I trojan sono programmi che attraverso un client installato su di un'altro pc,
possono accedere al sistema in maniera remota ... Questi programmi sono veri e
propri "cavalli di troia" che una volta infiltrati e installati nel
sistema permettono ad hacker (più o meno esperti) di navigare liberamente nel
vostro pc ... magari divertendosi ad aprire il vostro lettore cd o cancellandovi
file :(!!
Non ritenetevi al sicuro da questi programmi ... qualsiasi programma o file
scaricato o eseguito può contenere un pericoloso Trojan ... alcuni AntiVirus
rilevano queste Backdoor, ma non tutte sono rilevabili ... l'unica sicurezza (o
speranza visto che nascono nuove Bd ogni giorno) è tenersi sempre aggiornati e
informati sia con antivirus che con appositi cleaner !!!
Solitamente i Trojan per ripartire ogni volta che il pc viene riacceso hanno
bisogno di salvare delle informazioni nel regedit ... quindi talvolta per
eliminarli è sufficente cancellare queste informazioni... Naturalmente non
posso elencare tutte le chiavi per tutti i Trojan ... , ma cmq spero che questi
sistemi di cancellazione siano un esempio per farvi capire il metodo di
eliminazione di un trojan che come vedrete è simile per tutti le Bd.
Adesso provate a fare CTRL-ALT-CANC guardate cosa avete in esecuzione ... e se
vedete qualcosa di strano sconnettetevi entrate nel prompt del dos e scrivete:
c:\netstat -a
Se oltre alla porta 0 è aperto qualcosa d'altro cominciate a preoccuparvi !!!
Prima di entrare nel regedit fatene delle copie così da poter cancellare le
chiavi in tranquillità !!!
Andate nella cartella :
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run
tutto quello che trovate in questa cartella parte all'avvio del pc, quindi in
generale se vedete qualcosa di strano è probabile sia una Bd
Deep Thoat 2
Value = c:\windows\systray.exe
(può essere rinominato)
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del systray.exe
e poi rimuovete la chiave nel regedit.
Il vero file systray deve trovarsi nella cartella System quindi se ne esiste un
altro da un'altra parte è un trojan !!!
Back Orifice
Value = .exe
Value = 412124.TMP
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del .exe
e poi rimuovete le chiavi nel regedit.
Millenium
Value=reg666.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del reg666.exe
e il file
c:\windows\system\del regersys.ocx
e poi rimuovete la chiave nel regedit.
Gate Crasher
Value=EXPLORE.exe
Cercate e cancellate questi file:
Explore.exe 94.208 Bytes
Port.dat 94.208 Bytes
Port.exe 40.960 Bytes
Port.doc 39.424 Bytes
GirlFriend
Value c:\windows\windll.exe
(può essere rinominato)
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del windll.exe
e poi rimuovete la chiave nel regedit.
Attack Ftp
Value wscan.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del Wscan.exe
e poi rimuovete la chiave nel regedit.
Telecommando
Value ODBC.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del odbc.exe
e poi rimuovete la chiave nel regedit.
Icq Trojen
Rimuovete il file icq2.exe dalla dir di icq
Prority BETA
Value pserver.exe
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del pserver.exe
e poi rimuovete la chiave nel regedit.
Shadow Phyre
Cancellate i seguenti file:
c:\windows\system\inet.exe
c:\windows\system\WinZipp.exe
Netbus 1.xx
Value c:\windows\patch.exe
(può essere rinominato)
Per cancellarlo riavviate in dos e cancellate il file
c:\windows\del patch.exe
e poi rimuovete la chiave nel regedit.
Netbus Pro 2
Value c:\windows\nome.exe
(può essere rinominato)
Ci sono delle varianti che scrivono su queste cartelle: