usowanie wirusa podszywajacego sie pod proces winlogin.exe, Programy-Komputer, Info-nauka
[ Pobierz całość w formacie PDF ] Grupa trojanów VX2 Usuwanie wirusa podszywającego się pod proces winlogon.exe krok po kroku Krok 1. Jeśli nie został nam zablokowany dostęp do internetu, otwieramy okno przeglądarki internetowej i wpisujemy adres gdy strona już się załaduje klikamy w odnośnik „ Direct download” (obrazek1) Krok 2 Po kliknięciu w odnośnik ukaże nam się okno pobierania pliku. Klikamy w przycisk OTWÓRZ. Ponieważ plik jest spakowany ukaże nam się menadżer wyodrębniania plików systemu Windows XP, bądź otwarty zostanie jeden z programów archiwizujących np. WinRAR. Wyodrębniamy plik bezpośrednio na jedną z partycji (w naszym wypadku będzie to partycja C:\) Krok 3 Uruchamiamy wyodrębniony plik hijackthis.exe (w przypadku wystąpienia okna z informacją klikamy w przycisk OK) i wciskamy przycisk „Do a system scan and save a logfile” (obrazek 2) Program wykona szereg operacji, które zakończą się w momencie ukazania się pliku logu w formie dokumentu tekstowego. Ten dokument należy zapisać najlepiej w tym samym miejscu w którym zapisaliśmy wyodrębniony plik z kroku 2 (w naszym wypadku partycja C:\). (Obrazek 3) Krok 4 Program oraz plik logu możemy już zamknąć. Przechodzimy do strony internetowej wymienionej w pkt. 1, przewijamy ją w doł do samego końca i klikamy przycisk „Przeglądaj” zaznaczony na czerwono. (obrazek 4) z okna wybierania pliku wybieramy plik logu zapisany wcześniej w pkt. 3, po czym klikamy w przycisk „Analyze” zaznaczony na niebiesko. (obrazek 4) Krok 5 W tym momencie mechanizm umieszczony na stronie przeanalizuje plik logu wykonany wcześniej przez program Hijack i umieści nam w oknie przeglądarki podsumowanie analizy. (obrazek 5). I teraz najważniejszy moment, przeglądając podsumowanie należy zwrócić uwagę na wpisy z żółtym znakiem zapytania, oto kilka przykładów, które mogą pojawić się po analizie logu : -R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html -R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html -R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html -R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html -R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html -O20 - Winlogon Notify: msupdate – msupdate32.dll -O20 - Winlogon Notify: mszsrn32 – system32/szsrn32.dll -O20 - Winlogon Notify: BITS - C:\WINNT\system32\l4l6le3s1h.dll -O20 - Winlogon Notify: URL - C:\WINDOWS\system32\dnr8019ue.dll -O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\mv68l9ju1.dll -O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\f4l02e3mgh.dll -O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\f82mlif1182.dll -O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\fprq0395e.dll -O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\hr2605fse.dll -O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\en82l1lo1.dll -O20 - Winlogon Notify: Installer - C:/WINDOWS/system32/dnlo0133e.dll -O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\jt4m07h1e.dll -O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\r48slel71hq.dll -O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\n0p4la7q1d.dll -O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\lv4o09h3e.dll -O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\e2020cdoef0c0.dll -O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\mvp0l97m1.dll -O20 - Winlogon Notify: H323TSP - D:\WINDOWS\system32\dnr4019qe.dll -O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\gpnsl3571.dll -O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\soell32.dll -O20 - Winlogon Notify: Run - C:\WINDOWS\system32\hrnq0555e.dll -O20 - Winlogon Notify: Run - C:\WINDOWS\system32\guard.tmp (file missing) -O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\p46s0ej7eho.dll (file missing) -O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\p66slgj716o.dll -O20 - Winlogon Notify: UnreadMail - C:\WINDOWS\system32\k6nolg5316.dll (file missing) -O20 - Winlogon Notify: Internet Settings - C:\WINNT\system32\t4r80e9ueh.dll (file missing) -O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll -O20 - Winlogon Notify: Extensions - C:\WINNT\system32\csmmdlg.dll -O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\CAFVIEW.DLL Jeśli jakikolwiek z wyżej wymienionych wpisów pojawi się w analizie logu, lub schemat wpisów będzie podobny do tych powyżej (bardzo ważne są dwa ostatnie przykładowe wpisy), należy je zapamiętać lub zapisać i przejść do kolejnego punktu. Jednak pamiętać należy również, że istnieją wpisy dobre, ale nie będą one oznaczone znakiem zapytania :] Oto kilka przykładów dobrych wpisów. O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll O20 - Winlogon Notify: nwprovau - C:\WINDOWS\SYSTEM32\nwprovau.dll O20 - Winlogon Notify: tpgwlnotify - C:\WINDOWS\SYSTEM32\tpgwlnot.dll O20 - Winlogon Notify: TabBtnWL - C:\WINDOWS\SYSTEM32\TabBtnWL.dll O20 - Winlogon Notify: loginkey - C:\WINDOWS\SYSTEM32\LoginKey.dll O20 - Winlogon Notify: loginkey - C:\Program Files\Common Files\Microsoft Shared\Ink\loginkey.dll O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll O20 - Winlogon Notify: MCPClient - C:\Program Files\Common Files\Stardock\mcpstub.dll O20 - Winlogon Notify: OPXPGina - C:\Program Files\Softex\OmniPass\opxpgina.dll O20 - Winlogon Notify: STOPzilla - C:\WINDOWS\SYSTEM32\IS3WLHandler.dll O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll Krok 6 Wyłączamy przywracanie systemu klikając prawym przyciskiem myszy na ikonie Mój Komputer , wybieramy zakładkę Przywracanie Systemu i zaznaczamy pole Wyłącz przywracanie systemu (obrazek 6).
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.planette.xlx.pl
|
|
|
Tematy
Startuserfiltres pl PL, Programy, Dziobas Rar Player.rar, Dziobas Rar Player, localeuserfiltres en US, Programy, Dziobas Rar Player.rar, Dziobas Rar Player, localeutk 003 zasady bezpiecznej pracy utk, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyurządzenia techniki komputerowej. podręcznik do nauki zawodu technik informatyk (wydanie z nr dopuszczenia) cała książka, ebooki-ksiazkivadamecum turysty, Studia, Turystyka i rekreacja, semestr III, Komputerowe systemy informacji turystycznej, turystyka woj. podlaskieutk cw 3 2 lacze szeregowe teoria, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyutk 016 monitory karty gr, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyutk 001 podstawowe pojecia, szkoła-informatyka-cosinus, cosinus, Urządzenia techniki Komputerowej, PDF, materialy na wykładyuwieziona, KSIĄŻKI(,,audio,mobi,rtf,djvu), Nowy folder, KSIAŻKI 1ustawa o działach administracji rządowej D20130743Lj, ustawy 2014
zanotowane.pldoc.pisz.plpdf.pisz.plcodziennik.xlx.pl
|