Электронная библиотека
Хакер
Наследники Трои
Xakep Online -> Журнал, номер #011, стр. 011-046-3
работу." (Х #2, статья "Как стать рабовладельцем в Сети")
Все лишние программы из реестра, особенно те, которые не устанавливались специально, нужно удалить. Тут будь осторожен, так как со временем на компьютер устанавливается большое количество программ, и многие из них записывают себя по мере надобности в реестр, т.е. удаление надо производить только с особой тщательностью и аккуратностью. Боишься удалять? Тогда на фиг закрой реестр и больше туда не лезь. Да не, это я шутю, это юмор такой - на самом деле просто переименуй имя программы, например "с:\program files\icq\icq.exe" в "с:\program files\icq\null" (чтобы проверить, изменилось
ли что-то от того, что эта программа не запускается). Подраздел \SOFTWARE\Microsoft\Windows\CurrentVersion\Run есть не только в разделе HKEY LOCAL MACHINE, а еще и в HKEY USERS (HKEY USERS\.Default\ или HKEY USERS\. Твой логин при старте\). Поэтому также не забудь поискать разделы типа "Run" ("RunOnce", "Run...") еще в 2 главных разделах.
Если Троян все же запустился, то ты явным образом можешь его увидеть и выключить, нажав Ctrl+Alt+Del. Однако, даже если нажав Ctrl+Alt+Del ты ничего не обнаружил, радоваться еще рано. Полную информацию о запущенных программах в Windows можно увидеть, запустив утилиту XRun.
Также подойдет утилита CTask , выполняющая аналогичные действия.
Вот список типичных приложений, которые ты там можешь увидеть: KERNEL32.DLL, MSGSRV32.EXE, MPREXE.EXE, MMTASK.TSK, VSHWIN32.EXE, EXPLORER.EXE, SYSTRAY.EXE, INTERNAT.EXE, LOADWC.EXE, RUNDLL.EXE, STARTPG.EXE, RNAAPP.EXE, TAPIEXE.EXE, SPOOL32.EXE, WSASRV.EXE . Запоминать их все, конечно, не нужно (хотя можешь, тебе это не помешает), и если ты чего-нибудь из этого списка не увидишь - то это не значит что твой Маздай установился не полностью. Здесь просто собрано большинство системных программ, используемых Маздаями. А вот если увидишь что-то новое в реестре, не надо сразу бросаться удалять все подряд и форматировать винт, а следует спокойно разобраться с этой программой - откуда она у тебя и что делает. Помнишь такую старую поговорку - семь раз отмерь, один раз отрежь? Вот тут все так же: семь раз прикинь, один потри.
Если же в реестре ничего нет, то следует пробежаться по конфигурационным файлам Windows, таким как win.ini и system.ini. Win.ini и system.ini находятся в каталоге c:\windows, самый простой способ запустить программу оттуда - это написать "run=путь\троян.exe" или "load=программа". Хотя запись сюда производится довольно редко, т.к. здесь довольно просто обнаружить что-то подозрительное, нежели, например, в реестре. Если вышеизложенные способы ничего не дали, а у тебя все-таки осталась навязчивая мысль о том, что ты подвергся заражению - то тогда возьми любой сканер портов, зайди в Инет и проскань свой IP (127.0.0.1 - одно из обозначений твоего компьютера в сети) на предмет "подозрительных" портов... Если у тебя открыты нестандартные порты - то есть повод для разбирательств.