SirGeorge Δημοσιεύτηκε Σεπτέμβριος 8, 2004 #1 Δημοσιεύτηκε Σεπτέμβριος 8, 2004 Ξέρει κανείς τι είναι το process WinSys.exe (όπως ακριβώς το γράφω) που εμφανίζεται στονTask Manager στα WindowsXP? Είναι φυσιλογικό?
Gi0 Σεπτέμβριος 8, 2004 #2 Σεπτέμβριος 8, 2004 Ειναι wormhttp://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_RBOT.KQhttp://www.viruslibrary.com/virusinfo/Worm.P2P.Tanked.a.htm
.38-.45 Σεπτέμβριος 8, 2004 #3 Σεπτέμβριος 8, 2004 καλως ηλθες SirGeorge Key Logger: (Keystroke Logger). A program that runs in the background, recording all the keystrokes. Once keystrokes are logged, they are hidden in the machine for later retrieval, or shipped raw to the attacker. The attacker then peruses them carefully in the hopes of either finding passwords, or possibly other useful information that could be used to compromise the system or be used in a social engineering attack. For example, a key logger will reveal the contents of all e-mail composed by the user. Keylog programs are commonly included in rootkits and RATs (remote administration trojans). προφανως δεν ειναι φυσιλογικό , αλλιως δε θα μας απασχολουσε βραδιατικα :D Solution:Terminating the Malware Program This procedure terminates the running malware process from memory. 1. Open Windows Task Manager. On Windows 9x/ME systems, press CTRL+ALT+DELETE On Windows NT/2000/XP systems, press CTRL+SHIFT+ESC, and click the Processes tab. 2. In the list of running programs*, locate the process: WINSYS.EXE 3. Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system. 4. To check if the malware process has been terminated, close Task Manager, and then open it again. 5. Close Task Manager. *NOTE: On systems running Windows 9x/ME, Windows Task Manager may not show certain processes. You may use a third party process viewer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions.
SirGeorge Σεπτέμβριος 8, 2004 Author #4 Σεπτέμβριος 8, 2004 Tώρα βρήκα το αρχείο μέσα στo System32, DOT MFC Application λέγεται, ξέρει κανείς τι είναι αυτό? Έψαξα με Norton,Spybot και Adware και δεν βρήκα τίποτε από τα προαναφερόμενα.
wrong method Σεπτέμβριος 8, 2004 #5 Σεπτέμβριος 8, 2004 Είναι dialer .Κατέβασε το νέο AdAwareSE και κάνε ένα full scan
SirGeorge Σεπτέμβριος 8, 2004 Author #6 Σεπτέμβριος 8, 2004 Έχω το AdAware Personal SE και τώρα τρέχω ένα full scan να δω αν θα μου βγάλει κάτι... Πάντως πιστεύω ότι μπορεί να είναι και "νόμιμο" process μια και περιγράφεται σαν DOT MFC Application μέσα στο system32. Αν μπορούσα να βρώ τι είναι αυτό...
.38-.45 Σεπτέμβριος 8, 2004 #7 Σεπτέμβριος 8, 2004 http://securityresponse.symantec.com/avcenter/venc/data/siteno.trojan.htmlWhen Siteno.Trojan is executed, it copies itself as \Windows\System\Winsys.exe. It is able to do this only if the file name of the Trojan is Winsys.exe; it does not copy itself if the file name is anything else.It then adds the valueProg C:\windows\system\winsys.exeto the registry key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunTo remove the value from the registry: 1. Click Start, and click Run. The Run dialog box appears. 2. Type regedit and then click OK. The Registry Editor opens. 3. Navigate to the following key: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 4. In the right pane, delete the following value: Prog C:\windows\system\winsys.exe 5. Click Registry, and click Exit.
wrong method Σεπτέμβριος 8, 2004 #8 Σεπτέμβριος 8, 2004 .38-.45 σωστά όλα αυτά αλλά δεν πρέπει πρώτα να σβήσει το trojan/dialer από τα Progr. files και μετά από τη registry; Αυτό προυποθέτει να έχει κάποιο Norton...Start Norton AntiVirus (NAV), and make sure that NAV is configured to scan all files. For instructions on how to do this, read the document How to configure Norton AntiVirus to scan all files. Run a full system scan. Delete all files that are detected as Siteno.Trojan.και μετά πρέπει να χρησιμοποιήσει το registry editor.
.38-.45 Σεπτέμβριος 8, 2004 #9 Σεπτέμβριος 8, 2004 Αρχική απάντηση από wrong method [Σήμερα, στις 04:57] .38-.45 σωστά όλα αυτά αλλά δεν πρέπει πρώτα να σβήσει το trojan/dialer από τα Progr. files και μετά από τη registry; αν ηξερα, θα εκανα τo SAV (Swedish AntiVirus) και θα ειχα πολλες πισινες τωραLink βρισκω, τα ακολουθω και κανω οτι λενε.
ΓιαγκΤ Σεπτέμβριος 8, 2004 #10 Σεπτέμβριος 8, 2004 Αρχική απάντηση από .38-.45 [Σήμερα, στις 10:36] θα ειχα πολλες πισινες Τι εξυπηρετεί αυτό;
fantacid Σεπτέμβριος 8, 2004 #11 Σεπτέμβριος 8, 2004 Aν ειναι key logger οπως αναφερει ο 38-45,οτι πληκτρο πατησεις (δλδ. ολοι οι κωδικοι σου)το καταγραφει σε καποιο αρχειο κ μεσω καποιας backdoor τα στελνει στον ιδιοκτητη του trojan server ή αν καποιος εντοπισει αυτο σου το vulner θα μπορει να παρει αυτο το αρχειο με τα keystrokes.
.38-.45 Σεπτέμβριος 8, 2004 #12 Σεπτέμβριος 8, 2004 Αρχική απάντηση από ΓιαγκΤ [Σήμερα, στις 10:42] Τι εξυπηρετεί αυτό; ειναι δεικτης οικονομικης καταστασης, ειδικα για την ελλαδα
Chosen Σεπτέμβριος 8, 2004 #13 Σεπτέμβριος 8, 2004 Αρχική απάντηση από .38-.45 ειναι δεικτης οικονομικης καταστασης, ειδικα για την ελλαδα Κι εμμεσα μας λες οτι δεν εχεις ουτε μπανιερα;...
.38-.45 Σεπτέμβριος 8, 2004 #14 Σεπτέμβριος 8, 2004 απο τα τελη του μηνα που θα μεινω χωρις δουλεια να δεις.. μεχρι και τη σκαφη που πλενω τα ρουχα θα πουλησω..
Recommended Posts
Archived
This topic is now archived and is closed to further replies.