trojan loadmoney

Ответ от ЁЕРЁГА[гуру]
Открываешь диспетчер задач, убиваешь в процессах пинча, потом идешь в папку windows ищещ там етого пинча, удаляешь, потом в командной строке набираешь msconfig жмешь ввод там на закладке автозагрузка снимаешь галочку на против пинча и заодно посмотришь где в реестре от него следы остались, заходишь в реестр удаляешь, все! если только пинча кто нить не переделал под самовосстановление.... но это уже совсем другая история... .
Удаляем трояна
И так всетаки троян както проник, или вы сами открыли какойто ехе'шник но ничего непроизошло (может также открытся окно типа нет какойто библиотеки и брочей лобуды об ошибке) .
Сразу найти расположение трояна можно лишь просмотреть текущие процессы. Ну как уже давно трояны поумнели и в Ctrl+Alt+Del там их точно не найдеш порекомендую прогу которую сам использую Task Killer.
В ней ничего сложного, она появится в трэе около часов. В опциях поставиш галочку на "отображать полный путь" и щелкнув по иконке выпловит окно со всеми активными процессами (конечно новечку будет сложно отличить где процесс трояна а где нет). Сразу обращайте в нимание на директории c:/, c:/Windows, c:/Windows/system, c:/Windows/system32, c:/Windows/Fonts, c:/Windows/Temp(в Tempe можно удалить все что там есть). И щелкнув по непонравевшомуся процессу появится окно с кнопками "Завершение задачи" и "Омена". И так если нашли непонятный процесс откройте папку с его расположением убете процесс а потом уже удаляйте сам файл (файл не удалится если он будет активиным) .
Процессы наиболее встречающиеся:
c:/Windows/Explorer.exe
c:/Windows/System/DDHelp.exe
c:/Windows/System/MSTASK.exe
c:/Windows/System/RNAAPP.exe
c:/Windows/System/SYSTRAY.exe
В последнее время используется фичя, троян приклеевается к какому либо файлу, обычно это internet.exe так сказать для большего долголетия =).
Бороться с этим можли лишь сохранить на дискете этот файлик когда винда толька была установлена, и после обнаружения и удаления трояна заменять с дискеты.
Теперь будем искать трояна в автозапуске
Уже было сказано что троян прописывается в реестр и в ini файлах. Расмотрим гдеже он может появится.
Самое бредовое расположение это Пуск=>Программы=>Автозагрузка (еще бывает Startup). Врятли троян там пропишется.
1. Реестр
Реестр (REGEDIT.EXE) - это типа базы даной где хранится вся информация и настройка об даной тачке, ос, юзере. Находится в директории c:/Windows.
Вот ключи где записаны все автозапуски программ:
[HKEY_LOCAL_MACHINE]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurentVersio nRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurentVersio nRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurentVersio nRunOnceEx
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurentVersio nRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurentVersio nRunServicesOnce
[HKEY_CURRENT_USER]
HKEY_CURRENT_USERSOFTWAREMicrosoftCurentVersion Run
HKEY_CURRENT_USERSOFTWAREMicrosoftCurentVersion RunOnce
Ключи ставятся в строковом параммете (название ключа и путь к файлу) .
Не понравившийся ключь удаляем.
2. INI файлы
INI - это файлы с расширением ini, которые служат для определеной настройки винды.
Вот INI которые нас интересуют:
(Все находятся в деректории c:/Windows)
- "CONTROL.INI"
строки:
load=
run=
- "system.ini"
строки:
shell= *после равно должно быть Explorer.exe, но бывает и после Explorer.exe чтото стоит
load=
run=
- "win.ini"
строки:
load=
run=
Вроди почти все перечислел.
Недавно узнал что также файл может запускаться из Autorun.ini (обычно такая фичя используется для дисков). Был очень удивлен увидев его усебя в директории C: 8)). Так что этот ауторан удаляйте вообще его недолжно быть там.
AUTOEXEC.BAT
(Находится в дериктории C:, в ХР его нет)
Небуду описывать для чего он и зачем (надеюсь многие знают) .
Мало встречал где описывали ауторан троянов в AUTOEXECе. В этот батник также может в писаться путь к трояну. Там не до