Problem z Hijackthis:(

[daria.1]

Mój problem to Trojan Agent :(( Weszłam tu by szukać pomocy. Poszperałam tu
trochę i tak : weszłam na stronkę z instrukcją skąd wziąć te loga, ściągnęłam
Hijackthis i ... no właśnie nie chce się otworzyć. Próbowałam to wykasować
też nie chce. Co mam zrobić??? Mam Windows XP od niedawna.
Na komputerach się mało znam, wiec proszę, co bym zrozumiała.

[neder]

w jakim pliku masz tego trojana? próbowałas go usunąc ręcznie w awaryjnym? Log
też spróbuj wygenerowac w awaryjnym.
pzdr

[Gość: daria]

Tam jest zlokalizowany wirus : C/Windows/system32/rdriv.system

Niepróbowaliśmy w Awaryjnym? Sory nie wiem jak.

Udało mi się coś z tym hijackthis, nam w notatniku:

Logfile of HijackThis v1.99.1
Scan saved at 22:10:44, on 2005-11-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\syshost32.exe
C:\WINDOWS\System32\PopUpBlocker8.exe
C:\WINDOWS\System32\iehelper.exe
C:\WINDOWS\System32\slssystem.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rafał\Pulpit\hijackthis\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe
O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe


Tylko proszę mi "łopatologicznie" wytłumaczyć co robić. Proszę.

[Gość: m]

tyle się męczyłaś i na marne:) bo log ucięło..wklej cały raz jeszcze

[Gość: daria]

Logfile of HijackThis v1.99.1
Scan saved at 22:10:44, on 2005-11-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\syshost32.exe
C:\WINDOWS\System32\PopUpBlocker8.exe
C:\WINDOWS\System32\iehelper.exe
C:\WINDOWS\System32\slssystem.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rafał\Pulpit\hijackthis\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe
O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy
Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Intec Service Drivers] syshost32.exe
O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\RunServices: [msoft-updater23] slssystem.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130870953863
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: sysctl32 - {D5FB5E20-DE80-12CF-9C87-C0AB005187DF} -
C:\WINDOWS\System32\sysctl32.dll
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\msmedia.exe
O23 - Service: Usługa Autoochrony w programie Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software,
Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

[Gość: Kolobos]

Masz piracki windows bez aktualizacji wiec zmien przegladarke na Opere
(znajdziesz na google) i nie uzywaj juz IE jezeli nie chcesz miec zaraz syfu.


Prawoklik mysza na pasku start i menadzer zadan, zakoncz tam te procesy:
C:\WINDOWS\System32\syshost32.exe
C:\WINDOWS\System32\PopUpBlocker8.exe
C:\WINDOWS\System32\iehelper.exe
C:\WINDOWS\System32\slssystem.exe
Pliki usun z dysku.

W hijackthis usun:

O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe <- usun plik
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe <- usun
plik
O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe <-
usun plik
O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe <- usun plik
O4 - HKLM\..\RunServices: [Intec Service Drivers] syshost32.exe
O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\RunServices: [msoft-updater23] slssystem.exe
O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O21 - SSODL: sysctl32 - {D5FB5E20-DE80-12CF-9C87-C0AB005187DF} -
C:\WINDOWS\System32\sysctl32.dll <- usun plik
Nastepnie:
Start->Uruchom->services.msc
odszukaj tam MicroSoft Media Tools wejdz we wlasciowsci tej uslugi, zatrzymaj
ja i zmien tryb uruchomienia na wylaczony.
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\msmedia.exe <-
usun plik.
W hijackthis w misc tools wybierz delete nt service i wpisz tam MicroSoft Media
Tools

rdriv.sys usuniesz tym:
www.idg.pl/ftp/pc_7644/Szczepionka.G.DATA.123.html

Przeskanuj tez tym:
download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
oraz:
download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
przeskanowaniu odinstaluj.

I zamknij porty tym (nacisnij przyciski tak zeby przy kazdymy byla zielona
ikona..):
www.firewallleaktester.com/tools/wwdc.exe
Po wszystkim wklej nowy log.

[neder]

zanim jednak wkleisz nowego loga, przeskanuj jeszcze antispyware i ewido (to
potem odinstaluj). Linki znajdziesz na forum. Potem log po skanach tamtymi
programami (nie zapomnij o aktualizacji przed skanem)

[Gość: daria]

:( Nic nie rozumiem. Boże jaki tuman ze mnie.

[neder]

już nieważne ;) poczekaj aż ktoś sprawdzi Ci loga (ja się nie podejmuję ;P)

[Gość: Daria]

Więc tak: ściągnęłam antispyware i ewido, zaktualizowało samo "update",
kliknęłam scan, zresetowałam kompa i logo wklejam:

Logfile of HijackThis v1.99.1
Scan saved at 22:10:44, on 2005-11-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\syshost32.exe
C:\WINDOWS\System32\PopUpBlocker8.exe
C:\WINDOWS\System32\iehelper.exe
C:\WINDOWS\System32\slssystem.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rafał\Pulpit\hijackthis\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\iehelper.exe
O4 - HKLM\..\Run: [msoft-updater23] slssystem.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy
Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Intec Service Drivers] syshost32.exe
O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\RunServices: [msoft-updater23] slssystem.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130870953863
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: sysctl32 - {D5FB5E20-DE80-12CF-9C87-C0AB005187DF} -
C:\WINDOWS\System32\sysctl32.dll
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\msmedia.exe
O23 - Service: Usługa Autoochrony w programie Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software,
Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Ewido odinstalowałam, ten drugi zostawiłam.

[Gość: Kolobos]

Czy mozesz przeczytac moj post w tym watku i sie zastosowac? Po co wklejasz ten
log jak nic nie zrobilas?

[Gość: daria]

Kolobos dopiero teraz przeczytałam. Ale kicha się porobiła. Nie mam już dziś
nerwów, jutro się tym zajmę.