Trojan-Dropper.agent

[pedrovec]

pozrel som, a nic nenaslo ( ked som mal vypnuty spyware doctor)

[motji]

Hledal jste ten klíč ručně v registrech?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\equi.exe

Je to equi.exe nebo egui.exe?

[pedrovec]

egui

[motji]

to je ale rozdíl, egui.exe je součást Nodu.

Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

- uložte ho na plochu a spustte.
- do okénka zkopírujte

Kód: Vybrat vše

:filefind
egui.exe

:regfind
egui.exe

- klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem

[pedrovec]

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 22:45 on 24/03/2010 by Administrator (Administrator - Elevation successful)

========== filefind ==========

Searching for "egui.exe"
C:\Program Files\ESET\ESET Smart Security\egui.exe --a--- 2140880 bytes [05:40 26/02/2010] [05:40 26/02/2010] A5498BCC82C65CAEE771404227C23B52
C:\Windows\Installer\{E78ABE2A-F41C-4D64-AE62-257D2D0A6A6C}\egui.exe -ra--- 97360 bytes [15:45 18/03/2010] [15:45 18/03/2010] 9F109A3B418B944DDF85F34088D974B9

========== regfind ==========

Searching for "egui.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DA319D81F0230CB4FBCAD6A799D46382]
"A2EBA87EC14F46D4EA2652D7D2A0A6C6"="02:\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ED2DA3984727C554A9C8B484D7EADCB0]
"A2EBA87EC14F46D4EA2652D7D2A0A6C6"="C:\Program Files\ESET\ESET Smart Security\egui.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]

-=End Of File=-

[motji]

Najděte v regeditu tento klíč,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
Pak klikněte nahoře na soubor - exportovat, a soubor někam uložte. Zabalte ho do raru a přiložte sem jako přílohu

[TorchManTM]

Dobrý den,

doufám, že nebude vadit, když vám tu takhle vložím jeden post, ale domnívám se že kolegovi jeho anti-spyware program hlásí podobnou ne-li úplně stejnou věc jako mě.

Podle Spyware Terminatora už je vlastní trojan pryč, ale zůstávají po něm v registru uložené klíče na jeho komponenty. Já jsem se podíval do svého registru ( přesná cesta je Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Image File Execution Options na systému Windows 7 x64 ) a zde jsou dvě složky pojmenované egui.exe a ekrn.exe. Obje složky jsou prázdné, nemají v sobě uložené žádné klíče, tedy až na položku (Default) REG_SZ (value not set). Bohužel nejdou ručně odstranit a v tom je ten problém.....

[motji]

Dobrý den
Kolega už nereaguje .

Zkoušel jste převzít práva nad klíčem a potom ho vymazat?

Jnak ty dvě služby mají stejný název jako služby od Nodu

[TorchManTM]

Ano, mají stejný název jako služby nodu Jak jsem říkal, vymazat nejdou a bohužel i převzetí práv vlastnictví (ownership) je odpíráno.... zde by snad pomohlo jen nabootovat do jiného OS (nejlépe Linux) a pomocí editovacího programu zeditovat registr windows... jinak už mě moc možností, jak to obejít nenapadá...

[motji]

Jen takový nápad , používáte Nod? Co Nod odinstalovat, a podívat se, zda tam ty klíče stále jsou? (předtím vyčistit registry CCleanerem).
Jinak ty klíče podle mě špatné nejsou

[TorchManTM]

Zdravíčko,

včera už jsem se sem nedostal a tak píšu až dnes.... Tak jsem dal na vaši radu a zkusil Nod32 odinstalovat, ikdyž jsem moc nevěřil, že to pomůže.... Takže jsem ještě včera udělal hloubkový detailní test celého PC Nodem a dneska ráno jsem ho odinstaloval. Vyčistil jsem registry CCleanerem a vioaláá, ony dvě "trojanovské" složky v registru opravdu nebyly. Ještě jsem tedy udělal test Spyware Terminatorem a ten také nic nenašel. Takže šup s NODem nazpět a S.Terminator se zase plaší . Takže teď aspoň mám jistotu, že to jsou opravdu části NODu, ale jenom mi vrtá hlavou, že když uživatel používá NOD, tak proč tedy některý malware vytváří přesně tyhle dvě složky v registru, když tam už jsou od antiviru.... Leda by tam ještě doplnili nějaké vastní klíče, aby nějak změnily chod částí AV.

Každopádně děkuji mockráte za radu. Já bych se v duchu své tvrdohlavosti začal přehrabovat v registru a nakonec mnohem rychlejší a bezpečnější variantu bych hned zavrhnul .

Tady je ještě obrázek po odinstalaci NODu...


Takže ještě jednou děkuju moc .

[motji]

Mně připadne, že ty dva klíče netvoří malware, ale sám ESET . Já bych ty klíče neřešila, podle mě jsou v pořádku. Kdyby za to mohlo malware, tak v hodnotě by byl nějaký škodlivý soubor, a ten tam není.

Není zač