Usuwanie czerwonej tapety Danger: Spyware...
Temat powstał z racji coraz częściej powtarzających się problemów z czerwonymi tapetami, zablokowanym prawoklikiem, podwajanymi ikonami/brakiem ikon na pulpicie
Usuwanie czerwonej tapety Danger: Spyware (SlimShield/Smart Security)
[Widok]
W zalezności od wersji (tapety róznią się jedynie napisami na dole SlimShield lub Smart Security) powodują
– zmianę tapety na wyźej pokazana
– zablokowanie prawego przycisku mychy
– zablokowanie moźliwości zmiany tapety z poziomu Właściwości pulpitu
– podwajanie/znikanie ikon z pulpitu
Usuwanie:
– Wyłączenie przywracania systemu (dotyczy WinXP, Me)
– Zlokalizowanie i usunięcie plików tzw. trójkowców, moźna się do tego celu posłuźyć programem HijackThis (trójkowce tworzą się przy odmianie SlimShield tak wiec przy drugiej wersji pomijamy ten punkt)
Dlaczego trójkowe ?? Dlatego, źe tworzą nazwy wejść w RUN w rejestrze oraz nazwy swoich plików w postaci wyrazu składającego się z trzech liter, oto przykłady:
Lokują się zarówno w C:\WINDOWS jak i C:\WINDOWS\System32
Pliki oczywiście wszystkie muszą zniknąć z dysku, gdyź jeśli któryś z nich zostanie na HDD syf powróci na nowo.
Nie bawimy się od tego momentu we wklejanie logów na forum, ale samodzielnie uruchamiamy HJT, wyłapujemy szkodliwe pliki i usuwany je.
Jako, źe z autopsji (co prawda nie na swoim komputerze) wiem, źe plików moźe nie być widać nawet po zaznaczeniu pokazywania plików systemowych i ukrytych, do usuwania badziwia moźna uźyc darmowego programu Pocket Killbox
Uruchamiamy program
Ad1 wpisujemy ścieźkę do pliku razem z rozszerzeniem
Przy kasacji folderów z wiadomych względów nie mamy rozszerzenia, sama ścieźka z nazwa folderu do usuniecia
Ad2 w niektórych przypadkach gdyby plik był uźywany przez inna aplikacje, ustawiamy tę opcje, plik zostanie skasowany po ponownym uruchomieniu systemu
Ad3 przycisk kasujący
Po wszystkim klikamy w Exit
– Do Killboxa dopisujemy ścieźkę do C:\Desktop oraz ręcznie usuwamy C:\Windows\desktop.html
Pozbyliśmy się przyczyny czas teraz na naprawienie skutków
– Odblokowanie prawoklika, włączenie wyłączonego zapisywania ustawień przy wyjściu z Windows i odblokowanie właściwości paska zadań
Odpalamy regedit (Start >> Uruchom >> regedit)
Klucze:
Usuwamy Dword:
>> NoViewContextMenu
usuwamy:
>> NoViewContextMenu
>> NoSetTaskbar
>> NoSaveSettings
– "przekierowujemy" sciezke do własciwych folderów Pulpit zmienionych przez trojana, dzieki czemu przywracamy ikony
Klucze:
Edytujemy wartości Desktop (z prawego okna), za dane wpisujemy w kaźdym %USERPROFILE%\Pulpit (to ogólnie natomiast moźna teź podać bezpośrednią ścieźke do własnego profilu np. C:\Documents and Settings\XXX*\Pulpit)
Naleźy pamiętać o odpowiedniej literze dysku systemowego, w tym wypadku C:
*XXX nazwa profilu
* ...NUMERKI... – czyli zmienne liczby, u kazdego inne
Sa to zazwyczaj dwa ostatnie klucze w głównym HKEY_USERS
Klucze:
Wartości Common Desktop edytujemy do postaci %ALLUSERSPROFILE%\Pulpit (podobnie jak wyźej w userprofile, moźna podać C:\Documents and Settings\All Users\Pulpit)
Klucz:
Usuwamy wartość Wallpaper (odblokuje to moźliwość zmiany tapet)
– skasowanie wejścia w PPM na pulpit >> właściwości/Dostosuj Pulpit/Sieć Web
Usuwanie czerwonej tapety Danger: Spyware (SlimShield/Smart Security)
[Widok]
W zalezności od wersji (tapety róznią się jedynie napisami na dole SlimShield lub Smart Security) powodują
– zmianę tapety na wyźej pokazana
– zablokowanie prawego przycisku mychy
– zablokowanie moźliwości zmiany tapety z poziomu Właściwości pulpitu
– podwajanie/znikanie ikon z pulpitu
Usuwanie:
– Wyłączenie przywracania systemu (dotyczy WinXP, Me)
– Zlokalizowanie i usunięcie plików tzw. trójkowców, moźna się do tego celu posłuźyć programem HijackThis (trójkowce tworzą się przy odmianie SlimShield tak wiec przy drugiej wersji pomijamy ten punkt)
Dlaczego trójkowe ?? Dlatego, źe tworzą nazwy wejść w RUN w rejestrze oraz nazwy swoich plików w postaci wyrazu składającego się z trzech liter, oto przykłady:
O4 – HKLM\..\Run: [Erp] C:\WINDOWS\Osr.exe
O4 – HKLM\..\Run: [Gsl] C:\WINDOWS\System32\Alm.exe
O4 – HKLM\..\Run: [Igo] C:\WINDOWS\Run.exe
O4 – HKLM\..\Run: [Kgn] C:\WINDOWS\System32\Tmv.exe
O4 – HKLM\..\Run: [Itq] C:\WINDOWS\Huu.exe
O4 – HKLM\..\Run: [Dnn] C:\WINDOWS\System32\Eun.exe
O4 – HKLM\..\Run: [Bcr] C:\WINDOWS\Ojf.exe
O4 – HKLM\..\Run: [Gjm] C:\WINDOWS\Gih.exe
O4 – HKLM\..\Run: [Fvt] C:\WINDOWS\Ita.exe
O4 – HKLM\..\Run: [Jkb] C:\WINDOWS\Rdm.exe
O4 – HKLM\..\Run: [Arh] C:\WINDOWS\System32\Kbk.exe
Lokują się zarówno w C:\WINDOWS jak i C:\WINDOWS\System32
Pliki oczywiście wszystkie muszą zniknąć z dysku, gdyź jeśli któryś z nich zostanie na HDD syf powróci na nowo.
Nie bawimy się od tego momentu we wklejanie logów na forum, ale samodzielnie uruchamiamy HJT, wyłapujemy szkodliwe pliki i usuwany je.
Jako, źe z autopsji (co prawda nie na swoim komputerze) wiem, źe plików moźe nie być widać nawet po zaznaczeniu pokazywania plików systemowych i ukrytych, do usuwania badziwia moźna uźyc darmowego programu Pocket Killbox
Uruchamiamy program
Ad1 wpisujemy ścieźkę do pliku razem z rozszerzeniem
Przy kasacji folderów z wiadomych względów nie mamy rozszerzenia, sama ścieźka z nazwa folderu do usuniecia
Ad2 w niektórych przypadkach gdyby plik był uźywany przez inna aplikacje, ustawiamy tę opcje, plik zostanie skasowany po ponownym uruchomieniu systemu
Ad3 przycisk kasujący
Po wszystkim klikamy w Exit
– Do Killboxa dopisujemy ścieźkę do C:\Desktop oraz ręcznie usuwamy C:\Windows\desktop.html
Pozbyliśmy się przyczyny czas teraz na naprawienie skutków
– Odblokowanie prawoklika, włączenie wyłączonego zapisywania ustawień przy wyjściu z Windows i odblokowanie właściwości paska zadań
Odpalamy regedit (Start >> Uruchom >> regedit)
Klucze:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Usuwamy Dword:
>> NoViewContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
usuwamy:
>> NoViewContextMenu
>> NoSetTaskbar
>> NoSaveSettings
– "przekierowujemy" sciezke do własciwych folderów Pulpit zmienionych przez trojana, dzieki czemu przywracamy ikony
Klucze:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_USERS\S–1–5–21–...NUMERKI*...\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_USERS\S–1–5–21–...NUMERKI*..._Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Edytujemy wartości Desktop (z prawego okna), za dane wpisujemy w kaźdym %USERPROFILE%\Pulpit (to ogólnie natomiast moźna teź podać bezpośrednią ścieźke do własnego profilu np. C:\Documents and Settings\XXX*\Pulpit)
Naleźy pamiętać o odpowiedniej literze dysku systemowego, w tym wypadku C:
*XXX nazwa profilu
* ...NUMERKI... – czyli zmienne liczby, u kazdego inne
Sa to zazwyczaj dwa ostatnie klucze w głównym HKEY_USERS
Klucze:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Wartości Common Desktop edytujemy do postaci %ALLUSERSPROFILE%\Pulpit (podobnie jak wyźej w userprofile, moźna podać C:\Documents and Settings\All Users\Pulpit)
Klucz:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Usuwamy wartość Wallpaper (odblokuje to moźliwość zmiany tapet)
– skasowanie wejścia w PPM na pulpit >> właściwości/Dostosuj Pulpit/Sieć Web
Odpowiedzi: 0
Strona 0 / 0