|
В този урок ще ви дадем напътствия как да премахнете Back Orifice от заразен компютър. Back Orifice е програма за администрация на отдалечени компютри, която позволява на потребител да управлява компютър чрез TCP/IP връзки използвайки проста конзола или GUI програма. В локален LAN или Интернет, BO дава на потребителите си повече контрол на отдалечена Windows машина отколкото самият собственик има.
==+== Встъпление ==+== Премахване на Back Orifice в 3 стъпки. 1) Редактиране на регистрите, така че BO не може да се зареди отново. 2) Рестартиране за да изхвърлим BO от паметта. 3) Изтриваме програмата от диска за да предотвратим заразяване отново. ==+== Стъпка 1 -=- Редактиране на регистрите ==+== За да направите това ще ви трябва програмата наречена RegEdit. Можете да отидете до Run командата от Start менюто и да напишете regedit за да я стартирате. Ако сте запознат с regedit, ключът който трябва да редактирате е следният: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices (Default) = " .exe" Можете да изтриете линията. (Default) = " .exe" Изтрийте двата файла в c:windows " .exe" и "windll.dll" Също така, по-новите версии на BO инсталират и ключът: WindowsTour ="Tour98.exe" Можете да изтриете тази линия също (вижте по-долу LM BO) Стъпка по стъпка: Когато стартирате regedit, той много се доближава на вид като Windows Explorer, само че той не работи с файловете на дискът. Regedit има два панела. Панелът от ляво показва всички ключове в регистърът ви. Панелът от дясно показва стойностите на тези ключове. Погледнете в левият панел, ще видите лист с артикули. Един от тях трябва да е "HKEY_LOCAL_MACHINE" с малка кутийка съдържаща '+'. Натиснете този +, и ще се покажат още артикули под него. Тогава намерете "SOFTWARE", и натиснете на кутийката до него. Продължете с този процес за всеки от следните артикули: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Ще забележите, че няма '+' кутийка до RunServices. Просто маркирайте този артикул. Това ще покаже артикулите и ключовете в панелът от дясно. Десният панел, освен другите неща ще ви покаже един артикул който трябва да е подобен на : (Default) " .exe" -ИЛИ- ако сте заразен с LM BO : WindowsTour ="Tour98.exe" -ИЛИ- ако видите: System Tray = "SysTry.ocx" Тогава може да имате Back Orifice 2. Това е линията която зарежда BO и трябва да бъде премахната. Бъдете внимателни, не пипайте други артикули в този ключ, всеки един от тях се зарежда при стартиране и по вероятност това са валидни софтуери които трябва да се заредят. Можете да натиснете с дясното копче на (Default) и да изберете 'delete'. САМО Edit/delete линията... НЕ редактирайте НИЩО друго, ако не сте запознат с него. ==+== Стъпки 2/3 - Рестартирване и изтриване на BO ==+== Рестартирането само по себе си се подразбира... Но след като рестартирате, не стартирайте нищо друго освен Windows Explorer. Отидете в C:WINDOWSSYSTEM Оригиналният BO ще бъде с икона която изглежда, че е .exe Името на файлът е <празно място>.exe. Ако системата ви е конфигурирана да не показва окончания на файлове (като .exe или .txt) тогава това трябва да бъде празна линия. Ако имате линия в регистърът си включваща LM BO, вместо това ще трябва да потърсите програма наименувана Tour98.exe, което има логото на windows. Обърнете внимание, че те се намира също в C:windowssystemtour98.exe. Има файл c:windowstour98.exe, който е истински системен файл, оставете го! НЕ СТАРТИРАЙТЕ ТОЗИ ФАЙЛ.. Това е същинската BO програма. Ако го направите, той ще редактира регистрите и ще трябва да започнете отново от стъпка #1. Изтрийте този файл и изпразнете кошчето. Също така изтрийте и c:windowswindll.dll. Вече не сте заразен. Препоръчваме ви да си направите копие на информацията и да форматирате дискът си и да инсталирате обратно всички програми от оригинални дискове или setup програми. Автор: Янко Димитров
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|||||||||
