vad tar jag bort i autostart?

[fnurr]

Hej! I mina uppgifter om autostart har jag:

 

sprtcmd

rundll23

ctfmon

iTunesHelper

QTTask

ipoint

jusched

TNBUtil

FSM32

Reader_si

 

 

Vad av detta kan jag ta bort?Jag använder datorn bara till e-post och vanlig surf. XP. Den är jätteseg och tar typ 4 år att starta upp. Help!

/fnurr

 

[Laso]

Det enda jag ser är att rundll23 är misstänkt, annars är det normala filer för program du har installerade, F-Secure, Acrobat Reader iTunes och andra.

 

Vi kan se om HijackThis visar något till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

 

 

//gästen

 

[fnurr]

Ok. Tack! Ska genast testa.

 

några sekunder senare: Vaddå tryck på LOG-knappen? Hittar inget besvara-fönster...

[inlägget ändrat 2008-11-30 15:55:31 av fnurr]

[fnurr]

Ja jag VET att jag är dum! -Skyller på förkylning och luddig hjärna, fast det är nog nåt annat. Virus mellan öronen, haha! Du FÅR skratta år mej! Det gjorde jag själv. [log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:52:11, on 2008-11-30

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Telia\Supportassistent\bin\sprtcmd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Microsoft IntelliPoint\ipoint.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Billionton\Bluetooth-programvara\bin\btwdins.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsus.exe

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\system32\DfrgNtfs.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [Telia] "C:\Program\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Blockera detta popup-fönster - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\Billionton\Bluetooth-programvara\btsendto_ie_ctx.htm

O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: IE-sköld - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: IE-sköld... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Billionton\Bluetooth-programvara\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Billionton\Bluetooth-programvara\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203510186218

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Telias säkerhetstjänster (BackWeb Plug-in - 7836882) - Unknown owner - C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE (file missing)

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program\Billionton\Bluetooth-programvara\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program\Delade filer\SupportSoft\bin\ssrc.exe

 

--

End of file - 9599 bytes

[/log]

 

 

[Laso]

Har kollat den misstänkta filen och kollat loggen, ser okej ut.

 

Så dessa filer i autostart, får du nog låta vara kvar, dom används allihopa.

 

Vad är det som tar så lång tid att starta upp, i vilken sekvens?

Före eller efter Microsoft-flaggan?

 

 

 

//gästen

 

[fnurr]

Hej igen! Det är efter flaggan. Tack för att du kollade åt mej. rundll 23, ska jag göra nåt åt den?

 

 

[Laso]

Nej, den tillhör blåtandsprogrammet som du har i datorn.

 

Vilket servicepack har du installerat, 1, 2 eller 3?

 

 

 

//gästen

 

[fnurr]

sp 2 tror jag...

 

 

[2Many2]

det märkliga är att den inte syns i din hijackthislogg (jag hittar den iaf inte) men den är inget du vill ha på din dator. Tycks som om rundll23.exe är en trojan

 

Du kanske borde ladda ner och köra en snabb skan med mbam

http://www.malwarebytes.org/mbam.php

 

Allmänna tips för långsamma datorer:

http://www.castlecops.com/t175258-Slow_Computer_Check_here_first_it_may_not_be_malware.html

 

[fnurr]

Kör malware-scan nu. Jag har nog skrivit fel... rundll32 ska det ju vara!!! Som sagt, jag har lite virus mellan öronen oxå. Fel dag att hålla på med sånt här, men det måste ju göras nångång.

 

 

[Laso]

Missade, ser jag, du har faktiskt SP3 till och med.

 

 

//gästen

 

[Laso]

Tycks som om rundll23.exe är en trojan

Bad Zip kolla denna rad med rundll32.exe, och den ska vara okej.

 

Men vi får se om fnurr´s scan ger något?

 

 

 

//gästen

 

[fnurr]

Jaha det var ju bra. Nån sp 4 finns väl inte än. Så då ska väl det mesta vara ok.

 

 

[fnurr]

Såhär blev det: [log]Malwarebytes' Anti-Malware 1.30

Databasversion: 1437

Windows 5.1.2600 Service Pack 3

 

2008-11-30 17:24:14

mbam-log-2008-11-30 (17-24-14).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 49121

Förfluten tid: 14 minute(s), 28 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

 

[/log]

 

 

[2Many2]

ne, jag såg ingen i loggen men fnurr har 2 grr refererat til rundll23 så jag blev en smula orolig

 

[Laso]

Det ser ju bra ut också.

 

Så varför din dator är seg vid uppstart, vet jag just nu inte, någon process som körs i bakgrunden, som inte syns på vanligt sätt?

 

 

 

//gästen

 

[Laso]

 

 

//gästen

 

[2Many2]

Bra så, ingen malware upptäckt iaf. Du kan ju kolla länken om att snabba upp sin dator om du vill.

 

själv har jag stängt av autostart på sånt som reader, java updates, quick time etc etc... trött processor, alltid lättar det lite på lasten

 

[Laso]

själv har jag stängt av autostart på sånt som reader, java updates, quick time etc etc... trött processor, alltid lättar det lite på lasten

Förutsätter då att du kollar med jämna mellanrum t.ex så du inte missar uppdateringar framförallt för Java och liknande...

 

 

 

//gästen

 

[fnurr]

Tack för allt engagemang! Jag ska kolla uppdateringar ofta och se till att scanna igenom emellanåt. Den här datorn används inte så ofta, eftersom jag har en bärbar med Vista som står i köket 8 där man oftast är...)

 

 

 

[bild raderad 2008-11-30 18:47:15 av fnurr]

[fnurr]

ingen aning...

 

 

[Cecilia]

O4 - HKLM\..\Run: [Telia] "C:\Program\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

 

Om du inte brukar använda de programmen ofta så är det ju onödigt att de startar automatiskt. Leta efter inställningar i programmen som stänger av den automatiska uppstarten, för det är bästa sättet att få dem att inte vara igång jämnt. Men i andra hand så kan du avbocka motsvarande rad i Start - Kör - msconfig - Autostart.

 

Sedan är kanske inte F-secure/Telias säkerhetstjänster det allra bästa att välja om man har en långsammare dator eller en dator med lite minne, för det är ganska krävande.

 

[Laso]

Är väl nästan bättre att avaktivera dessa i autostart istället för att ta bort dessa, ifall någon behövs vid senare tillfälle.

 

 

 

//gästen

 

[Cecilia]

Är väl nästan bättre att avaktivera dessa i autostart istället för att ta bort dessa, ifall någon behövs vid senare tillfälle.

Var det inte det jag skrev? Eller kan det missförstås?

 

[Laso]

Rätt...Nej...

 

 

//gästen