpl (Windowsowski Firewall GUI)
- i go wyłączyl
- potem tylko dosił xD
W takich przypadkach kłania się inwencja twórcza xD
Prosimy znajomych o pliki, przez tryb awaryjny lub jakieś Live CD je podmieniamy i gitara ;]
Myślę, że ten art. pomoże nie jednemu
Po pierwsze:
Musisz wiedzieć czy w ogóle coś złapałeś:
* Przyda nam się TaskManager (CTRL + ALT + DEL)
- Klikamy zakładkę procesy
- Segregujemy wg. nazwy i czytamy
Ważne jest porównanie nazwy i użytkownika.
Procesy systemowe korzystają z konta system(w większości)
Lista procesów systemowych:
Reszta to programy uruchomione. Twórcy często kamuflują wg. schematu:alg.exe - Usługa lokalna
csrss.exe - System
explorer.exe - Użytkownik
lsass.exe - System
services.exe - System
smss.exe - System
spoolsv.exe - System
svchost.exe (x3) - System [moga być dwa ostatnio coś złapałem więc...]
svchost.exe (x2) - Usługa sieciowa
svchost.exe (x1) - usługa lokalna
taskmgr.exe - Użytkownik
winlogon.exe - system[/b]
Proces sys.: smss.exe,
Proces wirusa: sms.exe
Musisz wiedzieć co złapałeś.
Może to być:
Aby się tego dowiedzieć: (ja tak zawsze robie
* Odpalam Windowsowskiego FireWalla
- Kasuje wszystkie wyjątki (poza systemowymi aplikacjami)
- Za chwilę sprawdzam czy coś się dodało do listy.
#JEŻELI TAK:
- Złapałeś botneta lub trojana, który dla zachowania ciągłości połączenia ciągle sprawdza czy ma wolną "linię", aby czynić swoje.
#JEŻELI NIE:
- Złapałeś wirusika, lub trojan, botnet są cienkie i utworzą wyjątek przy ponownym uruchomieniu.
* Menedzer procesów: jeśli coś, żre procesor więcej jak 5% i ja tego nie znam to wiadomo co to ;]
USUWAMY WROGA! xD
* Co nam będzie potrzebne:
- Unlocker
- CCleaner
- Mózg ;]
* Co czynić:
# jeśli otworzyliśmy coś i nie chce się usunąć klikamy na to PPM i odpalamy Unlocker. Za jego pomocą zamykamy proces. Usuwamy ten plik.
- Odpalamy CCleaner, zakładka Narzędzia > Autostart > kasujemy wpis, który odnosił się do procesu.
# jeżeli otworzyliśmy a plik się da usunąć, to wchodzimy w:
STAR > Programy > Autostart > próbujemy usnąć plik, który przeszkadza. Jeśli się nie da to Unlocker.
- Jeśli pliku tam nie ma, to CCLeaner, i sprawdzamy autostart. Rozpoznajemy ścieżkę po nazwie procesu, usuwamy wpis, przechodzimy do ścieżki kasujemy plik. Jeśli się nie da to Unlocker.
Mi praktycznie(skrajne przypadki opiszę niżej) to zawsze wystarcza.
Na koniec możemy użyć MSK On-Line:
http://www.mks.com.pl/skaner/
_____________________________
Skrajne przypadki:
- Ostatnio złapałem taki cud:
- Autostart gdzie się da: (Rejestr, Menu start, Autoexec i kilka innych)
- Zbindował się z explorer.exe >> to dobiło, musiałem prosić, żeby mi podesłali
- Skasował plik Firewall.cpl (Windowsowski Firewall GUI)
- i go wyłączyl
- potem tylko dosił xD
W takich przypadkach kłania się inwencja twórcza xD
Prosimy znajomych o pliki, przez tryb awaryjny lub jakieś Live CD je podmieniamy i gitara ;]
Myślę, że ten art. pomoże nie jednemu