 |
|
| node: | Ako na spyware |
| template: | 4 |
| parent: | pocitace - troubleshooting ci co |
| owner: | mirex |
| viewed by: | |
| created: | 15.12.2004 - 12:27:46 |
| updated: | 25.01.2006 - 11:08:46 |
|
cwbe coordinatez: 101 63540 63709 1265519 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::
total children::14
12 ❤️
| DzejAr | 0 |
| donniedarko | 0 |
| Ulotrich | 0 |
| proxi | 0 |
| georgino | 0 |
| casi_cada_mi... | 0 |
| marvin_m | 0 |
| hudry | 0 |
| Fleya | 0 |
| visby | 0 |
| squartefaghoui | 0 |
| dragulievic | 0 |
| HuKer | 0 |
| basstom | 0 |
| asebest | 0 |
| delMAR | 0 |
| Lukas | 0 |
| mirex | 0 |
| kocur_mosur | 0 |
| karol | 0 |
| Martini | 0 |
| lightwarrior | 1 |
| Vipo | 1 |
| Nongrata | 1 |
| P_N_R | 2 |
| svrbi ma zivot | 4 |
| slove | 4 |
| .:stigma:. | 4 |
| daLo | 4 |
| Duto | 4 |
| Faun | 8 |
| pistinko | 8 |
| rigor | 8 |
| LDuck | 8 |
Takze vidim ze je to tu dost casty problem, tak sem skusim dat navod, podla toho ako to ja pouzivam. Je to sice trochu zlozitejsie a technicky narocne, ale funguje to.
-- Ako odstranit bezne spyware a podobne moderne virusy ktore sa vam nasackuju do systemu, a spomalia vam internet pripadne uplne zahltia linku a pocitac --
Kedy to treba spravit
Takze zistili ste ze mate spomaleny pocitac / internet a mate podozrenie na nejaky takyto bordelik na svojom kompiku, pripadne cez task-managera kukate na procesy a vidite tam nejake divne ktore sa vam nepacia ( no mne sa ich tam nepaci strasne vela ale systemove procesy odstranit nemozeme, takze co uz ).
V task manageri sa vela virusikov maskuje za systemove procesy. Preto si zvolia nejake prefikane meno, napr 'lsss.exe', 'windriver.exe' 'dll32.exe' a podobne. Niekedy si daju aj na drzaka meno 'Uploader1.exe' :)
Robit to vobec ?
Ak ti slova ako Task Manager, Firewall, Regedit nic nehovoria tak to radsej nerob, a zavolaj na to niekoho kto sa vyzna. Predsa si nechces rozbit pocitac este viac ako je. Ale zas na druhu stranu treba skusat, ten kto neskusa sa nic nove nenauci. :) ale ja za nic nerucim
tak teda potrebujeme na to zopar veci a to:
- Regedit. Je to editor registrov. Treba si davat pozor pri jeho pouzivani lebo sa s nim da rozhasit cely system. Spusta sa cez Start menu, run command, napisete tam 'regedit' a enter.
- Task manager. Vidite v nom beziace procesy. Spusta sa rychlou skratkou Ctrl + Shift + Escape.
- msconfig. (spusta sa z prikazoveho riadku) Aj cezen sa daju pozriet programy ktore sa spustaju s registrov, taktiez sluzby a pod.
- AdAware tiez pomoze. Monitoruje zmeny v systeme / registroch a je robeny specialne na taketo virusiky. Aj ked vacsinou vsetky neodstrani. http://www.lavasoftusa.com/software/adaware/
- Firewall aby sa nam sem nedostavali dalsie viry ( v mojom priklade pouzijeme Kerio, je free a celkom pouzitelny. http://www.kerio.com/kpf_home.html )
- cistu hlavu a dost trpezlivosti
Ako na to:
Musite byt administrator, ktory moze v systeme menit nastavenia. Odpojme sa uplne od internetu, a aj vypnime automaticke pripajanie na internet pri starte pocitaca ak mate.
- spustime si Task Managera, kukneme ci tu vidime nejake podozrive procesy. Hlavne divne mena procesov a ak beru velke percento casu aj ked nic nemaju robit ( v tomto pripade ignorujme word.exe, u neho je to bezne :). Poznacme si tieto mena na papier.
- spustime si Regedit. Na lavej strane vidime stromovu strukturu, v nej sa preklikame do nasledujucej cesty: 'HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Run'. V tomto adresari su zaznamenane programy ktore sa spustia po starte pocitaca. Virusy sa sem radi zapisuju. Ak tu vidis nieco podozrive, tak si to tiez poznac na papier, aj s plnou cestou odkial sa spusta. Mali by tu byt iba zname programiky ktore si si nainstaloval/a plus nejake systemove ( internat.exe, ctfmon.exe ). Tak isto treba pozriet aj do inych casti stromu ktore maju v nazve Run ( RunService a pod.) v casti 'HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion', a aj do 'HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-RUN'. Taktiez pokial viem tak v adresaroch Run by nemali byt ziadne podadresare, takze ak existuju tak pozrite aj do nich, pripadne ich vymazte ( ak ste si isty ze niesu potrebne ).
Potom si spustime msconfig, a pojdeme do zalozky Services, niekedy su tu virusy zapisane aby sa spustili ako servis. Ak tu nieco take vidime tak mu zrusime fajku na checkboxe, nech sa nespusta.
- Tieto virusy funguju tak, ze sa zapisu do registrov do adresara 'Run', teda sa vzdy po starte spustia. Malo by stacit vymazat ich odtial, ale niektore si to vsak kontroluju a po vymazani z registrov sa tam znova zapisu. Takze teda: v TaskManageri podozrive procesy zakilime. V registroch ich vymazeme. V msconfigu v zalozke services ich odznacime. Resetneme komp (obycajny restart staci, tvrdy reset je vsak istejsi, aby sa nestihli znova pospustat :). Niektore procesy sa nedaju killunt, ale asi uz nenabehnu pri dalsom starte kedze sme ich vymazali z registrov.
Pokusime sa vymazat tieto programy z harddisku (ich umiestnenie mame na papieri, nasli sme to v regedite, casto sa umiestnuju do windowsackeho adresara, obcas maju nastaveny atribut hidden, takze si treba zapnut vypisovanie aj skrytych suborov).
Teraz sa znova pozrieme do regeditu a taskManageru ... ak su tam este stale skusime to znova. Po par restartoch by to malo byt vsetko ciste.
- Je jedna kategoria takychto virusov ktore su este extra zakerne v tom, ze ti ihned zabijaju Regedit aj Task managera - hned ako ich spustis ich to zaklili (alebo sa ti vobec nezobrazia). Tu treba restartnut pocitac a pred startom windowsov stlacat F8 aby si sa dostal do textoveho menu, a tu treba vybrat 'Safe mode' ... tu virusy nenabehnu, teda ani nebudu nic killovat. Potom treba postupovat ako je napisane vyssie.
Ako sa chranit proti dalsim infekciam
No jednoducho. Nainstalujeme si Kerio a AdAware. Kerio nastavime tak aby sa nas pytal pri kazdom odchadzajucom a prichadzajucom spojeni, a aj pri kazdom spustani programu. Sice na zaciatku bude mat vela otazok, ale na tie mu odpovieme ano a zaskrkneme nech sa nas uz nepyta ... ale iba pri programoch o ktorych je jasne ze to niesu virusy ( WindowsCommander, Explorer, AcdSee, Quake3arena, Starcraft, InteretExporer ... a ich podprogramky ) a pri spojeniach pri ktorych je jasne ze ide o nutne spojenia ( pripojenie Internet Exploreru ku providerovi, Ftp na tvoj server, Quake 3 areny na servery ... ) pri neistych spojeniach a programoch nech sa radsej vzdy pyta. Bude to sice trochu otravne, ale budes mat kontrolu nad systemom.
No a samozrejme neklikat 'Ano' na vsetkych strankach ktore vidim ... ak vam vyskoci okienko 'Do you want to install xxx sexxx client' tak samozrejme ze treba kliknut 'No'. Aj tak vam to ziadne porno cez toho klienta neposle. ;)
A software AdAware vie tiez najst zopar takychto virusikov, a aj ich zopar odstranit, ale nieje vzdy dosledny. Preto najskor skuste pouzit AdAware a ak nepomoze pouzite taktiku popisanu vyssie.
Napiste mi svoje kometare a pripomienky ...
-- Ako odstranit bezne spyware a podobne moderne virusy ktore sa vam nasackuju do systemu, a spomalia vam internet pripadne uplne zahltia linku a pocitac --
Kedy to treba spravit
Takze zistili ste ze mate spomaleny pocitac / internet a mate podozrenie na nejaky takyto bordelik na svojom kompiku, pripadne cez task-managera kukate na procesy a vidite tam nejake divne ktore sa vam nepacia ( no mne sa ich tam nepaci strasne vela ale systemove procesy odstranit nemozeme, takze co uz ).
V task manageri sa vela virusikov maskuje za systemove procesy. Preto si zvolia nejake prefikane meno, napr 'lsss.exe', 'windriver.exe' 'dll32.exe' a podobne. Niekedy si daju aj na drzaka meno 'Uploader1.exe' :)
Robit to vobec ?
Ak ti slova ako Task Manager, Firewall, Regedit nic nehovoria tak to radsej nerob, a zavolaj na to niekoho kto sa vyzna. Predsa si nechces rozbit pocitac este viac ako je. Ale zas na druhu stranu treba skusat, ten kto neskusa sa nic nove nenauci. :) ale ja za nic nerucim
tak teda potrebujeme na to zopar veci a to:
- Regedit. Je to editor registrov. Treba si davat pozor pri jeho pouzivani lebo sa s nim da rozhasit cely system. Spusta sa cez Start menu, run command, napisete tam 'regedit' a enter.
- Task manager. Vidite v nom beziace procesy. Spusta sa rychlou skratkou Ctrl + Shift + Escape.
- msconfig. (spusta sa z prikazoveho riadku) Aj cezen sa daju pozriet programy ktore sa spustaju s registrov, taktiez sluzby a pod.
- AdAware tiez pomoze. Monitoruje zmeny v systeme / registroch a je robeny specialne na taketo virusiky. Aj ked vacsinou vsetky neodstrani. http://www.lavasoftusa.com/software/adaware/
- Firewall aby sa nam sem nedostavali dalsie viry ( v mojom priklade pouzijeme Kerio, je free a celkom pouzitelny. http://www.kerio.com/kpf_home.html )
- cistu hlavu a dost trpezlivosti
Ako na to:
Musite byt administrator, ktory moze v systeme menit nastavenia. Odpojme sa uplne od internetu, a aj vypnime automaticke pripajanie na internet pri starte pocitaca ak mate.
- spustime si Task Managera, kukneme ci tu vidime nejake podozrive procesy. Hlavne divne mena procesov a ak beru velke percento casu aj ked nic nemaju robit ( v tomto pripade ignorujme word.exe, u neho je to bezne :). Poznacme si tieto mena na papier.
- spustime si Regedit. Na lavej strane vidime stromovu strukturu, v nej sa preklikame do nasledujucej cesty: 'HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Run'. V tomto adresari su zaznamenane programy ktore sa spustia po starte pocitaca. Virusy sa sem radi zapisuju. Ak tu vidis nieco podozrive, tak si to tiez poznac na papier, aj s plnou cestou odkial sa spusta. Mali by tu byt iba zname programiky ktore si si nainstaloval/a plus nejake systemove ( internat.exe, ctfmon.exe ). Tak isto treba pozriet aj do inych casti stromu ktore maju v nazve Run ( RunService a pod.) v casti 'HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion', a aj do 'HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-RUN'. Taktiez pokial viem tak v adresaroch Run by nemali byt ziadne podadresare, takze ak existuju tak pozrite aj do nich, pripadne ich vymazte ( ak ste si isty ze niesu potrebne ).
Potom si spustime msconfig, a pojdeme do zalozky Services, niekedy su tu virusy zapisane aby sa spustili ako servis. Ak tu nieco take vidime tak mu zrusime fajku na checkboxe, nech sa nespusta.
- Tieto virusy funguju tak, ze sa zapisu do registrov do adresara 'Run', teda sa vzdy po starte spustia. Malo by stacit vymazat ich odtial, ale niektore si to vsak kontroluju a po vymazani z registrov sa tam znova zapisu. Takze teda: v TaskManageri podozrive procesy zakilime. V registroch ich vymazeme. V msconfigu v zalozke services ich odznacime. Resetneme komp (obycajny restart staci, tvrdy reset je vsak istejsi, aby sa nestihli znova pospustat :). Niektore procesy sa nedaju killunt, ale asi uz nenabehnu pri dalsom starte kedze sme ich vymazali z registrov.
Pokusime sa vymazat tieto programy z harddisku (ich umiestnenie mame na papieri, nasli sme to v regedite, casto sa umiestnuju do windowsackeho adresara, obcas maju nastaveny atribut hidden, takze si treba zapnut vypisovanie aj skrytych suborov).
Teraz sa znova pozrieme do regeditu a taskManageru ... ak su tam este stale skusime to znova. Po par restartoch by to malo byt vsetko ciste.
- Je jedna kategoria takychto virusov ktore su este extra zakerne v tom, ze ti ihned zabijaju Regedit aj Task managera - hned ako ich spustis ich to zaklili (alebo sa ti vobec nezobrazia). Tu treba restartnut pocitac a pred startom windowsov stlacat F8 aby si sa dostal do textoveho menu, a tu treba vybrat 'Safe mode' ... tu virusy nenabehnu, teda ani nebudu nic killovat. Potom treba postupovat ako je napisane vyssie.
Ako sa chranit proti dalsim infekciam
No jednoducho. Nainstalujeme si Kerio a AdAware. Kerio nastavime tak aby sa nas pytal pri kazdom odchadzajucom a prichadzajucom spojeni, a aj pri kazdom spustani programu. Sice na zaciatku bude mat vela otazok, ale na tie mu odpovieme ano a zaskrkneme nech sa nas uz nepyta ... ale iba pri programoch o ktorych je jasne ze to niesu virusy ( WindowsCommander, Explorer, AcdSee, Quake3arena, Starcraft, InteretExporer ... a ich podprogramky ) a pri spojeniach pri ktorych je jasne ze ide o nutne spojenia ( pripojenie Internet Exploreru ku providerovi, Ftp na tvoj server, Quake 3 areny na servery ... ) pri neistych spojeniach a programoch nech sa radsej vzdy pyta. Bude to sice trochu otravne, ale budes mat kontrolu nad systemom.
No a samozrejme neklikat 'Ano' na vsetkych strankach ktore vidim ... ak vam vyskoci okienko 'Do you want to install xxx sexxx client' tak samozrejme ze treba kliknut 'No'. Aj tak vam to ziadne porno cez toho klienta neposle. ;)
A software AdAware vie tiez najst zopar takychto virusikov, a aj ich zopar odstranit, ale nieje vzdy dosledny. Preto najskor skuste pouzit AdAware a ak nepomoze pouzite taktiku popisanu vyssie.
Napiste mi svoje kometare a pripomienky ...