Logfile of HijackThis v1.99.1

Scan saved at 16:21:43, on 2005-06-05

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\eee.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\ZONELABS\minilog.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

D:\UTILS\TOTALCMD\TOTALCMD.EXE

D:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117971592229

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3D33CED-6A9A-4D2C-8F60-73A0CD5B97F5}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\system32\kkk.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Nie wiem co jest grane, bo po odpaleniu kompa i połączeniu z netem (Neostrada) pojawia się okienko powiadamiające o zamknięciu systemu w ciągu jednej minuty :o. Na początku myślałem, że to pewnie jakiś Sasser lub Blaster, więc przeskanowałem system Ad-Awarem, MksClean’em, FixBlast’em, ale te programy NIC NIE ZNAJDUJĄ

Nie wiem też co to za pliki “eee.exe”, “kkk.exe”. Nie da się ich usunąć ręcznie. Nie wiem czemu, ale nie mogę też pobrać żadnych aktualizacji ze strony Microsoftu. Jeszcze 3 dni temu nie było takiego problemu.

HELP ?!?

usuń te pliki w trybie awaryjnym i zainstaluj SP2

poczytaj jeszcze to:

http://www.error.xp.pl/

temat log:(pamietaj o wylaczeniu przywracania systemu w xp i o trybie awaryjnym f 8 )

problem jest tutaj:

zrobisz tak:

Otwierasz HijackThis— Misc Tools— Delete NT Service— wklepujesz: Sound Sservice Driver (Sound Service) >>> zawierdzasz. Potem kasujesz wpis hijackiem.

Jesli nie dasz rady to sciagasz:

http://www.bleepingcomputer.com/files/killbox.php

wklepujesz sciezke:

C:\WINDOWS\system32\kkk.exe

usuwasz:

tu info jak poslugiwac sie killboxem:

odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej scieżke:C:\WINDOWS\system32\kkk.exe

następnie program będzie pytał o restart (oczywiscie zgadzasz sie)

dajesz log kontrolnie

Najpierw spróbuj zamknąć te procesy,gdy są używane to ich nie zamkniesz

otwórz konsolę,wpisz msconfig i je odznacz,wyłącz przywracanie systemu,uruchom Windows w trybie awaryjnym i spróbuj usunąć pliki eee.exe i kkk.exe

Trojany działają w ten sposób,że uruchamiają własne procesy o dziwnych nazwach i oczywiście po usunięciu zainstaluj SP2,innaczej komputer co chwilę będzie łapał jakieś syfy

Dzięx za waszą pomoc, ale udało mi się usunąć tylko Sassera. Komp nie chciał wystartować w trybie awaryjnym :o. Wygrzebałem dyskietke startową Windows’a 98 i dopiero z pod Dosa usunąłem ten ■■■■. Jakież było moje zdiwienie, gdy odpaliłem Windowsa w trybie normalnym i w menedżeże zadań pojawił się nowy ■■■■ o nazwie “mmm.exe”.Usunąłem go znowu z pod Dosa, odpalam Winde i widze “kkk.exe” i tak w koło macieju