Da li imate trojanca?
Uputstvo koje sljedi ce vam pomoci da provjerite da li je vas Windows inficiran nekim trojancem...
Trojanci se mogu 'sakriti' na 4 mjesta: win.ini, system.ini, Startup folder i Registry baza!
Idemo redom:
Win.ini = C:\windows\win.ini
[windows]
Run=
Load=
Win.ini - fajl koji se moze naci u windows direktorijumu [kao sto i sami vidite] i svaki fajl koji dolazi poslje komanda Run ili Load se ucitava kad god upalite racunar, a koristite Windows.
System.ini = c:\windows\system.ini
[boot]
shell=explorer.exe c:\windows\neki_trojanac.exe
Jos jedan nacin za ucitavanje programa je preko shella, tj. svaki program ce biti ucitan koji se nalazi u windows direktorijumu a nalazi se poslje explorer.exe, kao na primjeru.
Pogledajte i u C:\WINDOWS\Start Menu\Programs\StartUp\ sta ima, mozda cete naci nesto
I sad smo kod REGISTRY-a
Da bi mu pristupili idite u Start/Run i otkucajte REGEDIT.
U registriju postoji nekoliko mogucih mjesta gdje se moze smjestiti trojanac da se ucitava. Ovdje su navedeni:
[HKEY_CLASSES_ROOT]/exefile/shell/open/command
[HKEY_CLASSES_ROOT]/comfile/shell/open/command
[HKEY_CLASSES_ROOT]/batfile/shell/open/command
[HKEY_CLASSES_ROOT]/htafile/Shell/Open/Command
[HKEY_CLASSES_ROOT]/piffile/shell/open/command
[HKEY_LOCAL_MACHINE]Software/CLASSES/batfile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/comfile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/exefile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/htafile/Shell/OpenCommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/piffile/shell/opencommand
Ako kljucevi nemaju "%1" %" onda je vijerovatno zamjenjeno sa ""server.exe %1" %"
Ovo je nacin kako se najcesce nalaze trojanci kako cete ih najvijerovatnije prepoznati.
PRIMER KAKO JE ODRADJEN POSAO U sub7 2.2
HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/explorer/User shell folders
Icq Inet
HKEY_CURRENT_USER]/Software/Mirabilis/ICQ/Agent/Apps
"Path"="test.exe"
"Startup"="c:\test"
"Parameters"=""
"Enable"="Yes"
Objasnjenje:
[HKEY_CURRENT_USER/Software/Mirabilis/ICQ/AgentApps]
Ovaj key detektira kada je ostvarena konekcija prema Internetu i tu je upisana aplikacija koju ICQ tada pokrece.
Evo i najcesce koriscenih kljuceva:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
Odgovori uz citat
Bookmarks