Os cavalos de Tróia podem causar danos morais e financeiros ao usuário do computador. Programas antivírus e firewalls interrompem o fluxo principal de software malicioso, mas novas versões de cavalos de Tróia aparecem todos os dias. Às vezes, um usuário de PC se encontra em uma situação em que o antivírus não vê o código malicioso, então ele tem que lidar com o programa malicioso por conta própria.
Instruções
Passo 1
Um dos tipos mais desagradáveis de Trojans são os backdoors, que permitem que um hacker controle remotamente um computador infectado. Fiel ao seu nome, o backdoor abre uma brecha para um invasor, por meio da qual qualquer ação pode ser executada em um computador remoto.
Passo 2
O backdoor consiste em duas partes: o cliente, instalado no computador do hacker, e o servidor, localizado no computador infectado. O lado do servidor está sempre esperando por uma conexão, "travando" em alguma porta. É nesta base - a porta ocupada - que ele pode ser rastreado, depois do qual será muito mais fácil remover o cavalo de Tróia.
etapa 3
Abra a linha de comando: "Iniciar - Todos os programas - Acessórios - Prompt de comando". Digite o comando netstat –aon e pressione Enter. Você verá uma lista das conexões do seu computador. As conexões atuais serão indicadas na coluna "Status" como ESTABLISHED, as conexões pendentes são marcadas com a linha LISTENING. A porta dos fundos esperando para ser conectada está no estado de escuta.
Passo 4
Na primeira coluna, você verá os endereços locais e as portas usadas pelos programas que fazem as conexões de rede. Se você vir programas em sua lista em um estado de conexão pendente, isso não significa que seu computador certamente está infectado. Por exemplo, as portas 135 e 445 são usadas pelos serviços do Windows.
Etapa 5
Na última coluna (PID) você verá os números de identificação do processo. Eles o ajudarão a descobrir qual programa está usando a porta de seu interesse. Digite a lista de tarefas na mesma janela da linha de comando. Você verá uma lista de processos com seus nomes e números de identificador. Observando o identificador na lista de conexões de rede, você pode usar a segunda lista para determinar a qual programa ela pertence.
Etapa 6
Há momentos em que o nome do processo não informa nada. Em seguida, use o programa Everest (Aida64): instale, execute e veja a lista de processos. O Everest facilita a localização do caminho onde o arquivo executável está localizado. Se você não estiver familiarizado com o programa que inicia o processo, exclua o arquivo executável e feche o processo. Durante a próxima inicialização do computador, uma janela de aviso pode aparecer informando que tal ou tal arquivo não pode ser iniciado, e sua chave de execução automática será indicada no registro. Usando essas informações, exclua a chave usando o editor de registro ("Iniciar - Executar", o comando regedit).
Etapa 7
Se o processo sob investigação realmente pertence ao backdoor, na coluna "Endereço externo" você pode ver o ip do computador que está conectado a você. Mas esse provavelmente será o endereço do servidor proxy, então é improvável que você consiga descobrir o hacker.
