Problem z Hijackthis:(

04.11.05, 20:57
Mój problem to Trojan Agent :(( Weszłam tu by szukać pomocy. Poszperałam tu
trochę i tak : weszłam na stronkę z instrukcją skąd wziąć te loga, ściągnęłam
Hijackthis i ... no właśnie nie chce się otworzyć. Próbowałam to wykasować
też nie chce. Co mam zrobić??? Mam Windows XP od niedawna.
Na komputerach się mało znam, wiec proszę, co bym zrozumiała.
    • neder Re: Problem z Hijackthis:( 04.11.05, 21:50
      w jakim pliku masz tego trojana? próbowałas go usunąc ręcznie w awaryjnym? Log
      też spróbuj wygenerowac w awaryjnym.
      pzdr
      • Gość: daria Re: Problem z Hijackthis:( IP: *.pro-internet.pl 04.11.05, 22:16
        Tam jest zlokalizowany wirus : C/Windows/system32/rdriv.system

        Niepróbowaliśmy w Awaryjnym? Sory nie wiem jak.

        Udało mi się coś z tym hijackthis, nam w notatniku:

        Logfile of HijackThis v1.99.1
        Scan saved at 22:10:44, on 2005-11-04
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\explorer.exe
        C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
        C:\WINDOWS\System32\syshost32.exe
        C:\WINDOWS\System32\PopUpBlocker8.exe
        C:\WINDOWS\System32\iehelper.exe
        C:\WINDOWS\System32\slssystem.exe
        C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Documents and Settings\Rafał\Pulpit\hijackthis\hijackthis.com

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.wp.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        F2 - REG:system.ini: Shell=explorer.exe
        O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
        Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
        C:\Program Files\Norton AntiVirus\NavShExt.dll
        O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
        O4 - HKLM\..\Run: [RemoteControl] "C:\Program
        Files\CyberLink\PowerDVD\PDVDServ.exe"
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe
        O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
        O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe
        O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe


        Tylko proszę mi "łopatologicznie" wytłumaczyć co robić. Proszę.
        • Gość: m Re: Problem z Hijackthis:( IP: *.neoplus.adsl.tpnet.pl 04.11.05, 22:20
          tyle się męczyłaś i na marne:) bo log ucięło..wklej cały raz jeszcze
          • Gość: daria Re: Problem z Hijackthis:( IP: *.pro-internet.pl 04.11.05, 22:23
            Logfile of HijackThis v1.99.1
            Scan saved at 22:10:44, on 2005-11-04
            Platform: Windows XP (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\explorer.exe
            C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
            C:\WINDOWS\System32\syshost32.exe
            C:\WINDOWS\System32\PopUpBlocker8.exe
            C:\WINDOWS\System32\iehelper.exe
            C:\WINDOWS\System32\slssystem.exe
            C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\Internet Explorer\iexplore.exe
            C:\Documents and Settings\Rafał\Pulpit\hijackthis\hijackthis.com

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.wp.pl/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            F2 - REG:system.ini: Shell=explorer.exe
            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
            Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
            C:\Program Files\Norton AntiVirus\NavShExt.dll
            O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
            O4 - HKLM\..\Run: [RemoteControl] "C:\Program
            Files\CyberLink\PowerDVD\PDVDServ.exe"
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe
            O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
            O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe
            O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe
            O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy
            Sweeper\SpySweeper.exe" /startintray
            O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
            O4 - HKLM\..\RunServices: [Intec Service Drivers] syshost32.exe
            O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
            O4 - HKLM\..\RunServices: [msoft-updater23] slssystem.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
            O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            C:\WINDOWS\web\related.htm
            O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
            00aa003c157a} - C:\WINDOWS\web\related.htm
            O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
            update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130870953863
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
            O21 - SSODL: sysctl32 - {D5FB5E20-DE80-12CF-9C87-C0AB005187DF} -
            C:\WINDOWS\System32\sysctl32.dll
            O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\msmedia.exe
            O23 - Service: Usługa Autoochrony w programie Norton AntiVirus (navapsvc) -
            Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
            O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
            C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
            O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software,
            Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

            • Gość: Kolobos Re: Problem z Hijackthis:( IP: *.warszawa.sdi.tpnet.pl 04.11.05, 22:50
              Masz piracki windows bez aktualizacji wiec zmien przegladarke na Opere
              (znajdziesz na google) i nie uzywaj juz IE jezeli nie chcesz miec zaraz syfu.


              Prawoklik mysza na pasku start i menadzer zadan, zakoncz tam te procesy:
              C:\WINDOWS\System32\syshost32.exe
              C:\WINDOWS\System32\PopUpBlocker8.exe
              C:\WINDOWS\System32\iehelper.exe
              C:\WINDOWS\System32\slssystem.exe
              Pliki usun z dysku.

              W hijackthis usun:

              O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe <- usun plik
              O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe <- usun
              plik
              O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe <-
              usun plik
              O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe <- usun plik
              O4 - HKLM\..\RunServices: [Intec Service Drivers] syshost32.exe
              O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
              O4 - HKLM\..\RunServices: [msoft-updater23] slssystem.exe
              O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
              O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
              O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
              O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
              C:\WINDOWS\web\related.htm
              O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
              00aa003c157a} - C:\WINDOWS\web\related.htm
              O21 - SSODL: sysctl32 - {D5FB5E20-DE80-12CF-9C87-C0AB005187DF} -
              C:\WINDOWS\System32\sysctl32.dll <- usun plik
              Nastepnie:
              Start->Uruchom->services.msc
              odszukaj tam MicroSoft Media Tools wejdz we wlasciowsci tej uslugi, zatrzymaj
              ja i zmien tryb uruchomienia na wylaczony.
              O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\msmedia.exe <-
              usun plik.
              W hijackthis w misc tools wybierz delete nt service i wpisz tam MicroSoft Media
              Tools

              rdriv.sys usuniesz tym:
              www.idg.pl/ftp/pc_7644/Szczepionka.G.DATA.123.html

              Przeskanuj tez tym:
              download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
              oraz:
              download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
              przeskanowaniu odinstaluj.

              I zamknij porty tym (nacisnij przyciski tak zeby przy kazdymy byla zielona
              ikona..):
              www.firewallleaktester.com/tools/wwdc.exe
              Po wszystkim wklej nowy log.
        • neder Re: Problem z Hijackthis:( 04.11.05, 22:23
          zanim jednak wkleisz nowego loga, przeskanuj jeszcze antispyware i ewido (to
          potem odinstaluj). Linki znajdziesz na forum. Potem log po skanach tamtymi
          programami (nie zapomnij o aktualizacji przed skanem)
          • Gość: daria Re: Problem z Hijackthis:( IP: *.pro-internet.pl 04.11.05, 22:26
            :( Nic nie rozumiem. Boże jaki tuman ze mnie.
            • neder Re: Problem z Hijackthis:( 04.11.05, 22:31
              już nieważne ;) poczekaj aż ktoś sprawdzi Ci loga (ja się nie podejmuję ;P)
    • Gość: Daria Re: Problem z Hijackthis:( IP: *.pro-internet.pl 04.11.05, 23:08
      Więc tak: ściągnęłam antispyware i ewido, zaktualizowało samo "update",
      kliknęłam scan, zresetowałam kompa i logo wklejam:

      Logfile of HijackThis v1.99.1
      Scan saved at 22:10:44, on 2005-11-04
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\WINDOWS\System32\syshost32.exe
      C:\WINDOWS\System32\PopUpBlocker8.exe
      C:\WINDOWS\System32\iehelper.exe
      C:\WINDOWS\System32\slssystem.exe
      C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Rafał\Pulpit\hijackthis\hijackthis.com

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.wp.pl/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      F2 - REG:system.ini: Shell=explorer.exe
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
      Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program
      Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe
      O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
      O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe
      O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe
      O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy
      Sweeper\SpySweeper.exe" /startintray
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKLM\..\RunServices: [Intec Service Drivers] syshost32.exe
      O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
      O4 - HKLM\..\RunServices: [msoft-updater23] slssystem.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
      O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
      update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130870953863
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
      O21 - SSODL: sysctl32 - {D5FB5E20-DE80-12CF-9C87-C0AB005187DF} -
      C:\WINDOWS\System32\sysctl32.dll
      O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\msmedia.exe
      O23 - Service: Usługa Autoochrony w programie Norton AntiVirus (navapsvc) -
      Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software,
      Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

      Ewido odinstalowałam, ten drugi zostawiłam.
      • Gość: Kolobos Re: Problem z Hijackthis:( IP: *.warszawa.sdi.tpnet.pl 04.11.05, 23:11
        Czy mozesz przeczytac moj post w tym watku i sie zastosowac? Po co wklejasz ten
        log jak nic nie zrobilas?
      • Gość: daria Re: Problem z Hijackthis:( IP: *.pro-internet.pl 04.11.05, 23:12
        Kolobos dopiero teraz przeczytałam. Ale kicha się porobiła. Nie mam już dziś
        nerwów, jutro się tym zajmę.
Pełna wersja