hijack - kto sprawdzi ten log?

IP: *.prox.pl / 213.25.15.* 30.10.04, 14:10
od jakiegoś czasu tak muli mi komp, że nawet poczty nie mogę odebrać
skanowanie avastem, ad-awarem SE, spywareblaster-em i defragmentacja zrobiona
i dalej to samo

Logfile of HijackThis v1.98.0
Scan saved at 14:08:10, on 04-10-30
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4SS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4GUI.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAM FILES\ICQLITE\X_ICQ_4.14_BUILD_1839_PL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KPF4] C:\Program Files\Kerio\Personal Firewall
4\kpf4ss.exe
O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Startup: Spolszczenie - Auto Update.lnk = C:\Program
Files\ICQLite\icq_4.14_build_1839_pl.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program
Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9}
- C:\Program Files\ICQLite\ICQLite.exe
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) -
poczta.wp.pl/autoryzacja/mailcfg2.ocx
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer =
194.204.159.1,194.204.152.34
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\PROGRAM
FILES\WIRTUALNA POLSKA\WPKONTAKT\URL_WPMSG.DLL

    • netsec Re: hijack - cloud 30.10.04, 19:47
      1. Ściągnij nowy CWShredder 2.0
      cwshredder.net/bin/CWSInstall.exe
      2. Uruchom komputer w trybie awaryjnym, w tym celu:

      a. Ponownie uruchom komputer.
      b. Podczas uruchamiania komputera naciśnij i przytrzymaj wciśnięty klawisz
      CTRL, aż pojawi się menu Uruchamianie systemu Windows 98.
      c. Z menu Uruchamianie wybierz opcję Tryb awaryjny, a następnie naciśnij
      klawisz ENTER.
      Po uruchomieniu komputera w trybie awaryjnym nie otwieraj Internet
      Explorera

      3. Uruchom ponownie HijackThis wykonaj SCAN i zaznacz (haczykiem)
      dokładnie tylko te pozycje:

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*www.yahoo.com/
      search/ie.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*www.yahoo.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
      red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*www.yahoo.com
      O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
      C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL

      4.Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK.

      5.Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj
      wszystkie programy, co do których nie masz pewności, że Ci są potrzebne.

      6.Uruchom wcześniej ścignięty CwShredder i kliknij FIX.
      Pytania w trakcie działania programu, potwierdzaj TAK/OK.

      7.Po zakńczeniu działania CWShredder, uruchom komputer w normalnym sposób.
      • Gość: cloud Re: hijack jeszcze raz IP: *.prox.pl / 213.25.15.* 30.10.04, 23:10
        dziękuję netsecu
        Logfile of HijackThis v1.98.2
        Scan saved at 23:08:46, on 04-10-30
        Platform: Windows 98 SE (Win9x 4.10.2222A)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
        C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4SS.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\SYSTEM\RPCSS.EXE
        C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4GUI.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\INTERNAT.EXE
        C:\WINDOWS\SYSTEM\SYSTRAY.EXE
        C:\WINDOWS\SYSTEM\ATITASK.EXE
        C:\WINDOWS\SYSTEM\ATICWD32.EXE
        C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
        C:\ATI\ATIDESK\ATISCHED.EXE
        C:\WINDOWS\SYSTEM\LEXBCES.EXE
        C:\WINDOWS\SYSTEM\LEXPPS.EXE
        C:\WINDOWS\SYSTEM\WMIEXE.EXE
        C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
        C:\WINDOWS\SYSTEM\PSTORES.EXE
        C:\PROGRAM FILES\WIRTUALNA POLSKA\WPKONTAKT\WPKONTAKT.EXE
        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
        C:\PROGRAM FILES\7-ZIP\7ZFM.EXE
        C:\WINDOWS\TEMP\7ZO8145.TMP\HIJACKTHIS.EXE

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [internat.exe] internat.exe
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
        O4 - HKLM\..\Run: [LexStart] Lexstart.exe
        O4 - HKLM\..\Run: [Atikey] Atitask.exe
        O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
        O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O4 - HKLM\..\RunServices: [KPF4] C:\Program Files\Kerio\Personal Firewall
        4\kpf4ss.exe
        O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe
        O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
        poczta.wp.pl/autoryzacja/mailcfg.ocx
        O16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) -
        poczta.wp.pl/autoryzacja/mailcfg2.ocx
        O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1,194.204.152.34
        O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\PROGRAM
        FILES\WIRTUALNA POLSKA\WPKONTAKT\URL_WPMSG.DLL
        a teraz?
        CWS nic nie znalazł
        nadmienię tylko, że IE nie używam tylko Firefoxa, ale to szczegół

        • netsec Re: hijack jeszcze raz 31.10.04, 00:55
          Niezależnie od tego czy używsz IE musisz mieć zaktualizowany system o wszystkie
          krytyczne poprawki.
          Teraz w logu z HiJackThis nie ma się do czego przyczepić.
          Oczyść dysk ze śmieci:
          download.chip.pl/download_111052.html
          i wykonaj defrgmentacje tym:
          www.webattack.com/get/dkeeperlite.shtml
    • Gość: cloud jakby lepiej IP: *.prox.pl / 213.25.15.* 31.10.04, 23:36
      tzn. samo uruchomienie komputera, programy szybciej się otwierają, ale internet
      pozostawia jeszcze do życzenia (np. program dklite "pobierał się" 1,5 h ...),
      nie wiem czy ja coś zawaliłam, czy to łącze takie (radiowe) czy jeszcze nie wiem co

      bardzo ci dziękuję za pomoc netsec
Pełna wersja