Trojan - poradna.net

WinXP, home, SP3

Dobrý den,
při kontrole PC SUPERAntiSpywarem se mi objevila tato hláška:
Trojan.Agent/Gen-[NAME] [1 items] ... C:\WINDOWS\SYSTEM32\DLLCACHE\WINHELP.EXE

Přesunula jsem to do karantény a z ní pak následně odstanila. To jsem však netušila, že to nebude tak jednoduché. Při další kontrole se hláška objevila znovu. Tak jsem trochu zagooglila a zjistila jsem, že asi nebudu první, co objevil Ameriku. Vypadlo mi pár odkazů, ale kámen úrazu je v tom, že jsou v angličtině (má angličtina - yes, no - na to nestačí ).
Toto se odehrává všechno pod neprivilegovaným účtem. Když pustím tu samou kontrolu pod účtem správce nebo v nouzovém režimu pod administrátorem, tak mi to píše, že žádný škodlivý software nebyl nalezen.

Mohl by mi někdo, prosím, poradit nějaký jednoduchý způsob odstranění? Tou jednoduchostí myslím to, abych to pochopila. Eventuelně mi dát za pravdu v mém laickém názoru, zda když odstraním neprivilegovaný účet, že se s ním smaže i ten trojan? To bych však nechala jako krajní řešení, neboť jsem měla určité problémy s jeho tvorbou a kmochna mi při jejich odstraňování vyžral celou ledničku. Takže bych to nerada podstupovala znovu.

Děkuji
antitalent přes cokoli

Předmět	Autor	Datum
Zkus soubor otestovat zde: cs host 17.12.2009 16:47	host	17.12.2009 16:47
A jak mám ten soubor najít? Dala jsem procházet-místní disk(C:)-Windows-system32-no a pak to "dllcac… antitalent přes PC 17.12.2009 17:22	antitalent přes PC	17.12.2009 17:22
Ta složka je skrytá a systémová (Google). karel 17.12.2009 17:26	karel	17.12.2009 17:26
Tak jsem si zaškrla prohledat systémové složky a prohledat skryté soubory a složky. Dala jsem hledat… antitalent přes PC 17.12.2009 17:47	antitalent přes PC	17.12.2009 17:47
Jo, ale v nouzovým režimu Windows, aby se ten parchant nespustil. Prasak 17.12.2009 17:48	Prasak	17.12.2009 17:48
No ale v nouzovém režimu SUPERAntiSpyware nehlásí žádný soubor jako špatný. To nevadí, bude tam? Ed… antitalent přes PC 17.12.2009 18:00	antitalent přes PC	17.12.2009 18:00
zajímavé je že ten křáp v dllcache je jakási 16bit verze z win3.1, který nemá ekvivalent v C:\WINDOW… lední brtník 17.12.2009 18:05	lední brtník	17.12.2009 18:05
Jiné PC nemám a nahrazovat souborky :-) neumím. Ono to asi nic závažného nebude (to jsem odborník, c… antitalent přes PC 17.12.2009 22:20	antitalent přes PC	17.12.2009 22:20
1. Stáhni Starter 2. Spusť jej a povypínej vše, co půjde (mělo by jít jen to, co je v tvém profilu,… touchwood 17.12.2009 22:32	touchwood	17.12.2009 22:32
1. provedeno 2. povypínáno, co šlo ... v záložce "startups" jednotlivé položky, jestli jsem to pocho… antitalent přes PC 20.12.2009 19:22	antitalent přes PC	20.12.2009 19:22
Pokud máš spuštěnou ochranu systému (antitalenti ji mají puštěnou), tak ten program lže. V dllcache… poslední kmochna 20.12.2009 19:37	kmochna	20.12.2009 19:37

Zkus soubor otestovat zde: cs

A jak mám ten soubor najít? Dala jsem procházet-místní disk(C:)-Windows-system32-no a pak to "dllcache" tam už není.

Ta složka je skrytá a systémová (Google).

Tak jsem si zaškrla prohledat systémové složky a prohledat skryté soubory a složky.
Dala jsem hledat ten soubor a napsalo mi to: C:\WINDOWS\system32\dllcache není přísputný. Přístup byl odepřen.
Nemusím ho hledat pod účtem správce?

Jo, ale v nouzovým režimu Windows, aby se ten parchant nespustil.

No ale v nouzovém režimu SUPERAntiSpyware nehlásí žádný soubor jako špatný. To nevadí, bude tam?

Edit: A to mám dát "stav nouze s prací v síti", abych ho pak mohla vložit do toho hostova testu?

zajímavé je že ten křáp v dllcache je jakási 16bit verze z win3.1, který nemá ekvivalent v C:\WINDOWS\system32 - tam je winhlp32.exe
jeden by řekl že je prakticky k ničemu.

zkusit sehnat správný souborek z jiného pc, a nahradit ten divný v dllcache (pod admošským účtem, v normálním správci souborů kde vidíš skryté adresáře i příponu souboru)

Jiné PC nemám a nahrazovat souborky neumím. Ono to asi nic závažného nebude (to jsem odborník, co?). Nepozoruji, že by se PC chovalo nějak jinak. Např. že by se zpomalil chod apod.

1. Stáhni Starter
2. Spusť jej a povypínej vše, co půjde (mělo by jít jen to, co je v tvém profilu, protože nejsi správce)
3. restartuj PC
4. zkontroluj znova Starter, zda něco nepřibylo (tzn. že tzv. Dropper -kus programu, který stále stahuje a spouští toho Trojana- se po "vyhození" znova zapsal do sekvence)
5. pokud je dropper stále aktivní, stáhni unlocker, "neposlušný" dropper unlockni a přejmenuj, násl. restart

Tohle je takový "nákolenní" postup, jde to udělat rychleji, ale bojím se, že to bych asi nevysvětlil.

1. provedeno
2. povypínáno, co šlo ... v záložce "startups" jednotlivé položky, jestli jsem to pochopila. Pak jsou tam ještě záložky "procesy" a "services" s těmi jsem nic nedělala.
3. restartováno
4. zkontrolována záložka "startups" - nic nepřibylo ani se znovu nezaplo

Kontrola SUPERAntiSpywarem - trojan přítomen.

Pokud máš spuštěnou ochranu systému (antitalenti ji mají puštěnou), tak ten program lže. V dllcache jsou pouze ověřené soubory.

Pokud se to stalo antitalentovi, který používá omezený účet, tak i možnost, že to je škodná, je mizivá. Do dllcache přistupuje pouze systém a administrátor.

Antitalent pod omezeným účtem si ohlídá svůj profil, fotečky, videa a muziku. Tak si to nastaví i v programu, co lže.

Antitalent se jednou za týden změní v administrátora a spustí program co lže pod svým privilegovaným účtem.

Pokud antitalent nedůvěřuje standardnímu režimu, spustí systém v režimu nouze.

Antitalent si zběžně kontroluje co je spuštěné a co se spouští při startu (autoruns, process explorer), z dllcache se nic nemá spouštět.
----
V češtině - co je to dllcache, ochrana souborů- cs
A pochopitelně běžná otázka - co máš v ledničce?

EDIT//hint: po kafču se přešourej na admin účet, popř. spustit cmd jako správce a přečti si toto:

Pokud se složka mezipaměti poškodí nebo se stane nepoužitelnou, můžete na příkazovém řádku zadat příkaz sfc /scanonce nebo sfc /scanboot, čímž obsah této složky opravíte.

Zpět do poradny Odpovědět na původní otázku Nahoru