log z HijackThis...???

[Gość: nie-pokonany]

no dzieki za rady..jakos dalem rade ;) i jest coraz lepiej..jednak moze cos
jeszcze by sie przydalo wywalic za pomoca HijackThis??? oto co mi wyswietlilo:
Logfile of HijackThis v1.98.0
Scan saved at 19:19:28, on 2004/07/31
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\REAL\AVKWCTL9.EXE
C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAM FILES\CLOCKSYNC\SYNC.EXE
C:\PROGRAM FILES\GADU-GADU\GG.EXE
C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE
C:\PROGRAM FILES\SONY\GIGA POCKET\RESERVEMODULE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\SONY\GIGA POCKET\USBSIRCS.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\CASIO\PHOTO LOADER\PLAUTO.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAM FILES\REAL\DIVX\HIJACKTHIS\HIJACKTHIS.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Zero Popup - {EB23F789-F17F-4bcc-988B-6B70A3A67E9C} - C:\PROGRA~1
\ZEROPO~1\ZERO-P~1.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony
Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RegShave] C:\Program Files\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe
C:\WINDOWS\SYSTEM\CRAZYTALK.DLL,DllServeMediaFile
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\REAL\AVKWCTL9.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1
\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
O4 - Startup: VAIO Action Setup (サーバー).lnk
O4 - Startup: 予約マネージャー.lnk = C:\Program Files\sony\Giga
Pocket\ReserveModule.exe
O4 - Startup: Giga Pocket 初期化.lnk = C:\Program Files\sony\Giga
Pocket\initovl.exe
O4 - Startup: Giga Pocket リモコンドライバ.lnk = C:\Program Files\sony\Giga
Pocket\usbsircs.exe
O4 - Startup: EPSON監視アイコン.lnk = C:\EPW2\STMS.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: Photo Loader supervisory.lnk = C:\Program Files\CASIO\Photo
Loader\Plauto.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) -
a840.g.akamai.net/7/840/537/2003073101/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) - messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {1CC506A7-1B8D-11D4-BDD5-0060977007E0} (CrazyTalk Player) -
plug-in.reallusion.com/CrazyTalk.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} -
C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} -
C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} -
C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} -
C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} -
C:\WINDOWS\SYSTEM\AUHOOK.DLL

moze masz jeszcze jakies pomysly drogi p. kalinowski11??? pozdrawiam i z gory
dziekuje..

[kalinowski11]

I znowu ten komputer z azjatyckimi wirusami :)

Pozwoliłem sobie skopiować fragment poniższej strony :

www.searchengines.pl/phpbb203/index.php?showtopic=15989

O18 - Extra protokoły i protokoły zmienione przez szpiegów

"Miejsce" w systemie:

Jest to tworzenie nowego protokołu, który jest interpretowany przez IE jako
początek adresu strony. Protokołami prawidłowymi są:



ftp://
gopher://
irc://
file:///
Dane o protokołach są zlokalizowane w rejestrze w następujących kluczach:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID


"Wygląd" w logu:

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}

Wpisy szpiegowskie:

HuntBar:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

CommonName:
O18 - Protocol: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} - C:\PROGRA~1
\COMMON~2\Toolbar\cnbabe.dll
O18 - Protocol: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} - C:\PROGRAM
FILES\COMMONNAME\TOOLBAR\CNBABE.DLL

Lop.com:
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F}
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} -
C:\WINDOWS\APPLICATION DATA\RGOAHPRCRPRBR.DLL
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} -
C:\WINDOWS\APPLICATION DATA\WPRFTLLILLQ.DLL

LinkReplacer:
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Trojan CWS.Xmlmimefilter :
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}


Wpisy ???????

O18 - Protocol: BPC - {3A1096B3-9BFA-11D1-AE77-00C04FBBDEBC}
O18 - Protocol hijack: lid - {3A1096B3-9BFA-11D1-AE77-00C04FBBDEBC}
O18 - Protocol: tve-trigger - {CBD30859-AF45-11d2-B6D6-00C04FBBDE6E}
O18 - Protocol: junomsg - {C4D10830-379D-11d4-9B2D-00C04F1579A5}

O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} -
C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
C:\WINDOWS\System32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} -
C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
C:\WINDOWS\System32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
C:\WINDOWS\System32\itss.dll
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} -
C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} -
C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} -
C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} -
C:\WINDOWS\System32\wiascr.dll



Szpiedzy jednak nie popuszczają i albo szkodliwie modyfikują właściwy protokół
(np. ) albo tworzą swój własny (np. cn://). Np. ów szpiegowski Lop
powoduje, że IE ładuje strony za pomocą ayb://adresik zamiast adresik.
Tu pokazuje się bardzo niewielu szpiegów (wyliczeni powyżej). I zawsze te wpisy
naprawiamy. Jeśli pokaże się tu coś innego niż wyszczególnieni wyżej zabójcy to
prawdopodobnie to też aktywność szkodliwa i szpiegowska. Jeśli zaobserwujecie
zmianę numeru jednego numeru CLSID na inny to też naprawiacie via HijackThis.
Zastanawiają mnie wpisy, które w logu oznaczyłam jako ???????. Wszystkie od
about do wia mają prawidłowe CLSID zgodne z tym co mam w rejestrze......... i w
teorii nie powinny się pokazać w logu!

Powiem szczerze , że się "zamieszałem" :) , ale gdybym znalazł to u siebie
próbował bym wywalić to :

> O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} -
> C:\WINDOWS\SYSTEM\WIASCR.DLL
> O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
> O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
> O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} -
> C:\WINDOWS\SYSTEM\urlmon.dll
> O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} -
> C:\WINDOWS\SYSTEM\urlmon.dll
> O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
> O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
> O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} -
> C:\WINDOWS\SYSTEM\urlmon.dll
> O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} -
> C:\WINDOWS\SYSTEM\urlmon.dll
> O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
> C:\WINDOWS\SYSTEM\MSHTML.DLL
> O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
> C:\WINDOWS\SYSTEM\MSHTML.DLL
> O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} -
> C:\WINDOWS\SYSTEM\MSHTML.DLL
> O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
> O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} -
> C:\WINDOWS\SYSTEM\MSHTML.DLL
> O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} -
> C:\WINDOWS\SYSTEM\MSHTML.DLL
> O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
> O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
> C:\WINDOWS\SYSTEM\ITSS.DLL
> O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} -
> C:\WINDOWS\SYSTEM\INETCOMM.DLL
> O18 - Protocol: msdaipp - (no CLSID) - (no file)
> O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} -
> C:\WINDOWS\SYSTEM\MSDXM.OCX
> O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} -
> C:\WINDOWS\SYSTEM\AUHOOK.DLL

W razie czego będziesz mógł wszystko przywrócić .

Pozdrawiam .

[Gość: nie-pokonany]

Drogi p.kalinowski11 :) otoz nie wiem co jest grane bo jak teraz zrobilem
hijackiem scana to nie bylo juz tych wsztystkich O18..wiec nie mam co
kasowac..;) pojawilo sie tylko AUhook ale nie wiem co to jest i czego to w
ogole dotyczy wiec sie troche boje..a azjatyckie wirusy sa..bo..heh komputer
jest w Azji ;)
pozdrawiam i dzieki za wszystkie rady :)