Разберем Троян Stealth наших друганов - Kurt'а и Doc'a. Вот что они сами говорят про него: "Как и большинство подобных программ, наша после первого запуска копирует себя в директорию, где живут Винды, под каким-нибудь неприметным именем. В то же время она добавляет себя в один из разделов регистра, который обеспечивает ей запрузку при каждом старте Виндов. Для обеспечения прикрытия свой легенды (т.е. чем ее представили жертве), она может выдать какое-нибудь сообщение, типа "Required DLL MFC50.DLL not found. The program will now terminate", что в переводе с буржуйского значит; "Требуемая библиотечка MFC50.D11 не найдена. Программа завершит свою работу." (XS2, статья "Как стать рабовладельцем в Сети"}

Все лишние программы из реестра, особенно те, которые не устанавливались специально, нужно удалить. Тут будь осторожен, так как со временем на компьютер устанавливается большое количество программ, и многие из них записывают себя по мере надобности в реестр, т.е. удаление надо производить только с особой тщательностью и аккуратностью. Боишься удалять? Тогда на фиг закрой реестр и больше туда не лезь. Да не, это я шутю, это юмор такой - на самом деле просто переименуй имя программы, например "c:\program files\icq\icq.exe" в "c:\program files\icq\null" (чтобы проверить, изменилось ли что-то от того. что эта программа не запускается). Подраздел \SOFTWARE\MicrosoftWindows\CurrentVersion есть не только в разделе HKEY LOCAL MACHINE, а еще и в HKEY USERS. Поэтому также не забудь поискать разделы типа "Run" ("RunOnce","Run...") - еще в 2 главных разделах. Если Троян все же запустился, то ты явным образом можешь его увидеть и выключить, нажав Ctrl+Alt+Oel. Однако, даже если нажав Ctrl+Alt+Oel ты ничего не обнаружил, радоваться еще рано. Полную информацию о запущенных программах в Windows можно увидеть, запустив утилиту XRun. Также подойдет утилита CTask, выполняющая аналогичные действия. Вот список типичных приложений, которые ты там можешь увидеть:

KERNEL32.DLL, MSGSRV32.EXE, MPREXE.EXE, MMTASK.TSK, VSHWIN32.EXE, EXPLORER.EXE, SYSTRAY.EXE, SINTERNAT.EXE, LOADWC.EXE, RUNDLL.EXE, STARTPG.EXE, NAAPP.EXE, TAPIEXE.EXE, SPOOL32.EXE, WSASRV.EXE.

Запоминать их все, конечно, не нужно (хотя можешь, тебе это не помешает), и если ты чего-нибудь из этого списка не увидишь - то это не значит что твой Маздай установился не полностью. Здесь просто собрано большинство системных программ, используемых Маздаями, А вот если увидишь что-то новое в реестре, не надо сразу бросаться удалять все подряд и форматировать винт, а следует спокойно разобраться с этой программой - откуда она у тебя и что делает. Помнишь такую старую поговорку - семь раз отмерь, один раз отрежь? Вот тут все так же: семь раз прикинь, один потри.

Если же в реестре ничего нет, то следет пробежаться по конфигурационным файлам Vrindows, таким как win.ini и system.ini. Win.ini и system.ini находятся в каталоге c:\windows, самый простой способ запустить программу оттуда - это написать “run=путь\троян.ехе" или "load=программа". Хотя запись сюда производится довольно редко, т.к. здесь довольно просто обнаружить что-то подозрительное, нежели, например, в реестре, Если вышеизложенные способы ничего не дали, а у тебя все-таки осталась навязчивая мысль о том, что ты подвергся заражению - то тогда возьми любой сканер портов, зайди в Инет и проскань свой IP (127.0.0.1 - одно из обозначений твоего компьютера в сети) на предмет "подозрительных" портов... Если у тебя открыты нестандартные порты - то есть повод для разбирательств. Ниже приводится список "стандартных" портов:

port 23 - Tiny Telnet Server (= TTS)

port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy

port 31 - Agent 31, Hackers Paradise, Masters Paradise

port 41 - DeepThroat

port 59 - DMSetup

port 79 - Firehotcker

port 80 - Executor, RingZero

port 99 - Hidden Port

port 110 - ProMail trojan

port 113 - Kazimas

port 119 - Happy 99

port 121 - JammerKillah

port 421 - TCP Wrappers

port 456 - Hackers Paradise

port 531 - Rasmin

port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy

port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre

port 911 - Dark Shadow

port 999 - DeepThroat, WinSatan

port 1001 - Silencer, WebEx

port 1024 - NetSpy

port 1042 - Bla

port 1045 - Rasmin

port 1090 - Xtreme

port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice

port 1234 - Ultors Trojan

port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse

port 1245 - VooDoo Doll

port 1269 - Mavericks Matrix

port 1349 (UDP) - BO DLL

port 1492 - FTP99CMP

port 1509 - Psyber Streaming Server

port 1600 - Shivka-Burka

port 1807 - SpySender

port 1981 - Shockrave

port 1999 - BackDoor

port 1999 - TransScout

port 2000 - TransScout

port 2001 - TransScout

port 2001 - Trojan Cow

port 2002 - TransScout

port 2003 - TransScout

port 2004 - TransScout

port 2005 - TransScout

port 2023 - Ripper

port 2115 - Bugs

port 2140 - Deep Throat, The Invasor

port 2155 - Illusion Mailer

port 2283 - HVL Rat5

port 2565 - Striker

Список не полный.!!!Получить весь список можно: E-mail:boyscout@hotmail.ru

Назад