Det er på eget ansvar at bruge disse tips.
- Fjern selv w32.sqlexp.worm
- Fjern selv W32.Bugbear@mm
- Fjern selv W32/Sircam-A
- Find og fjern selv Pretty Park
- Find og fjern selv Netbus
- Find og fjern selv WinSatan
- Find og fjern selv Happy99
- Find og fjern selv ZippedFiles eller ExploreZip
- Find og fjern selv SubSeven
PRETTY PARK
VIGTIGT ! slet ikke filen FILES32.VXD fra din computer før du ændrer i registreringseditoren, da Windows ellers vil nægte at udfører nogen ordrer og de følgende ting vil ikke blive udført.
For at fjerne TROJ_PRETTY_PARK skal du følge disse trin:
1) Kør filen CleanPPark.reg fra http://www.antivirus.com/vinfo/security/CleanPPark.reg, dette vil ændre de ting i registreringseditoren som TROJ_PRETTY_PARK, har ændret.
2) Genstart computeren i MS-DOS ved at klikke Start -> Luk computeren -> Genstarte i MS-DOS tilstand.
3) Du starter nu i C:\windows>. Skriv cd system og tryk ENTER, skriv nu del files32.vxd og tryk ENTER for at slette filen.
4) Genstart igen og scan for virus.
Hvis du sletter filen FILES32.VXD inden du ændrer registreringseditoren, følg disse trin:
1. Gem filen CleanPPark.REG på en diskette.
2. Klik Start -> Kør -> Gennemse -> klik på A: og find CleanPPark.REG og tryk ENTER.
Dette er hentet fra Trend Micro
NETBUS
Åben DOS prompt, skriv NETSTAT -AN | FIND "12345" , hvis du får svar er der måske NETBUS på din maskine.
Åben DOS prompt, skriv NETSTAT -AN | FIND "12346" , hvis du får svar er der måske NETBUS på din maskine.
Åben DOS prompt, skriv NETSTAT -AN | FIND "20034" , hvis du får svar er der måske NETBUS på din maskine.
Kig efter disse NetBus filer :
c:\windows\system\patch.exe
c:\windows\system\keyhook.dll.
NbSvr.exe
KIG I REGISTRERINGSEDITOREN:
1. Åben REGEDIT
Klik START - KØR - skriv: REGEDIT
2. Gå til dette sted:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce
og
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Finder du : 'NetBus Server Pro' er det NetBus programmet der hacker dig
Finder du : HKEY_CURRENT_USER\NetBus Server registreringsnøglen er det sikkert NeBus 2,0 på din maskine
Eller
Åben autoexec.bat filen : c:\windows\NETBUS SERVERNAVN
Åben Win.ini filen : find linien "run=" og "load=" der skal være blank efter run= og load=
WINSATAN:
OPDAG OM DU ER RAMT: 1. Åben DOS-prompt
2. Skriv netstat -an
Hvis du er tilkoblet en IRC server og du ved at du ikke kører en sådanne client, ja så er du på den
Du kan også se efter filen fs-backup.exe (ca. 366 kb) i c:\windows:
Finder du den er du ramt
Se også i registreringseditoren (regedit.exe):
1. tryk start - kør - skriv regedit
2. kig her:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Finder du f.eks RegisterServiceBackup er du måske ramt
FJERN WinSATAN:
1. Slet filen fra regedit (RegisterServiceBackup)
2. Genstart computeren
3. Slet filen fs-backup.exe fra c:\windows
HAPPY99 !
1. Genstart computeren i MS-DOS tilstand
2. Når der står C:\WINDOWS> skriv da : CD SYSTEM
3. Skriv DIR SKA
Står der "FILE NOT FOUND" eller lignende er computeren ikke inficeret, skriv EXIT og afslut MS-DOS
Står der en liste med SKA DLL og SKA EXE er computeren inficeret
4. Skriv DIR WSOCK32.SKA
Står der FILE NOT FOUND kan følgende ikke bruges !
5. Skriv DEL SKA.DLL
6. Skriv DEL SKA EXE
7. Skriv DEL WSOCK32.DLL
8. Skriv REN WSOCK32.SKA WSOCK32.DLL
Computeren er nu renset for HAPPY99
Skriv EXIT og gentstart Windows
9. Åben Notesblok (start-programmer-tilbehør-notesblok)
10. Vælg meuen FILER og ÅBEN
11. I feltet filnavn skrives: C:\WINDOWS\SYSTEM\LISTE.SKA
12. Vælg åben
Nu står alle de E-mail adresser som HAPPY99 har spredt sig til via din computer
Sidste punkt er at kontakte personerne på listen og meddele at de også har HAPPY99
ZippedFiles eller ExploreZip :
Windows 95 eller 98:
Genstart i MS-dos
Åben WIN.INI og fjern linien run=c:windowssystemexplore.exe.
Dernæst slet filen "c:windowssystemexplore.exe" og genstart Windows.
TROJAN: SUBSEVEN
Server navn: SubSeven
Version: 1.9
Forskellige versioner: [1.0][1.1][1.2][1.3][1.4][1.5][1.6][1.7][1.8][1.9]
rammer: Windows 95 og Windows NT
Server størrelse: 327K
Server fil: server.exe
Port: 1243 TCP , kan ændres
OPDAG OG FJERN:
Brug denne hvis hackeren ikke har konfigureret SubSeven:
1. Åben system.ini (c:\windows\system.ini) og fjern: shell=Error mtmtask.dl i [boot]
2. Genstart computeren
3. Slet filen mtmtask.dl i windows mappen
Brug denne måde hvis hackeren har konfigureret SubSeven til at starte i win.ini:
1. Åben win.ini (c:\windows\win.ini) og fjern run=mtmtask.dl i [Windows]
2. Genstart computeren
3. Slet filen mtmtask.dl i windows mappen
Brug denne måde hvis hackeren har konfigureret SubSeven til at starte i Registry:
1. Fjern KERNEL32 key i registreringen i enten:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run eller HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices.
2. Genstart computeren
3. Slet filen mtmtask.dl i windows mappen
|
|
|
Forside 
