Starałeś się zabezpieczyć swój komputer, dobrze chroniłeś hasło i ważne dane, jednak chwila nieuwagi i niewykrywalny keylogger znalazł się na twoim komputerze...Taki scenariusz może spotkać każdego, postaram się więc opisać jak oczyścić swoją maszyną z tego plugastwa.
1.Detekcja
Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny:
www.merijn.org/files/hijackthis. zip (mirror:www.server.9x.pl/prv/hijackthis. zip )
Następnie uruchamiamy program hijackthis. exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a).
Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services. exe
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services. exe
lub
O4 - HKLM\..\Run: [auto] C:\WINDOWS\services*****
Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik
Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess. exe jednak to ważny plik systemowy i nie wolno go usuwać.
2.Usuwanie
Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket.KillBox.2.0.0.473. html
Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii.
3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
127.0.0.1 wizzard.home.pl
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi
*Linki aby poprawnie działały należy usunąć spację z przed rozszerzenia np exe, html.
Działające linki:
Hijackthis - http://www.instalki.pl/programy/down...HijackThis.php
KillBox - http://www.instalki.pl/programy/down...et_KillBox.php
1.Detekcja
Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny:
www.merijn.org/files/hijackthis. zip (mirror:www.server.9x.pl/prv/hijackthis. zip )
Następnie uruchamiamy program hijackthis. exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a).
Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services. exe
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services. exe
lub
O4 - HKLM\..\Run: [auto] C:\WINDOWS\services*****
Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik
Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess. exe jednak to ważny plik systemowy i nie wolno go usuwać.
2.Usuwanie
Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket.KillBox.2.0.0.473. html
Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii.
3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
127.0.0.1 wizzard.home.pl
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi
*Linki aby poprawnie działały należy usunąć spację z przed rozszerzenia np exe, html.
Działające linki:
Hijackthis - http://www.instalki.pl/programy/down...HijackThis.php
KillBox - http://www.instalki.pl/programy/down...et_KillBox.php