SUSPISIOUS BEHAVIOUR och DANGEROUS BEHAVIOUR i Zonealarm

[WALT DISNEYY]

 

 

Hej igen alla datorkunniga, nu har jag lite frågor igen:

1. Det är så att när jag installerade senaste ZoneAlarm så reagerade den på några exe-filer

a. ctfmon.exe Jag dödade filen med Zonealarm

b. realsched.exe Denna exe-fil har med Realplayer att göra så jag dödade filen med Zonealarm, det kan man göra med senaste versionen, rätt så bra faktiskt.

c. rundll32.exe Jag dödade filen med Zonealarm

Det är så att Zonealarm talade om att det var ”SUSPISIOUS BEHAVIOUR” gällande ctfmon.exe och realsched.exe. Gällande rundll32.exe så sa Zonealarm att det var ”DANGEROUS BEHAVIOUR, ”Kör en DLL-fil som ett program” is trying to monitor your mouse movements and keyboard strokes.”

Så nu till frågorna: Var det rätt att döda dessa filer och om inte vad bör jag göra, kan det vara någon trojan/virus som är bunden till någon av exe-filerna????

 

detta stod skrivet på nätet se http://www.processlibrary.com/directory/files/rundll32/ :

” rundll32.exe is a process which executes DLL's an places their libraries into the memory, so they can be used more efficiently by applications.This program is important for the stable and secure running of your computer and should not be terminated.

Note: rundll32.exe is also a process which is registered as the W32.Miroot.Worm. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process”

och

” ctfmon.exe is a part of the Microsoft Office suite. It activates the Alternative User Input Text Input Processor (TIP) and the

Microsoft Office XP Language Bar. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.”

och

” realsched.exe is a program which schedules for manual update checks for Real Networks products. This is a non-essential process. Disabling or enabling this is down to user preference however disabling may prevent notification of updates.

”

Tackar för svar, tills vi hörs ha det alla.

 

 

[Cecilia]

Nu vet jag inte vad du menar med att du dödade filen, men om den finns kvar i Papperskorgen eller går att återställa från ZoneAlarm så skulle jag rekommendera det. Därefter så skannar du filerna här:

http://www.virustotal.com/

http://virusscan.jotti.org/

För att få lite fler åsikter om filerna.

 

Filnamnet ctfmon.exe används både av legitima program och av otrevligheter. Du kan söka här för att se:

http://www.bleepingcomputer.com/startups/

 

Att ta bort realsched.exe sparar i alla fall lite datorminne även om det väl finns lättare sätt att göra det än att döda filen.

 

rundll32.exe kan vara en bra eller dålig fil.

 

Skicka hit en HijackThis-logg, så får vi se vad den säger om din dator.

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat).

 

Bifoga loggen till ditt svar på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[WALT DISNEYY]

Hej Cecilia och tack för svar. Jag har precis installerat Zonealarm Suite och tror att döda innebär att jag kan när jag själv vill stoppa ett program eller när jag vill tillåta ett program att fungera som det ska på min dator. Jag har nu tillåtit dessa program att fungera på min dator och gjort en Hijackthis logg, såhär ser den ut:

SE NEDAN

Nu är det ju så att jag har stoppat en del exe-filer sen innan med Spyboot Search & Destroy så jag vet inte om denna logg säger allt, men hoppas ni hittar något intressant.

Gällande scanningen så räcker det väl att jag gör det med min antivirusprogram som finns i Zonalarm Suite, eller länkarna du gav kanske har bättre scanning?? Tipset http://www.bleepingcomputer.com/startups/ ska jag kolla upp när jag har tid. Tackar för att ni tar er tid att hjälpa mig tills vi hörs ha det så bra.

 

[inlägget ändrat 2005-07-31 05:52:09 av WALT DISNEYY]

[inlägget ändrat 2005-07-31 06:09:54 av WALT DISNEYY]

[WALT DISNEYY]

[log]Logfile of HijackThis v1.99.1

Scan saved at 05:04:43, on 2005-07-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Program\Ahead\InCD\InCD.exe

C:\Program\Delade filer\PCSuite\DataLayer\DataLayer.exe

C:\Program\Delade filer\Nokia\Tools\NclTray.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

C:\Program\MSI\PC Alert 4\PCAlert4.exe

C:\Program\MSI\SecureDoc\Logon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\twain_32\S6U12BX\WATCH.exe

C:\Program\MemTurbo\MemTurbo.exe

C:\PROGRAM\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

E:\DCDOWNLO\PROGRAM\EJ BRÄNT ÄNNU\EMULE EXTRACTED\emule.exe

C:\Program\Mozilla Firefox\firefox.exe

E:\DCDOWNLO\PROGRAM\EJ BRÄNT ÄNNU\HIJACKTHIS tips från idg.se e-forum 050731ska kolla upp trojaner virus osv\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [DataLayer] C:\Program\Delade filer\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program\Delade filer\Nokia\Tools\NclTray.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: MemTurbo.lnk = C:\Program\MemTurbo\MemTurbo.exe

O4 - Global Startup: PC Alert 4.lnk = C:\Program\MSI\PC Alert 4\PCAlert4.exe

O4 - Global Startup: SecureDoc.lnk = C:\Program\MSI\SecureDoc\Logon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled

O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe

O4 - Global Startup: Microsoft Office.lnk.disabled

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115942950951

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program\Alwil Software\Avast4\aswUpdSv.exe (file missing)

O23 - Service: avast! Antivirus - Unknown owner - C:\Program\Alwil Software\Avast4\ashServ.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

[/log]

 

[Cecilia]

Eftersom olika antivirusprogram hittar lite olika otrevligheter så är det alltid bra med lite fler åsikter om man är tveksam till huruvida en fil är en otrevlighet eller inte.

 

Med tanke på att jag inte ser några konstigheter i din logg så tror jag nog att filerna som ZoneAlarm klagade över är Ok.

 

Du ser ut att ha lite rester kvar från Avast!, se om deras avinstallationsprogram hjälper:

http://www.avast.com/eng/avast_uninstall_util.html

Om inte så får du starta Kontrollpanelen - Administrationsverktyg - Tjänster och leta upp alla tjänster som börjar med avast!, och på var och en dubbelklicka och välja Inaktiverad som Startmetod.

 

Om du inte vill att RealOne Player ska automatisk se efter om det har kommit ut nya versoner så står det här hur man blir av med det:

http://www.mikescomputerinfo.com/TkBellExe.htm

 

 

[WALT DISNEYY]

Tackar för svar ännu en gång, det verka ju okey med mina filer då, skönt. Gällande Avast så har jag redan slängt mappar och filer eftersom Avast antivirus inte ville avinstallera sig från kontrollpanelen/Lägg till eller ta bort program. De andra tipsen ska jag kolla upp tackar ännu en gång och ha det bra, hej.