win32:trojan-gen. {other}

**Posty:** 34 · przez **KarKan** 17 Paź 2005, 21:15

Czesc
Moj Avast wykryl wirusa który siedzie w C:\WINDOWS\system32\rdriv.sys o nazwie Win32:Trojan-gen. {Other}!!! Nie mzoe go sam wyrzucic. Szukam wszedzie oinformacji jak mozna go usunac i wszedzie pisza ze trzeba przeskanowac programem HijackThis ale on w ogle mi sie nie wlacza. Cisza w eterze!!! Uruchamim i nic cisza. Tak samo jest ze nie moge wejsc w regedit i menadzera zadan!!! Uruchamiam i nic w ogole nic.
Prosze mzoe ktos wie jak pomoc?

przez **jeff** 17 Paź 2005, 21:19

Tu masz napisane jak zrobić loga i umieścić na forum (pamiętaj o tagach Code lub Quote)

http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

a stąd pobierasz HijackThis

Klik

**Posty:** 8694 · przez **Red** 17 Paź 2005, 21:19

na poczatku prosze wykonac to :
Ściągaj na dysk narzędzie :
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
Wyłącz Przywracanie systemu i zastartuj do trybu awaryjnego. Uruchom UnHook poprzez prawy klik > Instaluj > powinny sie odblokowac exeki i sprawdz czy da sie wygenerowc log

**Posty:** 34 · przez **KarKan** 18 Paź 2005, 18:19

j_sn napisał(a):Tu masz napisane jak zrobić loga i umieścić na forum (pamiętaj o tagach Code lub Quote)

http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

a stąd pobierasz HijackThis

Klik

Jak to zrobic to ja wiem bo robilem to juz nascie razy tylko tak jak napisalem program w ogole mi sie nie wlancza tak samo jak menadzer zadan i regedit uruchamiam i poprostu nic. Dusisz CTRL+ALT+DEL a tu sero odzewu

Moze to banalne pytanie jak uruchomic w trybie awaryjnym?!

Nugdy mi to nie bylo potrzebne wuec pytam....

**Posty:** 1734 · przez **High Voltage** 18 Paź 2005, 18:41

Moze to banalne pytanie jak uruchomic w trybie awaryjnym?!
Nugdy mi to nie bylo potrzebne wuec pytam....

U mnie sie naciska F8 od razu po włączeniu kompa i tam Ci wyskoczy kilka opcji jak możesz go uruchomić.

przez **Tom@szek** 18 Paź 2005, 18:42

KarKan napisał(a):Moze to banalne pytanie jak uruchomic w trybie awaryjnym?

Po restarcie wciskaj od razu F 8 podczas ładowania systemu.

przez **jeff** 18 Paź 2005, 19:11

KarKan napisał(a):Jak to zrobic to ja wiem bo robilem to juz nascie razy tylko tak jak napisalem program w ogole mi sie nie wlancza tak samo jak menadzer zadan i regedit uruchamiam i poprostu nic. Dusisz CTRL+ALT+DEL a tu sero odzewu

jeżeli masz poblokowane pliki exe to wersja HJT z rozszerzeniem com powinna ruszyć. Poza tym zrób tak jak napisał Red

**Posty:** 34 · przez **KarKan** 18 Paź 2005, 21:04

Ok z rozszerzeniem .com poszedl , oto log:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.97.7 Scan saved at 21:02:54, on 2005-10-18 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\intec32.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\blaster.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Kaniewski\Pulpit\HijackThis.com.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Intec Drivers32] intec32.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunServices: [Intec Drivers32] intec32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Intec Drivers32] intec32.exe O4 - HKCU\..\RunServices: [Intec Drivers32] intec32.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128358403318 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Jednak dlaje nie chodzi menadzer zadan

Jak dusze F8 przy zalanczaniu sytsemu pokazuje mi sie okienko skad ma urchomic system czy HDD podany seryjny numer czy cd rom czy dyskietka

**Posty:** 8694 · przez **Red** 18 Paź 2005, 21:15

na samym poczatku masz zrobic to co napisalem powyzej,odblokuje exeki (koniecznie) czyli :
masz zrobic tak:
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
prawoklikiem myszki na adres powyzszy>>>zapisz element docelowy jako>>>wybierasz pulpit >>>zapisuje sie na pulpicie.Nastepnie>>Wyłącz Przywracanie systemu i zastartuj do trybu awaryjnego. Uruchom UnHook poprzez prawy klik >>> Instaluj >>> nic się nie pokaże ale ta akcja odblokuje exeki

sprawdz

KarKan napisał(a):Jednak dlaje nie chodzi menadzer zadan

otwierasz notatnik i wklejasz w nim :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

nastepnie Zapisz go z rozszerzeniem *.reg i scalając z rejestrem(scal)
menedzer odblokuje sie

zrob to koniecznie przed usuwaniem czegokolwiek z loga

ps
a log nie jest cały :wink:

**Posty:** 34 · przez **KarKan** 18 Paź 2005, 21:33

Robie save log i pokazuje mi sie w notatniku list i ja tu wklejam cala:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.97.7 Scan saved at 21:30:06, on 2005-10-18 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\intec32.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Winamp\winamp.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Kaniewski\Pulpit\hijackthis\HijackThis.com.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Intec Drivers32] intec32.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunServices: [Intec Drivers32] intec32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Intec Drivers32] intec32.exe O4 - HKCU\..\RunServices: [Intec Drivers32] intec32.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128358403318 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Zapisalem tak jak mowiles to cos w notatniku lecz jest podobnie jak z menaderzem zadan...kiedy robie scal pokazuje mi sie na setna sekundy okienko i nie zdarze nic nadusi i znika.

ehmmm ja wysiadam

**Posty:** 8694 · przez **Red** 18 Paź 2005, 21:36

KarKan napisał(a):Zapisalem tak jak mowiles to cos w notatniku lecz jest podobnie jak z menaderzem zadan...kiedy robie scal pokazuje mi sie na setna sekundy okienko i nie zdarze nic nadusi i znika. Sad ehmmm ja wysiadam

przeczytaj raz jeszcze to co powyzej napisalem i nie masz z niczym zdarzyc ,bo to jest fix i sam ci sie ładuje do regedit ty masz nic nie robic tylko odpalic to co ci podalem powyzej

ps
a poza tym ten log jest z bardzo starej wersji hijack this ,teraz obowiazuje wersja:
http://www.merijn.org/files/hijackthis.zip

**Posty:** 34 · przez **KarKan** 18 Paź 2005, 21:45

Red napisał(a):przeczytaj raz jeszcze to co powyzej napisalem i nie masz z niczym zdarzyc ,bo to jest fix i sam ci sie ładuje do regedit ty masz nic nie robic tylko odpalic to co ci podalem powyzej

Ja Cie doskonale rozumiem ... ale przed kazdorazowym dodaniem wpisu do rejestru pyta o zgode tak? I wlasni teraz tez to czyni... a ja nie zdarze nadusic ze sie zgadzam bo okienko znika.

**Posty:** 8694 · przez **Red** 18 Paź 2005, 21:51

w takim razie zacznij od tego:

na samym poczatku masz zrobic to co napisalem powyzej,odblokuje exeki (koniecznie) czyli :
masz zrobic tak:
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
prawoklikiem myszki na adres powyzszy>>>zapisz element docelowy jako>>>wybierasz pulpit >>>zapisuje sie na pulpicie.Nastepnie>>Wyłącz Przywracanie systemu i zastartuj do trybu awaryjnego. Uruchom UnHook poprzez prawy klik >>> Instaluj >>> nic się nie pokaże ale ta akcja odblokuje exeki

jesli sie nie odblokuje menedzer zadan to zrobisz wtedy to:
otwierasz notatnik i wklejasz w nim :
Cytat:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

nastepnie Zapisz go z rozszerzeniem *.reg i scalając z rejestrem(scal)
menedzer odblokuje sie

**Posty:** 34 · przez **KarKan** 18 Paź 2005, 22:04

Pisalem juz ze dwa te sposoby nic nie daja.
Chyba dalej sie nie rozumiemy.
Pierwszy nic nie daje.
A w drugi nie zdarze nadusic zgody na scalenie.

**Posty:** 8694 · przez **Red** 18 Paź 2005, 22:15

hm ,szkoda bo innym to działa ,ale sprobuj jeszcze to:
kliknij na link prawoklikiem myszy:
http://www.kellys-korner-xp.com/regs_edits/exefix.reg
i zapisz element docelowy jako..., prawym na ściągnięty plik i Scal, potwierdzić decyzję

a co do tego:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

to moze zapisujesz ze zlymi rozszerzeniami???
ma to wygladac dokladnie tak:
Plik - Zapisz jako..., zapisz jako typ: wszystkie pliki, nazwa koniecznie z rozszerzeniem REG np. Fix.reg

**Posty:** 34 · przez **KarKan** 18 Paź 2005, 22:29

Ten pliczek nic nie daje problem powraca.
Zapisuje dobrze

rece opadaja.

win32:trojan-gen. {other}

Win32:Trojan-gen. {Other}

Kto jest na forum