Nyformaterad dator med många autostartprocesser

[__087]

Tjena, jag installerade om min dator här om dagen för att jag hade problem med den. Nu när jag använder datorn startas jätte mycket program igång som jag inte ens känner till bl.a WINVNC, mDNSResponder. SKulle vilja ha hjälp att stänga ner dessa processer. Här är min HJT Logga om någon har lust att hjälpa.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:53:14, on 2008-10-10

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:ProgramGrisoftAVG7avgamsvr.exe

C:ProgramGrisoftAVG7avgupsvc.exe

C:ProgramGrisoftAVG7avgemc.exe

C:ProgramBonjourmDNSResponder.exe

C:WINDOWSsystem32svchost.exe

C:ProgramDelade filerLightScribeLSSrvc.exe

C:WINDOWSsystem32nvsvc32.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32wscntfy.exe

C:ProgramGrisoftAVG7avgcc.exe

C:WINDOWSsystem32RUNDLL32.EXE

C:windowsffpextffpsrv.exe

C:WINDOWSsystem32ctfmon.exe

C:ProgramNETGEARWN111wn111.exe

C:ProgramWindows LiveMessengermsnmsgr.exe

C:ProgramWindows LiveMessengerusnsvc.exe

C:ProgramTrend MicroHijackThisrensare.exe

C:ProgramInternet Exploreriexplore.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.se/

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:ProgramDelade filerAdobeAcrobatActiveXAcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM..Run: [AVG7_CC] C:ProgramGrisoftAVG7avgcc.exe /STARTUP

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [FFPSRV] c:windowsffpextffpsrv.exe

O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUSS-1-5-19..Run: [AVG7_Run] C:ProgramGrisoftAVG7avgw.exe /RUNONCE (User 'LOKAL TJÄNST')

O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WN111 Smart Wizard.lnk = C:ProgramNETGEARWN111wn111.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:ProgramGrisoftAVG7avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:ProgramGrisoftAVG7avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:ProgramGrisoftAVG7avgemc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:ProgramBonjourmDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:ProgramDelade filerMacrovision SharedFLEXnet PublisherFNPLicensingService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:ProgramDelade filerLightScribeLSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:ProgramDelade filerAheadLibNMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:ProgramWinPcaprpcapd.exe

O23 - Service: VNC Server (WinVNC) - TightVNC Group - C:WINDOWSwinvnc.exe

--

End of file - 4350 bytes

[JoWa]

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:ProgramGrisoftAVG7avgamsvr.exe

C:ProgramGrisoftAVG7avgupsvc.exe

C:ProgramGrisoftAVG7avgemc.exe

C:ProgramBonjourmDNSResponder.exe

C:WINDOWSsystem32svchost.exe

C:ProgramDelade filerLightScribeLSSrvc.exe

C:WINDOWSsystem32nvsvc32.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32wscntfy.exe

C:ProgramGrisoftAVG7avgcc.exe

C:WINDOWSsystem32RUNDLL32.EXE

C:windowsffpextffpsrv.exe

C:WINDOWSsystem32ctfmon.exe

C:ProgramNETGEARWN111wn111.exe

C:ProgramWindows LiveMessengermsnmsgr.exe

C:ProgramWindows LiveMessengerusnsvc.exe

C:ProgramTrend MicroHijackThisrensare.exe

C:ProgramInternet Exploreriexplore.exe

De fetmarkerade kan du nog inaktivera. För att inaktivera ctfmon.exe, öppna Kontrollpanelen, Nationella inställningar och språkinställningar, fliken Språk, Information, fliken Avancerat, Inaktivera avancerade texttjänster.

wscntfy.exe är ett meddelande från Windows Säkerhetscenter.

Skriv services.msc i Kör och inaktivera en del av det jag har markerat där.

Är inte säker på att nvsvc32.exe måste autostarta. Jag stängde av alla nVidia-processer i en dator. Gick fint, så testa.

Vet heller inte om NETGEARWN111wn111.exe måste autostarta question?

spoolsv.exe hör till tjänsten Print Spooler. Har du ingen skrivare, kan du inaktivera den. Skriver du ut sällan, kan ställa den på Manuellt, och själv starta den då du skall skriva ut.

[__087]

jag förstog inte riktigt vad du menade att jag skulle gå in för att avaktivera dom du angav med fet stil men jag hittade dom inte i msconfig eller services.msc. NETGEAR ska jag testa nu att avaktivera och starta om datorn för att se att det fungerar felfritt så det återkommer jag med

[__087]

det fungerade jätte bra att stänga av WN111 men datorn går fortfarande på högvarv hela tiden 

[JoWa]

Det är ibland rätt oklart vilken tjänst som hör till vilken process.

Jag hittar inte tjänsten som hör till C:ProgramWindows LiveMessengerusnsvc.exe, men det är i alla fall WLM.

C:ProgramBonjourmDNSResponder.exe hör till tjänsten ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##, om den har installerats med något Adobe-porgram.

Sedan finns det flera tjänster som kan inaktiveras, men inte syns om aktiva processer. Indexeringstjänsten, t.ex.

[JoWa]

Jag hittar inte tjänsten som hör till C:ProgramWindows LiveMessengerusnsvc.exe, men det är i alla fall WLM.

Har du tjänsten Messenger Sharing USN Journal Reader Service? Den hör till usnsvc.exe.

Jag har den inte (har WLM 9).

[Venoms]

Allt funkar bra nu eller...?

Har du Itunes installerat, eller den heter egentligen "Bonjour för windows", (mDNSResponder), den gör att du visar exakt vad du har för musik etc på din dator och delar ut densamma till alla andra som också har bonjour installerat helt automatiskt utan att du behöver lyfta ett finger. Bra eller dåligt, bedöm själv.

Hur man avinstallerar Bonjour.

1. Start - Kör, skriv: "%PROGRAMFILES%BonjourmDNSResponder.exe -remove", utan duttar...

2. Gå till: C:ProgramBonojur

3. Byt namn på mdnsNSP.dll till mdnsNSP.old

4. Starta om datorn

5. Radera katalogen C:ProgramBonojur

För att kontrollera att den är borta...

1. Start - Kör, skriv: services.msc

2. Leta efter Bonjour tjänsten... finns den inte... Grattis du har lyckats.

Om du skulle få bekymmer efter det att du avinstallerat Bonjour... http://www.apple.com/support/downloads/bon...forwindows.html, kan du alltid installera om den.

Avinstallation av WINVNC.EXE

1. Leta reda på rätt sökväg till winvnc.exe.

   Start - Sök, Avancerat (för att få med dolda), skriv "winvnc.exe" i rutan "Sök efter filer eller mappar   med följande namn".

2. Sök i "Den här datorn".

3. När sökningen är färdig, håll musen över "katalogen för" winvnc.exe, markera och kopiera sökvägen till anteckningar..., om du inte kommer ihåg exakt väg ändå.

Stoppa tjänsten med aktivitetshanteraren

1. Tryck Ctrl+Alt+Del

2. Öppna fliken "Processer", leta efter "WinVnc.exe"

3. Markera winvnc.exe och tryck "Avsluta Process"

Leta reda på andra winvnc-filer

1. Öppna ett cmdfönster Start - Kör, skriv: cmd

2. skriv: cd (enter)

3. Skriv: cd sökvägen_du_fick_tidigare till katalogen

4. Skriv: del filnamnet

5. Skriv: rmdir /S katalognamnet

Var noga när du gör detta, och var säker på vad du tar bort.

WINVNC.exe räknas till spyware av många eftersom den tillåter att andra får fjärråtkomst till din dator.

[__087]

jag har nu gjort enligt följande steg och det fungerade felfritt, jag har däremot några funderingar oxå. JoWa skrev om "Messenger Sharing USN Journal Reader Service", i services.msc har jag en som heter nästan lika dant fast den heter "Messenger Sharing Folders USN Journal Reader Service, är det den jag ska inaktivera?? sen hittade jag även "LSSrvc.exe", "usnsvc.exe" och "wmiprvse.exe" i aktivitetshanteraren, är det något jag ska ha startat??

[JoWa]

Messenger Sharing Folders USN Journal Reader Service (usnsvc.exe) kan du inaktivera (om du inte använder delade mappar).

LSSrvc.exe hör till LightScribe. Behöver inte autostarta.

wmiprvse.exe är en Windows-process som skall vara igång.

[__087]

okej, nu har jag fixat msn skiten iallafall men jag hittar inte riktigt LightScribe filen har kollat i msconfig och services.msc 

[JoWa]

Du har tydligen Nero i burken, så det är troligen någon Nero-tjänst kopplad till LSSrvc.exe.

Om du inte hittar den, kan du använda Autoruns, och däri söka efter LSSrvc.exe och avmarkera den.

[__087]

jag har kollat runt på autoruns i alla fliker under en längre stund nu men jag hittar inte filen eller nero där  >

[JoWa]

Har du använt sökfunktionen i Autoruns? Klicka på kikaren (Ctrl+F).

[__087]

gud den missa jag  ;D nu är den oxå urbockad. Finns det något mer jag kan göra??

[JoWa]

Jo det finns det alltid. Före ominstallationen hade du väl Safe XP? Det kan alltjämt vara användbart. Där kan du markera de flesta Disable-rutor.

Du kan ju också läsa om din gamla tråd.

Jag har tidigare gnällt på ditt gamla AVG. Jag testar nu Comodo Internet Security (antivirus, brandvägg, Defense+), som är enastående resurssnålt. Kunde vara något för dig.

[__087]

hehe aa typ alla här klagar på mitt avg  det är bara det att datorn använder hela tiden 100% av processorn och jag skulle vilja få ner det lite grann innan jag installerar massa virusskydd etc

[JoWa]

Mm, men om du byter från AVG till CIS, kommer minnesanvändningen att minska. Programmet har normalt två processer igång, och den ena (programmets gränssnitt) kan man faktiskt stänga av!

Vilken/vilka process/er är det som belastar cpu:n så mycket?

[__087]

du ska få se själv vilka det här (kolla bifogade bilden)

[JoWa]

Hm, svchost.exe, så klart. Det säger ingenting. >

Du får ta hjälp av Process Explorer, och där titta på egenskaperna för den processen, så ser du vilken tjänst den hör till.

[Venoms]

Har du något hemnätverk?

Om inte, och om du inaktiverat windows egna brandvägg, (vilket rekommenderas av mig), kan du avaktivera alg.exe i dina tjänster... start - kör: services.msc

Alg.exe kan ibland ta 100% av cpu av någon anledning...

I övrigt tycker inte jag att det var så farligt mycket, kanske den delen tillhörande Msn (usnsvc.exe) enl tidigare inlägg.

[JoWa]

Har du något hemnätverk?

Om inte, och om du inaktiverat windows egna brandvägg, (vilket rekommenderas av mig), kan du avaktivera alg.exe i dina tjänster... start - kör: services.msc

Alg.exe kan ibland ta 100% av cpu av någon anledning...

Tjänsten Application Layer Gateway Service, för att göra den mera lättfunnen.

Venoms, rekommenderar du att Windowsbrandväggen inaktiveras om man inte har någon annan istället? Jag har Comodos brandvägg (och har inaktiverat alg.exe), men __087 har tydligen ingen annan brandvägg.

[Venoms]

Nej, jag menar inte att man ska vara helt utan, då är windows egna bättre än inget.

Jag missuppfattade situationen lite, jag trodde _087 skulle installera Comodo, som är ett alldeles utmärkt alternativ till avg... Hade jag fel, ber jag om ursäkt för en missvisande rekommendation.

[__087]

ne jag har inget hemnätverk och tyvärr har jag ingen annan sorts brandvägg precis som JoWa säger. Jag tycker IEXPLORER är väldigt krävande ibland, det kan gå upp mot 32 560 i minnesanvändning ibland och det tycker jag är väldigt mycket men ni som kan det här får avgöra det

[JoWa]

Om du med ingen annan sorts brandvägg också menar att du inte har någon extern brandvägg i form av en router, bör du uppgradera från Windowsbrandväggen till Comodo. Stoppar du i hela CIS-paketet, slipper du ju samtidigt AVG.

[JoWa]

ne jag har inget hemnätverk och tyvärr har jag ingen annan sorts brandvägg precis som JoWa säger. Jag tycker IEXPLORER är väldigt krävande ibland, det kan gå upp mot 32 560 i minnesanvändning ibland och det tycker jag är väldigt mycket men ni som kan det här får avgöra det

Nej, 32 560 kb är inte mycket. Här använder IE8 ca 57 mb med en flik öppen (två processer igång).