*** RIMUOVERE ALCUNI TROJAN ***
Solitamente i Trojan per ripartire ogni volta che il pc viene
riacceso hanno bisogno di salvare delle informazioni nel regedit ...
quindi talvolta per eliminarli è sufficente cancellare queste informazioni...
Tutte queste cose sono valide solo in un sistema Window (anche se non è sicuramente il mio sistema preferito, lo prendo come esempio visto che la maggior parte dei lettori sono utenti Win) ...
Adesso provate a fare CTRL-ALT-CANC guardate cosa avete in esecuzione ...
e se vedete qualcosa di strano sconnettetevi entrate nel prompt
del dos e scrivete:
c:\netstat -a
Se oltre alla porta 0 è aperto qualcosa d'altro cominciate a preoccuparvi !!!
Questo che segue non vuole essere un tutorial per cancellarsi da soli le BD, sono solo alcuni esempi per farvi capire il sistema di penetrazione del trojan
... se già prima vi siete domandati cosa è il "registro di configurazione" potete benissimo tralasciare le righe che seguono ...
Entrare nel registro è facile ... basta eseguire il programma "regedit" dal "run" del menù di avvio ... appena entrati fate una copia del tutto così da poter
cancellare le chiavi in tranquillità !!!
Andate nella cartella :
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run
tutto quello che trovate in questa cartella parte all'avvio del pc,
quindi in generale se vedete qualcosa di strano è probabile sia una Bd
Deep Thoat 2
Value = c:\windows\systray.exe (può essere rinominato)
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del systray.exe
e poi rimuovete la chiave nel regedit.
Il vero file systray deve trovarsi nella cartella System quindi
se ne esiste un altro da un'altra parte è un trojan !!!
Back Orifice
Value = .exe
Value = 412124.TMP
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del .exe
e poi rimuovete le chiavi nel regedit.
Millenium
Value=reg666.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del reg666.exe
e il file
c:\windows\system\del regersys.ocx
e poi rimuovete la chiave nel regedit.
Gate Crasher
Value=EXPLORE.exe
Cercate e cancellate questi file:
Explore.exe 94.208 Bytes
Port.dat 94.208 Bytes
Port.exe 40.960 Bytes
Port.doc 39.424 Bytes
GirlFriend
Value c:\windows\windll.exe (può essere rinominato)
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del windll.exe
e poi rimuovete la chiave nel regedit.
Attack Ftp
Value wscan.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del Wscan.exe
e poi rimuovete la chiave nel regedit.
Telecommando
Value ODBC.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del odbc.exe
e poi rimuovete la chiave nel regedit.
Icq Trojen
Rimuovete il file icq2.exe dalla dir di icq
Prority BETA
Value pserver.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del pserver.exe
e poi rimuovete la chiave nel regedit.
Shadow Phyre
Cancellate i seguenti file:
c:\windows\system\inet.exe
c:\windows\system\WinZipp.exe
Netbus 1.xx
Value c:\windows\patch.exe (può essere rinominato)
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del patch.exe
e poi rimuovete la chiave nel regedit.
Netbus Pro 2
Value c:\windows\nome.exe (può essere rinominato)
Ci sono delle varianti che scrivono su queste cartelle:
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
HKEY_CURRENT_USER\NetBus Server\Protection
HKEY_CURRENT_USER\NetRex
HKEY_CURRENT_USER\NetRex Server\General
HKEY_CURRENT_USER\NetRex Server\Protection
|