Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Jak odstranit Trojana?

Potřebovala bych poradit.Existuje nějaký způsob, jak se zbavit trojského koně aniž bych přitom musela obnovovat celý systém? Celý den sem brouzdala na netu ale jedinné co sem objevila je buď naformátovní disku a ebo oprava v registrech, ty registry bych i zkusila ale jse laik, tak mám strach sedo toho pouštět na vlastní pěst, abych tam něco nepokazila. Avira Antivir Premium našel: Trojan-Dropper.Win32.Agent.dgo. - smazala jsem ho, ale při zapnutí PC naskočil znovu - pokoušela jsem se toho zbavit i přes Spyware Terminator, ale ten to taky nemohl odstranit, vyskočila jen hláška že to musím sama odinstalovat, ha ha ale jak? Pak sem se dočetla že to nejde léčit ani smazat... tak jsem se odhodlala napsat a prosím o radu. Mám Vistu home premium. Předem dík.

Změna předmětu, původně: POMOC!!! Jak odstranit Trojana??? (anarchist)

Předmět Autor Datum
Stáhni si program Unlocker a smaž pomocí něj ten soubor, ve kterém ti to toho trojana našlo...
MaSo 03.01.2008 16:23
MaSo
spíš půjde o jinou legraci: po spuštění automaticky startuje program, který teprve toho trojana vytv…
lední brtník 03.01.2008 17:04
lední brtník
Díky za radu, opravdu se to zapíná po spuštění, chtěla sem to zrušit, ale nejde to, je to nejspíš do…
33pp 03.01.2008 18:14
33pp
win.ini není aplikace, je to konfigurační soubor pro staré windows win9x může tam být uvedeno co se…
lední brtník 03.01.2008 18:29
lední brtník
díky, zkusila sem to, ale objevuje se chyba, chybí práva k oprávnění pro ladění
33pp 03.01.2008 17:09
33pp
Pravděpodobně ten trojan je spuštěný - podívat se do Správce úloh, jestli neběží nějaký podezřelý pr…
host 03.01.2008 17:12
host
je v souboru, který se spouští po startu, ale nejde zakázat (přesněji soubor WIN.INI)
33pp 03.01.2008 18:23
33pp
A co je v tom win.ini napsané?
karel 03.01.2008 18:25
karel
Ja ho mel nedavno taky.. (pri pokusu shanet keygen :) Bohuzel ta mrcha se nejak loaduje i v nouzaku,…
MKc 03.01.2008 18:50
MKc
xp přece řádky run= a load= nepoužívají; co tak ty soubory nejdřív zálohovat pod jinou příponou a or…
lední brtník 03.01.2008 19:12
lední brtník
ten nadpis s velkým T ve mne evokoval jen jedno... [http://tbn0.google.com/images?q=tbn:hOXNokvuG_c…
Vladimir 03.01.2008 17:34
Vladimir
omlouvám se jestli sem pobouřila Trojanův fanklub
33pp 03.01.2008 18:19
33pp
V pořádku :-) To existuje? :-)
Vladimir 03.01.2008 18:31
Vladimir
Ano. A Google zjistil i jinou zajímavost: Manželkou Ivana Trojana je herečka Klára Trojanová-Poller…
karel 03.01.2008 18:34
karel
Zkus teda jestě kouknout na www.hijackthis.cz, stáhni si HiJackThis, spusť ho, zvol "Do system scan…
MaSo 03.01.2008 18:57
MaSo
Tak sem to dala na scan, snad to pomůže... Nevleze se to do zprávy celé, tak to rozkouskuju... R1 -…
33pp 03.01.2008 20:54
33pp
F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe Fix todle to a soubor smazej z r…
kmochna 03.01.2008 20:56
kmochna
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\C…
33pp 03.01.2008 20:56
33pp
Tady to vypadá v pořádku-jedu dál.
kmochna 03.01.2008 20:59
kmochna
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\…
33pp 03.01.2008 20:58
33pp
fix O4 - HKCU\..\Run: [?????????] ??????????????e O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\I…
kmochna 03.01.2008 21:02
kmochna
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP:…
33pp 03.01.2008 21:04
33pp
-
kmochna 03.01.2008 21:11
kmochna
+
host 03.01.2008 21:17
host
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDat…
33pp 03.01.2008 21:07
33pp
-
kmochna 03.01.2008 21:14
kmochna
O4 - HKCU\..\Run: [?????????] ??????????????e O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\A…
kmochna 03.01.2008 21:18
kmochna
Díky za snahu mi pomoc, v nouzáku sem to sice odstranila, už to vypadalo fajn :-D ale pak sem zapla…
33pp 05.01.2008 11:46
33pp
Soubor win.ini stačí otevřít v Poznámkovém bloku a řádek smazat, nebo pro jistotu jen zakomentovat -…
host 05.01.2008 11:48
host
Ale trochu to pomohlo. Jde to už smazat,aspoň na chvilku. Po nastartování se to zase objeví. Aspoň v…
33pp 05.01.2008 11:51
33pp
Ale trochu to pomohlo. Jde to už smazat,aspoň na chvilku. Po nastartování se to zase objeví. Aspoň v…
33pp 05.01.2008 11:51
33pp
mozes tam mat rootkit, v tom pripade ti samotny hijackthis nepomoze, skus ho skombinovat s AntiHookE…
mkmt 05.01.2008 12:04
mkmt
Nasypat mu do kouta nebo kudy nejčastěji chodí, jed... :x::x::x: poslední
Theseus 05.01.2008 14:58
Theseus

spíš půjde o jinou legraci: po spuštění automaticky startuje program, který teprve toho trojana vytvoří. čili mazat ho můžeš ale po novém startu je tam zas. taky může být jeho program natažený v paměti a hlídí zápis do registrů.
řešením bývá povypínat všechny blbosti, které automaticky startují z registrů, u každé přitom zjistit původ (výrobce). nástrojů je povícero, já používám starter

Díky za radu, opravdu se to zapíná po spuštění, chtěla sem to zrušit, ale nejde to, je to nejspíš dost potřebná aplikace (WIN.INI)

win.ini není aplikace, je to konfigurační soubor pro staré windows win9x
může tam být uvedeno co se spouští po startu v řádcích:

load= 
run=

co se ti nelíbí a víš že to nepotřebuješ, za tím "=" vymaž

edit viz níže: "nejde zakázat"
nech si práva k editaci toho win.ini nastavit jen pro sebe, ne pro system.
zatím není jasné odkud se spouští program který ho přepisuje, a zda není trvale v paměti - zas jde použít ten starter. ještě lepší by bylo nasadit process explorer + filemon, ale to spíš pro znalejší uživatele.

Pravděpodobně ten trojan je spuštěný - podívat se do Správce úloh, jestli neběží nějaký podezřelý proces a případně jej ukončit.
Dále bych zkusil soubor smazat v nouzovém režimu, to by mělo zabrat.

Ja ho mel nedavno taky.. (pri pokusu shanet keygen :)
Bohuzel ta mrcha se nejak loaduje i v nouzaku, pri pokusu odstranit radek LOAD= blablabla.dll a naslednym refresh tam ten radek byl zase.. ale byly 3hod rano tak sem se s tim moc neprdel, presunul jsem dulezity veci ze systemoveho disku na datovej a acronisem sem mel za 5min "reinstalovano" :)

BTW: nejspis ta mrcha taky smaze body obnoveni ..

xp přece řádky run= a load= nepoužívají; co tak ty soubory nejdřív zálohovat pod jinou příponou a originály úplně smazat, nebo spíš vymazat jen obsah (srazit velikost na 0byte ať zůstane zapsaná jen hlavička s názvem souboru - a tomu nastavit právo zápisu jen pro uživatele který se zrovna nepřihlašuje? a pro jistotu název toho "blabla.dll" nechat vyhledat i v registrech?

samozřejmě kdo má čerstvou zálohu celého systému je celkem vysmátý

Tak sem to dala na scan, snad to pomůže... Nevleze se to do zprávy celé, tak to rozkouskuju...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.seznam.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = cs.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = cs.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = su*uk.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe
O 1 - Hosts: ::1 localhost

F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe

Fix todle to a soubor smazej z režimu nouze.

EDIT// fix

O 1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\Windows\WebIE.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\Windows\WebIE.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Crawler lišta - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\AppData\Local\Temp\gebaa.dll,c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?

fix

O4 - HKCU\..\Run: [?????????] ??????????????e

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\AppData\Local\Temp\gebaa.dll,c

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - toolbar.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - OnlineScanner.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: eNetHook.dll
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxdev.dll

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\AppData\Local\Temp\gebaa.dll,c
F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe
O 1 - Hosts: ::1 localhost
---------------------------------------- -----------------------------------
tohle fixni,zrestartuj do nouzového režimu,vymazej eventuelní pozůstatky souborů :gebaa.dll a gebaa.exe . projeď to Avirou,nastartni normálně a znova antivir.

Díky za snahu mi pomoc, v nouzáku sem to sice odstranila, už to vypadalo fajn :-D ale pak sem zapla normální režim a ono se to znovu obnovilo :.(, musí to být nastaveno někde že by v registrech- to zrovna nevím jak tam vlézt. Ještě se po startu objevilo upozrnění, že soubor WIN.INI odkazuje na odkaz, který neexistuje (to byl ten nakažený, co sem v nouzáku "odstranila") a je tam napsáno, že ten odkaz mám z toho souboru odstranit, ale nevím jak se tam dostat:-(

Soubor win.ini stačí otevřít v Poznámkovém bloku a řádek smazat, nebo pro jistotu jen zakomentovat - mělo by stačit napsat na začátek toho řídku středník.

Ale trochu to pomohlo. Jde to už smazat,aspoň na chvilku. Po nastartování se to zase objeví. Aspoň vím že antivir funguje...

Ale trochu to pomohlo. Jde to už smazat,aspoň na chvilku. Po nastartování se to zase objeví. Aspoň vím že antivir funguje...

mozes tam mat rootkit, v tom pripade ti samotny hijackthis nepomoze, skus ho skombinovat s AntiHookExec, tiez by nebolo zle pouzit rootkitrevealer od sysinternals
najistejsie by to bolo preskenovat z druheho systemu

Zpět do poradny Odpovědět na původní otázku