Jak odstranit Trojana?

Stáhni si program Unlocker a smaž pomocí něj ten soubor, ve kterém ti to toho trojana našlo...

spíš půjde o jinou legraci: po spuštění automaticky startuje program, který teprve toho trojana vytvoří. čili mazat ho můžeš ale po novém startu je tam zas. taky může být jeho program natažený v paměti a hlídí zápis do registrů.
řešením bývá povypínat všechny blbosti, které automaticky startují z registrů, u každé přitom zjistit původ (výrobce). nástrojů je povícero, já používám starter

Díky za radu, opravdu se to zapíná po spuštění, chtěla sem to zrušit, ale nejde to, je to nejspíš dost potřebná aplikace (WIN.INI)

win.ini není aplikace, je to konfigurační soubor pro staré windows win9x
může tam být uvedeno co se spouští po startu v řádcích:

load= 
run=

co se ti nelíbí a víš že to nepotřebuješ, za tím "=" vymaž

edit viz níže: "nejde zakázat"
nech si práva k editaci toho win.ini nastavit jen pro sebe, ne pro system.
zatím není jasné odkud se spouští program který ho přepisuje, a zda není trvale v paměti - zas jde použít ten starter. ještě lepší by bylo nasadit process explorer + filemon, ale to spíš pro znalejší uživatele.

Pravděpodobně ten trojan je spuštěný - podívat se do Správce úloh, jestli neběží nějaký podezřelý proces a případně jej ukončit.
Dále bych zkusil soubor smazat v nouzovém režimu, to by mělo zabrat.

je v souboru, který se spouští po startu, ale nejde zakázat (přesněji soubor WIN.INI)

A co je v tom win.ini napsané?

Ja ho mel nedavno taky.. (pri pokusu shanet keygen :)
Bohuzel ta mrcha se nejak loaduje i v nouzaku, pri pokusu odstranit radek LOAD= blablabla.dll a naslednym refresh tam ten radek byl zase.. ale byly 3hod rano tak sem se s tim moc neprdel, presunul jsem dulezity veci ze systemoveho disku na datovej a acronisem sem mel za 5min "reinstalovano" :)

BTW: nejspis ta mrcha taky smaze body obnoveni ..

xp přece řádky run= a load= nepoužívají; co tak ty soubory nejdřív zálohovat pod jinou příponou a originály úplně smazat, nebo spíš vymazat jen obsah (srazit velikost na 0byte ať zůstane zapsaná jen hlavička s názvem souboru - a tomu nastavit právo zápisu jen pro uživatele který se zrovna nepřihlašuje? a pro jistotu název toho "blabla.dll" nechat vyhledat i v registrech?

samozřejmě kdo má čerstvou zálohu celého systému je celkem vysmátý

ten nadpis s velkým T ve mne evokoval jen jedno...

omlouvám se jestli sem pobouřila Trojanův fanklub

V pořádku To existuje?

Ano. A Google zjistil i jinou zajímavost:

Manželkou Ivana Trojana je herečka Klára Trojanová-Pollertová a jeho bratr Ondřej

Zkus teda jestě kouknout na www.hijackthis.cz, stáhni si HiJackThis, spusť ho, zvol "Do system scan and save logfile..." a zkopíruj nám sem jeho obsah...

Tak sem to dala na scan, snad to pomůže... Nevleze se to do zprávy celé, tak to rozkouskuju...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.seznam.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = cs.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = cs.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = su*uk.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe
O 1 - Hosts: ::1 localhost

F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe

Fix todle to a soubor smazej z režimu nouze.

EDIT// fix

O 1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\Windows\WebIE.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\Windows\WebIE.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Crawler lišta - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

Tady to vypadá v pořádku-jedu dál.

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\AppData\Local\Temp\gebaa.dll,c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?

fix

O4 - HKCU\..\Run: [?????????] ??????????????e

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\AppData\Local\Temp\gebaa.dll,c

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - toolbar.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - OnlineScanner.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: eNetHook.dll
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxdev.dll

-

+

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

-

O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Ivana\AppData\Local\Temp\gebaa.dll,c
F3 - REG:win.ini: load=C:\Users\Ivana\AppData\Local\Temp\gebaa.exe
O 1 - Hosts: ::1 localhost
---------------------------------------- -----------------------------------
tohle fixni,zrestartuj do nouzového režimu,vymazej eventuelní pozůstatky souborů :gebaa.dll a gebaa.exe . projeď to Avirou,nastartni normálně a znova antivir.

Díky za snahu mi pomoc, v nouzáku sem to sice odstranila, už to vypadalo fajn ale pak sem zapla normální režim a ono se to znovu obnovilo , musí to být nastaveno někde že by v registrech- to zrovna nevím jak tam vlézt. Ještě se po startu objevilo upozrnění, že soubor WIN.INI odkazuje na odkaz, který neexistuje (to byl ten nakažený, co sem v nouzáku "odstranila") a je tam napsáno, že ten odkaz mám z toho souboru odstranit, ale nevím jak se tam dostat

Soubor win.ini stačí otevřít v Poznámkovém bloku a řádek smazat, nebo pro jistotu jen zakomentovat - mělo by stačit napsat na začátek toho řídku středník.

Ale trochu to pomohlo. Jde to už smazat,aspoň na chvilku. Po nastartování se to zase objeví. Aspoň vím že antivir funguje...

Ale trochu to pomohlo. Jde to už smazat,aspoň na chvilku. Po nastartování se to zase objeví. Aspoň vím že antivir funguje...

mozes tam mat rootkit, v tom pripade ti samotny hijackthis nepomoze, skus ho skombinovat s AntiHookExec, tiez by nebolo zle pouzit rootkitrevealer od sysinternals
najistejsie by to bolo preskenovat z druheho systemu

Nasypat mu do kouta nebo kudy nejčastěji chodí, jed...