Programmer startes automatisk sammen med XP

Startmenu->Kør: msconfig klik start :)

http://www.spywareinfo.dk/index.htm#/tip-og-tricks/msconfig.htm

og/eller: Startmenu->Kør: Regedit

Hkey_local_machine/Hkey_current_user/Software/Microsoft/Windows/Currentversion/Run

ehm..
Hkey_current_user/Software/Microsoft/Windows/Currentversion/Run
Hkey_local_machine/Software/Microsoft/Windows/Currentversion/Run

mente jeg :)

Der findes mange programmer til at se det med.
Blandt andet Spybot search and destroy kan mange ting ;)

autoruns fra sysinternals er også en god ting at have ved hånden

/Mazter

Der er nu mange andre steder, hvor filer kan lægge sig i autostart. En god liste findes her:

http://forums.subratam.org/index.php?s=0add5ddeb5aa599eb1521e1462945d6a&showtopic=1063&st=0&#entry47428

Programmer som Hijackthis og SilentRunners er gode til at afdække alle autostart-filer. Hvis du kører Hijackthis, vælger "Misc Tools", får du et punkt hvor du kan "Generate a startup list". Den er ret grundig.

Det ultimative program er imidlertid Merijn's Startuplist, som kan findes her:
http://www.merijn.org/

Jeg prøvede engang at lave en log af min egen computer -- den fyldte 267 k !!!

Direkte link til Startuplist:
http://www.spywareinfo.com/~merijn/files/startuplist.zip

Må sq tage hatten af for Merijn's Startuplist... må jeg lige gemme :)

Startuplist kan også bruges til at ændre på opstarterne.

Hej alle
Tak for de mange svar.

Jeg har fulgt ejvindh's forslag om at bruge hijackthis. Den liste som kommer du af det kommer her, er der noget jeg bør rette?

mvh
mogens

StartupList report, 07-08-2006, 23:10:26
StartupList version: 1.52.2
Started from : C:\Documents and Settings\Mogens.STUEN\Skrivebord\hijackthis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FLLESF~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmer\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\FLLESF~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Mogens.STUEN\Skrivebord\hijackthis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Mogens.STUEN\Menuen Start\Programmer\Start]
SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe

Shell folders Common Startup:
[C:\Documents and Settings\All Users.WINDOWS\Menuen Start\Programmer\Start]
Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
AceGain LiveUpdate = C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
TkBellExe = "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
BluetoothAuthenticationAgent = rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
PCSuiteTrayApplication = C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer = C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
QuickTime Task = "C:\Programmer\QuickTime\qttask.exe" -atboottime
SunJavaUpdateSched = C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
Steam = C:\Programmer\Valve\Steam\Steam.exe -silent
PcSync = C:\Programmer\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
tunebite.exe = D:\Programmer\tunebite\tunebite.exe -hidden

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
SpywareGuard Download Protection - C:\Programmer\SpywareGuard\dlprotect.dll - {4A368E80-174F-4872-96B5-0B27DDD11DB2}
(no name) - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

--------------------------------------------------

Enumerating Task Scheduler jobs:

A3FED46591C552B1.job
AF446E1790CBE0EB.job

--------------------------------------------------

Enumerating Download Program Files:

[Minesweeper Flags Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx
CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Solitaire Showdown Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\solitaireshowdown.dll
CODEBASE = http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #5: C:\WINDOWS\system32\wshbth.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
UPnPMonitor: C:\WINDOWS\system32\upnpui.dll

--------------------------------------------------
End of report, 6.455 bytes
Report generated in 0,190 seconds

Command line options:
  /verbose  - to add additional info on each section
  /complete - to include empty sections and unsuspicious data
  /full    - to include several rarely-important sections
  /force9x  - to include Win9x-only startups even if running on WinNT
  /forcent  - to include WinNT-only startups even if running on Win9x
  /forceall - to include all Win9x and WinNT startups, regardless of platform
  /history  - to list version history only

HOVSA - Hvis det er rigtigt at du har disse liggende:

Enumerating Task Scheduler jobs:
A3FED46591C552B1.job
AF446E1790CBE0EB.job

... så er F***** løs mht 'snavs'/virus !!!

Den må <ejvindh> vist ta' sig af ...

Ja, der er i det mindste nogle rester af spyware, som bør fixes.

Klik på Start-Kontrolpanel-Planlagte Opgaver. Klik på Avanceret, og marker "Se skjulte jobs". Slet herefter disse jobs:
A3FED46591C552B1.job
AF446E1790CBE0EB.job

Hent også denne lille fil: http://www.fbeej.ctrlaltdel.dk/Programmer/fl.zip
Pak fl.zip ud og dobbeltklik på fl.bat - Notesblok åbner en lille tekstfil du skal kopiere herind.

Endelig vil jeg også gerne se en almindelig log fra Hjt :-)

Hej igen, jeg har prøvet at følge dine anvisninger ejvindh. Jeg er glad for du vil tage dig tid til at kigge på det.

mvh
Mogens


Jeg har slettet:

A3FED46591C552B1.job
AF446E1790CBE0EB.job

fæ.bat fra noteblok:

Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\Documents and Settings\Administrator\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\Documents and Settings\All Users\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\Documents and Settings\pr›ve\Application Data

03-11-2005  20:03    <DIR>          Identities
03-11-2005  20:03    <DIR>          Macromedia
03-11-2005  20:03    <DIR>          Real
              0 fil(er)                0 byte
              3 mappe(r)  1.607.196.672 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\Documents and Settings\Default User\Application Data

07-12-2004  01:01    <DIR>          .
07-12-2004  01:01    <DIR>          ..
07-12-2004  01:01                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  1.607.192.576 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues

Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 09:39:07, on 08-08-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\FLLESF~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\FLLESF~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmer\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mogens.STUEN\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/ig?hl=da
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [PcSync] C:\Programmer\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [tunebite.exe] D:\Programmer\tunebite\tunebite.exe -hidden
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ok, det var så kun en rest. Der er ikke mere skidt i loggen. Du bør dog overveje at få installeret et AntiVirus-program. :-)

Tak til alle for mange seriøse og hurtige svar.

Jeg har fordelt pointene skævt. Tak for henvisningen til "msconfig". Men det blev ejvindh som tog det store slæb.

mvh
Mogens

Jeg ved godt det med antivirusen ejvindh.

Men computeren er gammel, og har svært ved at slæbe et antivirusprogram.

Kører antivirus sammen med outlook og et lidt større dokument i word eller powerpoint kigger jeg alt for ofte på timeglas :-(

Og det går indtil videre (sagde manden der var faldet ud fra højhuset, da han passerede 5. sal) efter jeg på din tildligere anbefaling har fået installeret beskyttelse mod spyware og firewall.

mvh
Mogens

Ja, ok. Bare du så er opmærksom på at få taget nogle gode backups (og gemmer gamle backups, i tilfælde af, at du skulle komme til at lave en backup med inficerede dokumenter), og ikke har følsomt materiale på computeren, så er det jo en risiko, man kan vælge at tage.

Jeg takker for point :-)