PDA

نسخه کامل مشاهده نسخه کامل : winlite & lsass


ooje_asman
17-04-2005, 06:21
با سلام
این دوتا فایل رو دسگاه من هستند و احساس می کنم که ویروس اند مخصوصا فایل winlite که رو startup هم هست و من هرچه تیک اش رو ور می دارم دوباره دفعه بعد میادش و نیز تو رجیستری نیز هستش و من پاکش کردم که بلافاصله دوباره اومدش که رفتم تو task managerو دیدم فایلی با نام winlite اونجا فعالیت می کنه اونو بیرون انداختم بعد رجیستری رو پاک کردم که دیگه نیومده اگه بعدن نیادش و احساس می کنم سرعت دسگا یه کم پایین اومده رفقا در این مورد چیزی می دونند مرسی
M.R.M
17-04-2005, 08:17
سلام دوست عزيز.
در اين مورد فايل LSASS.EXE هيچ مشكلي ندارد.
اما فايل فايل WINLITE.EXE يك تروجان از نوع Backdoor است.
اما مشخصات اين تروجان :
نام : PPPOEOE
نام فايل : WINLITE.EXE
توضيحات : W32/Rbot-AAN WORM/IRC backdoor trojan
مسير ذخيره فايل : %System%
نحوه انتشار : فايلهاي اشتراكي موجود در شبكه
نحوه اجرا در Startup : اين فايل معمولا به صورت اتوماتيك از كليدهاي رجيستري زير به صورت خودكار و در هر بار اجراي ويندوز اجرا ميشود :
Run, RunOnce, RunServices, RunServicesOnce
توجه كنيد كه در اينجا مسير ذخيره فايل منظور اين قسمتها در هر كدام از ويندوزهاي ذكر شده است :
C:\Windows\System for Windows 95/98/ME, C:\Winnt\System32 for Windows NT/2000, C:\Windows\System32 for Windows XP
اثرات اين تروجان :
آنتي ويروس را غير فعال ميكند.
اجازه ميدهد ديگران به سيستم شما دسترسي داشته باشند.
كدهاي خود را از اينترنت بارگذاري ميكند.
تنظيمات امنيتي سيستم شما رو به صورت قابل ملاحظه اي كاهش ميدهد.
كليدهاي فشرده شده روي كيبورد را به صورت اتوماتيك ذخيره ميكند.
نامهاي مستعار اين تروجان عبارتند از :
Backdoor.Win32.Rbot.gen
W32/Sdbot.worm.gen
W32.Spybot.Worm
WORM_RBOT.ARY
براي ياك كردن اين تروجان براي اين كه از كامل بودن عمليات مطمئن شويد حتما مسير آن را نيز از كليدهاي رجيستري كه در بالا نام بردم حذف و پاك كنيد. به اين مسيرها مراجعه كنيد :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ServicesOnce

موفق باشيد . :)
ooje_asman
19-04-2005, 06:14
با سلام مرسی حل شد