usowanie wirusa podszywajacego sie pod proces winlogin.exe.pdf
(
1943 KB
)
Pobierz
50034955 UNPDF
Grupa trojanów VX2
Usuwanie wirusa podszywającego się pod proces
winlogon.exe
krok po kroku
Krok 1.
Jeśli nie został nam zablokowany dostęp do internetu, otwieramy okno przeglądarki
internetowej i wpisujemy adres
www.hijackthis.de
,
gdy strona już się załaduje klikamy w
odnośnik „
Direct download”
(obrazek1)
Krok 2
Po kliknięciu w odnośnik ukaże nam się okno pobierania pliku. Klikamy w przycisk
OTWÓRZ.
Ponieważ plik jest spakowany ukaże nam się menadżer wyodrębniania plików
systemu Windows XP, bądź otwarty zostanie jeden z programów archiwizujących np.
WinRAR. Wyodrębniamy plik bezpośrednio na jedną z partycji (w naszym wypadku będzie
to partycja C:\)
Krok 3
Uruchamiamy wyodrębniony plik hijackthis.exe (w przypadku wystąpienia okna z
informacją klikamy w przycisk OK) i wciskamy przycisk
„Do a system scan and save a
logfile”
(obrazek 2)
Program wykona szereg operacji, które zakończą się w momencie ukazania się pliku logu
w formie dokumentu tekstowego. Ten dokument należy zapisać najlepiej w tym samym
miejscu w którym zapisaliśmy wyodrębniony plik z kroku 2 (w naszym wypadku partycja
C:\
)
. (Obrazek 3)
Krok 4
Program oraz plik logu możemy już zamknąć. Przechodzimy do strony internetowej
wymienionej w pkt. 1, przewijamy ją w doł do samego końca i klikamy przycisk
„Przeglądaj”
zaznaczony na czerwono. (obrazek 4)
z okna wybierania pliku wybieramy plik logu zapisany wcześniej w pkt. 3, po czym klikamy
w przycisk
„Analyze”
zaznaczony na niebiesko. (obrazek 4)
Krok 5
W tym momencie mechanizm umieszczony na stronie przeanalizuje plik logu wykonany
wcześniej przez program Hijack i umieści nam w oknie przeglądarki podsumowanie analizy.
(obrazek 5). I teraz najważniejszy moment, przeglądając podsumowanie należy zwrócić
uwagę na wpisy z żółtym znakiem zapytania, oto kilka przykładów, które mogą pojawić się
po analizie logu :
-R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
-R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
-R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
-R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
-R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
-O20 - Winlogon Notify: msupdate – msupdate32.dll
-O20 - Winlogon Notify: mszsrn32 – system32/szsrn32.dll
-O20 - Winlogon Notify: BITS - C:\WINNT\system32\l4l6le3s1h.dll
-O20 - Winlogon Notify: URL - C:\WINDOWS\system32\dnr8019ue.dll
-O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\mv68l9ju1.dll
-O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\f4l02e3mgh.dll
-O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\f82mlif1182.dll
-O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\fprq0395e.dll
-O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\hr2605fse.dll
-O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\en82l1lo1.dll
-O20 - Winlogon Notify: Installer - C:/WINDOWS/system32/dnlo0133e.dll
-O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\jt4m07h1e.dll
-O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\r48slel71hq.dll
-O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\n0p4la7q1d.dll
-O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\lv4o09h3e.dll
-O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\e2020cdoef0c0.dll
-O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\mvp0l97m1.dll
-O20 - Winlogon Notify: H323TSP - D:\WINDOWS\system32\dnr4019qe.dll
-O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\gpnsl3571.dll
-O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\soell32.dll
-O20 - Winlogon Notify: Run - C:\WINDOWS\system32\hrnq0555e.dll
-O20 - Winlogon Notify: Run - C:\WINDOWS\system32\guard.tmp (file missing)
-O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\p46s0ej7eho.dll (file missing)
-O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\p66slgj716o.dll
-O20 - Winlogon Notify: UnreadMail - C:\WINDOWS\system32\k6nolg5316.dll (file missing)
-O20 - Winlogon Notify: Internet Settings - C:\WINNT\system32\t4r80e9ueh.dll (file missing)
-O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll
-O20 - Winlogon Notify: Extensions - C:\WINNT\system32\csmmdlg.dll
-O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\CAFVIEW.DLL
Jeśli jakikolwiek z wyżej wymienionych wpisów pojawi się w analizie logu, lub schemat
wpisów będzie podobny do tych powyżej (bardzo ważne są dwa ostatnie przykładowe
wpisy), należy je zapamiętać lub zapisać i przejść do kolejnego punktu. Jednak pamiętać
należy również, że istnieją wpisy dobre, ale nie będą one oznaczone znakiem zapytania :]
Oto kilka przykładów dobrych wpisów.
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O20 - Winlogon Notify: nwprovau - C:\WINDOWS\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: tpgwlnotify - C:\WINDOWS\SYSTEM32\tpgwlnot.dll
O20 - Winlogon Notify: TabBtnWL - C:\WINDOWS\SYSTEM32\TabBtnWL.dll
O20 - Winlogon Notify: loginkey - C:\WINDOWS\SYSTEM32\LoginKey.dll
O20 - Winlogon Notify: loginkey - C:\Program Files\Common Files\Microsoft Shared\Ink\loginkey.dll
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O20 - Winlogon Notify: MCPClient - C:\Program Files\Common Files\Stardock\mcpstub.dll
O20 - Winlogon Notify: OPXPGina - C:\Program Files\Softex\OmniPass\opxpgina.dll
O20 - Winlogon Notify: STOPzilla - C:\WINDOWS\SYSTEM32\IS3WLHandler.dll
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
Krok 6
Wyłączamy przywracanie systemu klikając prawym przyciskiem myszy na ikonie
Mój
Komputer
, wybieramy zakładkę
Przywracanie Systemu
i zaznaczamy pole
Wyłącz
przywracanie systemu
(obrazek 6).
Plik z chomika:
darek264
Inne pliki z tego folderu:
usowanie wirusa podszywajacego sie pod proces winlogin.exe.pdf
(1943 KB)
Włamania do systemów.ppt
(103 KB)
Sieci_komputerowe_w_domu_i_w_biurze._Biblia.rar
(9409 KB)
Inne foldery tego chomika:
Autodata v3.41PL
Delphi 2016.0 PL keygen
DELPHI AUTOCOM 2020
ETKA 7.5 + 8.1 (1246) 10.2018
Programy
Zgłoś jeśli
naruszono regulamin