On wraca

Dla specjalistów Bezpieczeństwo
#1

Prosze o pomoc cos mi siedzi w kompie. :twisted: Co jakis czas uruchamiam Ad-Aware - kasuje to cos i za jakis czas to wraca… :frowning:

oto moj log:

Logfile of HijackThis v1.99.1

Scan saved at 11:22:03, on 2005-05-03

Platform: Windows 2000 Dodatek SP. 1 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\AMD\Cool’n’Quiet\GemServ.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\explorer.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINNT\System32\RunDll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINNT\System32\internat.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\TEXTware\BOOKcase40\BC40CASE.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\PROGRA~1\INCRED~1\bin\IncMail.exe

C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\Program Files\Trend Micro\PC-cillin 2002\PCCCLIENT.EXE

C:\Program Files\Trend Micro\PC-cillin 2002\PCCGUIDE.EXE

C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE

C:\Program Files\Trend Micro\PC-cillin 2002\POP3TRAP.EXE

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\WINNT\system32\notepad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.swps.edu.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1AC1AAB4-B923-47D5-A677-14A067CB5777} - C:\WINNT\System32\kfpc.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM…\Run: [pccguide.exe] “C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe”

O4 - HKLM…\Run: [PCCClient.exe] “C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe”

O4 - HKLM…\Run: [Pop3trap.exe] “C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe”

O4 - HKLM…\Run: [fyvsf] C:\WINNT\fyvsf.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot

O4 - HKCU…\Run: [internat.exe] internat.exe

O4 - HKCU…\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU…\Run: [spyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

O4 - HKCU…\Run: [bestPopUpKiller] C:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup

O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - Global Startup: BOOKcase 4.0.lnk = C:\Program Files\TEXTware\BOOKcase40\BC40CASE.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/010a4f796c3 … xIE601.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.3ie.cab?

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/se … loader.cab

O17 - HKLM\System\CCS\Services\Tcpip…{7A601857-3AE4-47C8-AF12-8163E7061274}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: AMD PowerNow! Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\Cool’n’Quiet\GemServ.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe

O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC (UserAccess) - Unknown owner - C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe

#2

napisz co to jest to cos albo daj scren

#3

dla większego bezpieczeństwa zainstaluj sp2. http://www.windowsupdate.microsoft.com

dlaczego używasz antywirusa z 2002 roku :expressionless: ? to już lepiej posiadać darmowy lecz tegoroczny http://dobreprogramy.pl/index.php?dz=1&t=30 np. avast

#4

Do Windows 2000 to już lepiej Sp4 :stuck_out_tongue:

#5

Z Tej strony http://www.windowsecurity.com/trojanscan/trojanscan.asp

dowiedzialem sie, ze to cos to MALWARE - DIALER i ze chodzi o plik C:\WINNT\system32\TriacomUD.dll

co robic, poradzcie mistrzowie

#6

masz neostrade wiec dialer moze ci nagwizdac :smiley: :smiley:

#7

Thanx

Ale, jesli z powodu Neostrady moge czuc sie bezpiecznie (mimo Malware Dialer) to jak wytlumaczyc, fakt ze komp mi wolno chodzi, a po poleczeniu z netem dziala normalnie?

#8

nie

patrz tutaj:

#9

co radzisz musg?

Usunac to cos :oops: ?

#10

stary fixuj bez dwoch zdan

hijackiem odznacz i fix

sprawdz po restarcie czy wpis nie wrocił

na99% pozbedziesz sie :smiley: :smiley:

#11

Usuń: (wszystko oczywiście robisz w trybie awaryjnym)

Pliki na czerwono usuń recznie z dysku

To go ciachnij recznie w trybie awaryjnym a jak bedzie problem to spróbuj go usunąć programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINNT\system32** TriacomUD.dll**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

#12

Usunalem wszystko o czymi pisales Kuz5, zrestartowalem i znow Ad-Aware znalazl:

Vendor: Tracking cookie

Type: IE Cache

Category: Data Miner

oczywiscie usunalem, ale zapewne wroci…

Czy cos jescze moge zrobic?

dzieki z gory!!

#13

juz jestes w domu

pozostaje ci jeszcze windows update–zrob to koniecznie

zainstaluj sobie program antywirusowy ,bo ten twoj jest juz nieaktualny:

tu masz cos do wybory:

http://www.dobreprogramy.pl/index.php?dz=1&t=30

potrzebujesz jeszcze firewalla:

http://www.dobreprogramy.pl/index.php?dz=1&t=84

poczytaj

jak zrobisz update twoj problem wyparuje :smiley: :smiley:

i pomysl jeszcze o alternatywnej przegladarce do IE:

http://www.dobreprogramy.pl/index.php?dz=2&id=638&t=17

#14

Dzieki Wielkie :smiley:

Zrobie jak piszesz, mam nadzieje, ze pozbede sie tez tego dziwnego efektu “wolnego komputera”!

Moj progam antywirusowy jest rzeczywiscie stary ale myslalem ze jak sam sobie robi update co jakis czas to sie aktualizuje? Pozdrawiam!

#15

[-X

jest nieaktualny ,a twoj system goly :slight_smile: