Logfile of Kaka v2. 0. 0. 9 Scan Module v2. 0. 0. 1
Scan saved at 22:24:32, on 2006-07-12
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


Running processes:
[smss.exe]
CommandLine =

[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

[winlogon.exe]
CommandLine = winlogon.exe

[services.exe]
CommandLine = C:\WINDOWS\system32\services.exe

[lsass.exe]
CommandLine = C:\WINDOWS\system32\lsass.exe

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss

[CCenter.exe]
CommandLine = "C:\Program Files\Rising\Rav\CCenter.exe"

[svchost.exe]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k LocalService

[RavMonD.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmond.exe"

[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe

[RavStub.exe]
CommandLine = "C:\Program Files\Rising\Rav\RavStub.exe" /RAVMOND

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k imgsvc

[Explorer.EXE]
CommandLine = C:\WINDOWS\Explorer.EXE

[alg.exe]
CommandLine = C:\WINDOWS\System32\alg.exe

[RavTask.exe]
CommandLine = "C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE" -SYSTEM

[RavMon.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmon.exe" -SYSTEM

[ctfmon.exe]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"

[RsAgent.exe]
CommandLine = "C:\Program Files\Rising\Rav\RsAgent.exe"

[AgentSvr.exe]
CommandLine = C:\WINDOWS\msagent\AgentSvr.exe -Embedding

[conime.exe]
CommandLine = C:\WINDOWS\system32\conime.exe

[rfwsrv.exe]
CommandLine = "c:\program files\rising\rfw\rfwsrv.exe"

[RFWMAIN.EXE]
CommandLine =  -StartUp

[Womcc.exe]
CommandLine = "D:\WOM\Womcc.exe"

[KkScan.exe]
CommandLine = "C:\Program Files\Rising\KakaToolBar\KkScan.exe"

O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: 上传到QQ网络硬盘 -
O8 - Extra context menu item: 使用网际快车下载 -
O8 - Extra context menu item: 使用网际快车下载全部链接 -
O8 - Extra context menu item: 添加到QQ自定义面板 -
O8 - Extra context menu item: 添加到QQ表情 -
O8 - Extra context menu item: 用QQ彩信发送该图片 -
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA3770F-3C8E-4ACA-945E-783A2C18491F}: NameServer = 61.139.2.69,202.96.98.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"

04是什么呀？
０８怎么删除呀？
０１８是什么呀？木马吗？
怎么删除呀？
急死人了．．．．

HijackThis日志细解正文

（一）HijackThis日志纵览
R0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变
F0，F1，F2，F3 ini文件中的自动加载程序
N1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，浏览器辅助模块）
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器（regedit）被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表（stylesheet）“劫持”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项

组别——O18

1. 项目说明
O18项列举现有的协议（protocols）用以发现额外的协议和协议“劫持”。相关注册表项目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
等等。
通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。
HijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。

2. 举例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建议
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂，可能（只是可能）有一些间谍软件存在，需要进一步查询资料、综合分析。

引用:

【漂亮妹妹1989的贴子】组别——O18 1. 项目说明 O18项列举现有的协议（protocols）用以发现额外的协议和协议“劫持”。相关注册表项目包括 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 等等。 通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。 HijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。 2. 举例 O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 3. 一般建议 已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂，可能（只是可能）有一些间谍软件存在，需要进一步查询资料、综合分析。 ...........................

到底是什么呀？
郁闷了哦．．．．
卡卡扫描的怎么没有修复呀？

姐姐，你说的东方**里面有好多木马．．．．．
我安装的时候它试图连接Ｎ个端口呀．．．．

东方微　点安装时候要求连接好多端口．．．．



006-07-12 23:06:44, 系统禁止本地MPSVC.exe连接网络的请求，地址为：TCP, 0.0.0.0:1172 => 127.0.0.1:7650程序名称为：C:\Program Files\Micropoint\MPSVC.exe
2006-07-12 23:06:36, 系统禁止本地MPSVC1.exe连接网络的请求，地址为：TCP, 0.0.0.0:1169 => 127.0.0.1:7100程序名称为：C:\Program Files\Micropoint\MPSVC1.exe
2006-07-12 23:06:27, 系统禁止本地MPSVC2.exe连接网络的请求，地址为：TCP, 0.0.0.0:1171 => 127.0.0.1:7650程序名称为：C:\Program Files\Micropoint\MPSVC2.exe
2006-07-12 23:06:26, 系统禁止本地MPSVC2.exe连接网络的请求，地址为：TCP, 0.0.0.0:1167[私用电话] => 127.0.0.1:7650程序名称为：C:\Program Files\Micropoint\MPSVC2.exe
2006-07-12 23:05:08, 系统禁止本地MPMon.exe开放本地端口的请求，地址为：TCP, 127.0.0.1:7300[网络精灵木马]程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:05:05, 系统禁止本地MPMon.exe开放本地端口的请求，地址为：TCP, 127.0.0.1:7300[网络精灵木马]程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:05:05, 系统禁止本地MPMon.exe连接网络的请求，地址为：TCP, 0.0.0.0:1113 => 127.0.0.1:7650程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:05:03, 系统禁止本地MPMon.exe开放本地端口的请求，地址为：TCP, 127.0.0.1:7300[网络精灵木马]程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:05:01, 系统禁止本地MPMon.exe开放本地端口的请求，地址为：TCP, 127.0.0.1:7300[网络精灵木马]程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:05:01, 系统禁止本地MPMon.exe连接网络的请求，地址为：TCP, 0.0.0.0:1107 => 127.0.0.1:7650程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:04:59, 系统禁止本地MPMon.exe开放本地端口的请求，地址为：TCP, 127.0.0.1:7300[网络精灵木马]程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:02:54, 系统禁止本地MPMon.exe连接网络的请求，地址为：TCP, 0.0.0.0:1087 => 127.0.0.1:7650程序名称为：C:\Program Files\Micropoint\MPMon.exe
2006-07-12 23:02:52, 系统禁止本地MPMon.exe开放本地端口的请求，地址为：TCP, 127.0.0.1:7300[网络精灵木马]程序名称为：C:\Program Files\Micropoint\MPMon.exe

引用:

【小女子哈鲁的贴子】 到底是什么呀？ 郁闷了哦．．．． 卡卡扫描的怎么没有修复呀？ 姐姐，你说的东方**里面有好多木马．．．．． 我安装的时候它试图连接Ｎ个端口呀．．．． ...........................

我超级晕！
你真的需要好好学习下

018项是HJ的一个BUG，只会在你修复后重新扫描才会出现，可以不用管它