HJT logga!

[jiz]

Ser allt ok ut?

Väldigt seg dator, har hela 50 st processer igång om man kollar i Aktivitetshanteraren, men "bara" 41 enligt denna logga?

ESET har varnat ett par gånger om in/ut gående tarfik.

Mvh jiz

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:22:50, on 2012-01-17

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\AgentService\AgentService.exe

C:\Program\LSI SoftModem\agrsmsvc.exe

C:\Program\Delade filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Program\ESET\ESET Smart Security\ekrn.exe

C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\HP\KBD\KBD.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Documents and Settings\All Users\Application Data\Mobile Partner\OnlineUpdate\ouc.exe

C:\Program\Delade filer\Java\Java Update\jusched.exe

C:\Program\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program\ESET\ESET Smart Security\egui.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Mobile Partner\Mobile Partner.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Mozilla Firefox\plugin-container.exe

C:\Program\Mozilla Firefox\plugin-container.exe

C:\Program\Delade filer\Apple\Apple Application Support\distnoted.exe

C:\Program\Delade filer\Apple\Mobile Device Support\SyncServer.exe

C:\Program\Mozilla Firefox\plugin-container.exe

C:\Program\Delade filer\Nero\Nero BackItUp 4\NBService.exe

C:\Program\Trend Micro\HijackThis\jiz.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q105&bd=pavilion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q105&bd=pavilion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q105&bd=pavilion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q105&bd=pavilion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: Winamp Toolbar Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program\Winamp Toolbar\winamptb.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program\Winamp Toolbar\winamptb.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: HP-vy - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program\Winamp Toolbar\winamptb.dll

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] "C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program\Delade filer\Apple\Mobile Device Support\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\Program\DELADE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [APSDaemon] "C:\Program\Delade filer\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Delade filer\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [egui] "C:\Program\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] D:\Program\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra button: Mummys Gold Casino - {443196D5-A77E-4F80-98B1-F7F6908E8316} - C:\Microgaming\Casino\MummysGoldCasino\casinogame.exe (file missing) (HKCU)

O15 - Trusted Zone: http://www.csports.com

O15 - Trusted Zone: http://www.csports.se

O15 - Trusted IP range: 192.168.0.1

O15 - Trusted IP range: http://192.168.0.1

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6087.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237476882415

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1255538007015

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{36017F95-C489-4065-A15B-A509E7479B12}: NameServer = 192.168.0.1,192.168.10.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B6EE058-9938-4700-B8A7-1C40F489C885}: NameServer = 80.251.201.177,80.251.211.177

O17 - HKLM\System\CS1\Services\Tcpip\..\{36017F95-C489-4065-A15B-A509E7479B12}: NameServer = 192.168.0.1,192.168.10.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{36017F95-C489-4065-A15B-A509E7479B12}: NameServer = 192.168.0.1,192.168.10.1

O23 - Service: PC Agent Service (AgentService) - Unknown owner - C:\Program\AgentService/AgentService.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program\LSI SoftModem\agrsmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: ESET Service (ekrn) - ESET - C:\Program\ESET\ESET Smart Security\ekrn.exe

O23 - Service: HWDeviceService.exe - Unknown owner - C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - D:\Program\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Mobile Partner. OUC (Mobile Partner. RunOuc) - Unknown owner - C:\Program\Mobile Partner\UpdateDog\ouc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program\Delade filer\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia - C:\Program\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 10034 bytes

[Cecilia]

Kan inte se något skadligt i din logg. Men det är ju inte mycket skadligt som syns i en HijackThis-logg.

Kan du få fram vad för trafik som brandväggen varnade om, t ex IP-adress?

Angående Winamp Toolbar se http://www.systemlookup.com/CLSID/47078-winamptb_dll.html

Du kan slå upp filnamnen på O4-raderna i HijackThis-loggen på http://www.systemlookup.com/lists.php?list=2 och om det står U eller N i Status-kolumnen så läs beskrivningen och avgör själv om det är något du vill ska starta automatiskt eller inte. Om inte så hitta helst en inställning i programmet för att stänga av den automatiska uppstarten, i andra hand så kan man avbocka motsvarande rad i Start - Kör - msconfig - Autostart. Du bör inte bocka av Javas uppdateringsprogram eftersom det är viktigt att alltid ha senaste versionen av säkerhetsskäl.

Vad hade du uppe i Firefox eftersom det finns tre C:\Program\Mozilla Firefox\plugin-container.exe igång?

En dålig hårddisk kan göra att datorn blir långsam så fort som något ska läsas från hårddisken, så se till att ha säkerhetskopior på alla viktiga filer.

[jiz]

94.245.121.234 var en av IP-adresserna hittar inte på dom andra i ESET

04-raderna finns det ju 1 st ctfmon.exe (ok på den) och 2 st CTFMON.EXE trojan skit?

Angående Firefox ett fönster med flera flikar öppna

Tack för snabbt svar

Kollar vidare på 04-raderna

Lägg till eller ta bort program i kontrollpanelen funkar inte, fönstret kommer upp men inget fylls i?????????

Redigerad Januari 17, 2012 av jiz

[Cecilia]

Windows bryr sig inte om stora eller små bokstäver. Samtliga dina Ctfmon-filer är denna: http://www.systemlookup.com/Startup/2443-ctfmon_exe.html Det syns på vilken mapp filen ligger i.

94.245.121.234 är en IP-adress som tillhör Microsofts brittiska dotterbolag.

http://www.ip-adress.com/ip_tracer/94.245.121.234

http://www.hoovers.com/company/Microsoft_Limited/ryyxrti-1.html

Vet inte varför Esets program skulle ha något emot den. Den är inte svartlistad på något vanlig lista i alla fall: http://www.magic-net.info/blacklist_lookup/2011/94.245.121.234%20Blacklist%20lookup%20November%2022%202011.html

[Cecilia]

Du hade visst lagt till något medan jag skrev mitt förra inlägg.

Har du märkt av andra problem i Windows?

Har datorn blåskärmat lite då och då?

För då kan man ju misstänka något hårdvaruproblem eller generellt Windows-problem, men här är några sidor som tar upp problem med tomt "Lägg till och ta bort program":

http://www.technipages.com/xp-addremove-programs-doesnt-work-programs-list-is-blank.html

http://www.msfn.org/board/topic/53160-blank-addremove-programs/

http://support.microsoft.com/kb/266668

http://www.techspot.com/vb/topic22815.html

[jiz]

Nån blåskärm har man ju varit med om, men det var ett tag sedan.

Datorn blir "varm" fläktarna går igång å brummar som fan ibland.

Du skrev så här "Kan inte se något skadligt i din logg. Men det är ju inte mycket skadligt som syns i en HijackThis-logg." Kan man kolla upp det på något annat sätt?

Tack för hjälpen

[Cecilia]

Det var så lite så

Många datorer blir långsammare om de blir för varma, ett sätt att skydda processorn mot överhettning. När blåste du senast bort damm från kylflänsar och ventilationshål med hjälp av tryckluft på burk?

Följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går.