Počítačová bezpečnost - jak na ... trojského koně Agent-KDC

trojanhorse_small.jpg, 4 kB

Úvod

Tento článek je návodem, jak zlikvidovat trojského koně, který se ukrývá pod názvem Win32:Agent-KDC (tak jej hlásí např. Avast).
Právě protože Avast! si s ním nedovedl poradit, musel jsem jej odstranit ručně a o tom je následující text (zkoušeno ve Windows XP SP1).

Popis problému a projevy trojana

Zmíněný Avast hlásí vir Win32:Agent-KDC v souboru C:\Windows\System32\Deflib.sys. Tváří se jako že jej odstraní, nicméně později hlásí, že to nešlo, objevují se chybové hlášky apod. Fígl je v tom, že toto je jen jedna část fikaného trojana. Je třeba odstranit všechny části ručně, protože se navzájem kontrolují.

Odstranění - přípravná fáze

Poznámka: První 3 kroky se hodí ostatně provést při odstraňování každé větší havěti.
1) Odpojte (pro jistotu) internet.
2) Vypněte funcionalitu Obnovení systému (návod, nevíte-li jak).
3) Vymažte dočasné soubory internetu, zejména v Internet Exploreru (návod, nevíte-li jak).
4) Konkrétně u tohoto trojana se doporučuje zastavit službu Internet Connection Firewall/Internet Connection Sharing neboli ICF/ICS, česky Brána firewall pro připojení k Internetu (Součást ICF) / Sdílení připojení k Internetu (součást ICS). Nejsem si jistý proč a netestoval jsem, zda jde trojan zlikvidovat i bez tohoto kroku. Vypnout službu můžete pomocí příkazu "net stop SharedAccess" na příkazové řádce.
Pokud jste po bodu 2 neudělali Restart, udělejte jej teď.

Odstranění - hlavní fáze

1) Stáhnětě si utilitku HijackThis a spusťte. Z voleb dejte Scan.
2) Ve výpisu najděte položku, kde se objevuje soubor Winlogon.exe a zaškrtněte příslušný boxík. Pokud objevíte záznam se souborem deflib.sys, zaškrtněte také. (Pokud se v počítačích a Windows vyznáte více, zašrtněte i další podezřelé nebo zbytečné položky, ale pozor, tady můžete napáchat škodu a po restartu nemusíte vše spustit). Dejte Fix.
3) Najděte soubor Winlogon.exe, který je umístěný v profilu uživatele (Documents and Settings) a smažte jej. (Pozor! Nemažte tento soubor umístěný v C:\Windows\System32 - jde o systémový soubor Windows a tam být má).
4) Najděte soubor C:\Windows\System32\Deflib.sys a smažte jej.
5) Vysypejte koš.
6) Restartujte Windows.
7) Pusťte svůj oblíbený antivir a proveďte plnou kontrolu disku.
Trojan by měl být zlikvidován.

Závěr - nezapomenout

1) Zapněte funcionalitu Obnovení systému (návod, nevíte-li jak).
2) Zapněte službu ICF/ICS, pokud jste ji vypli (např. pomocí "net start SharedAccess" na příkazové řádce).
3) Zapněte internet.

Disclaimer: Uvedená metoda vychází z mé zkušenosti a nemusí být úplná (v tom případě se rád nechám poučit, kontaktujte mě). Veškeré operace děláte na vlastní nebezpečí!

Pro více informací o tématice bezpečnosti nebo profesionálních službách se obracejte na můj email.
Poslední změna v této rubrice (last change): 07.11.2007 (Created by Harry 11/2007)
[ Nahoru - Počítačová bezpečnost na Harryho.info - HomePage ]