usowanie wirusa podszywajacego sie pod proces winlogin.exe, Programy-Komputer, Info-nauka
[ Pobierz całość w formacie PDF ]
Grupa trojanów VX2
Usuwanie wirusa podszywającego się pod proces
winlogon.exe
krok po kroku
Krok 1.
Jeśli nie został nam zablokowany dostęp do internetu, otwieramy okno przeglądarki
internetowej i wpisujemy adres
gdy strona już się załaduje klikamy w
odnośnik „
Direct download”
(obrazek1)
Krok 2
Po kliknięciu w odnośnik ukaże nam się okno pobierania pliku. Klikamy w przycisk
OTWÓRZ.
Ponieważ plik jest spakowany ukaże nam się menadżer wyodrębniania plików
systemu Windows XP, bądź otwarty zostanie jeden z programów archiwizujących np.
WinRAR. Wyodrębniamy plik bezpośrednio na jedną z partycji (w naszym wypadku będzie
to partycja C:\)
Krok 3
Uruchamiamy wyodrębniony plik hijackthis.exe (w przypadku wystąpienia okna z
informacją klikamy w przycisk OK) i wciskamy przycisk
„Do a system scan and save a
logfile”
(obrazek 2)
Program wykona szereg operacji, które zakończą się w momencie ukazania się pliku logu
w formie dokumentu tekstowego. Ten dokument należy zapisać najlepiej w tym samym
miejscu w którym zapisaliśmy wyodrębniony plik z kroku 2 (w naszym wypadku partycja
C:\). (Obrazek 3)
Krok 4
Program oraz plik logu możemy już zamknąć. Przechodzimy do strony internetowej
wymienionej w pkt. 1, przewijamy ją w doł do samego końca i klikamy przycisk
„Przeglądaj”
zaznaczony na czerwono. (obrazek 4)
z okna wybierania pliku wybieramy plik logu zapisany wcześniej w pkt. 3, po czym klikamy
w przycisk
„Analyze”
zaznaczony na niebiesko. (obrazek 4)
Krok 5
W tym momencie mechanizm umieszczony na stronie przeanalizuje plik logu wykonany
wcześniej przez program Hijack i umieści nam w oknie przeglądarki podsumowanie analizy.
(obrazek 5). I teraz najważniejszy moment, przeglądając podsumowanie należy zwrócić
uwagę na wpisy z żółtym znakiem zapytania, oto kilka przykładów, które mogą pojawić się
po analizie logu :
-R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
-R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
-R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
-R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
-R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
-O20 - Winlogon Notify: msupdate – msupdate32.dll
-O20 - Winlogon Notify: mszsrn32 – system32/szsrn32.dll
-O20 - Winlogon Notify: BITS - C:\WINNT\system32\l4l6le3s1h.dll
-O20 - Winlogon Notify: URL - C:\WINDOWS\system32\dnr8019ue.dll
-O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\mv68l9ju1.dll
-O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\f4l02e3mgh.dll
-O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\f82mlif1182.dll
-O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\fprq0395e.dll
-O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\hr2605fse.dll
-O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\en82l1lo1.dll
-O20 - Winlogon Notify: Installer - C:/WINDOWS/system32/dnlo0133e.dll
-O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\jt4m07h1e.dll
-O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\r48slel71hq.dll
-O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\n0p4la7q1d.dll
-O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\lv4o09h3e.dll
-O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\e2020cdoef0c0.dll
-O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\mvp0l97m1.dll
-O20 - Winlogon Notify: H323TSP - D:\WINDOWS\system32\dnr4019qe.dll
-O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\gpnsl3571.dll
-O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\soell32.dll
-O20 - Winlogon Notify: Run - C:\WINDOWS\system32\hrnq0555e.dll
-O20 - Winlogon Notify: Run - C:\WINDOWS\system32\guard.tmp (file missing)
-O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\p46s0ej7eho.dll (file missing)
-O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\p66slgj716o.dll
-O20 - Winlogon Notify: UnreadMail - C:\WINDOWS\system32\k6nolg5316.dll (file missing)
-O20 - Winlogon Notify: Internet Settings - C:\WINNT\system32\t4r80e9ueh.dll (file missing)
-O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll
-O20 - Winlogon Notify: Extensions - C:\WINNT\system32\csmmdlg.dll
-O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\CAFVIEW.DLL
Jeśli jakikolwiek z wyżej wymienionych wpisów pojawi się w analizie logu, lub schemat
wpisów będzie podobny do tych powyżej (bardzo ważne są dwa ostatnie przykładowe
wpisy), należy je zapamiętać lub zapisać i przejść do kolejnego punktu. Jednak pamiętać
należy również, że istnieją wpisy dobre, ale nie będą one oznaczone znakiem zapytania :]
Oto kilka przykładów dobrych wpisów.
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O20 - Winlogon Notify: nwprovau - C:\WINDOWS\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: tpgwlnotify - C:\WINDOWS\SYSTEM32\tpgwlnot.dll
O20 - Winlogon Notify: TabBtnWL - C:\WINDOWS\SYSTEM32\TabBtnWL.dll
O20 - Winlogon Notify: loginkey - C:\WINDOWS\SYSTEM32\LoginKey.dll
O20 - Winlogon Notify: loginkey - C:\Program Files\Common Files\Microsoft Shared\Ink\loginkey.dll
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O20 - Winlogon Notify: MCPClient - C:\Program Files\Common Files\Stardock\mcpstub.dll
O20 - Winlogon Notify: OPXPGina - C:\Program Files\Softex\OmniPass\opxpgina.dll
O20 - Winlogon Notify: STOPzilla - C:\WINDOWS\SYSTEM32\IS3WLHandler.dll
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
Krok 6
Wyłączamy przywracanie systemu klikając prawym przyciskiem myszy na ikonie
Mój
Komputer
, wybieramy zakładkę
Przywracanie Systemu
i zaznaczamy pole
Wyłącz
przywracanie systemu
(obrazek 6).
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.planette.xlx.pl
|
|
 |
Tematy
Startuserfiltres pl PL, Programy, Dziobas Rar Player.rar, Dziobas Rar Player, localeuserfiltres en US, Programy, Dziobas Rar Player.rar, Dziobas Rar Player, localeutk 003 zasady bezpiecznej pracy utk, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyurządzenia techniki komputerowej. podręcznik do nauki zawodu technik informatyk (wydanie z nr dopuszczenia) cała książka, ebooki-ksiazkivadamecum turysty, Studia, Turystyka i rekreacja, semestr III, Komputerowe systemy informacji turystycznej, turystyka woj. podlaskieutk cw 3 2 lacze szeregowe teoria, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyutk 016 monitory karty gr, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyutk 001 podstawowe pojecia, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyuwieziona, KSIĄŻKI(,,audio,mobi,rtf,djvu), Nowy folder, KSIAŻKI 1ustawa o działach administracji rządowej D20130743Lj, ustawy 2014
zanotowane.pldoc.pisz.plpdf.pisz.plcodziennik.xlx.pl
|
