Norton AntiVirus 2003

norton ligger ved siden af uret i systray
klin på den og så kan du gå ind i den

Lyder som en virus jeg have engang, den lukkede Norton Antivirus hver gang jeg startede den op.
Jeg fik den fjernet ved at installer PC-cillin, så måske hjælper det dig.

Du kan downloade en demo her:
http://www.trendmicro.com/en/products/desktop/pc-cillin/evaluate/trial.htm

Til spg10> Hvor finder jeg "systray"
Til mrtux> Jeg har forsøgt at downloade som anført, og har fået den besked, at der vil komme en email med et link. Den er imidlertid ikke kommet endnu.

Er det i orden med 15 til hver. Jeg førsøgte at give jer hver 30, men det kunne tilsyneladende ikke lade sig gøre.
Hvad betyder iøvrigt "Standard"

Mailen kom ret hurtig, da jeg have problemet, så prøv igen :o)
Systray = de ikon'er nede ved uret.

Du skal da ikke give point endnu, vi har jo ikke fundet dit problem :o)

Hvis du ikke har haft et virus prg. før, så kan du godt have en virus. Gå ud og onlinescanne for virus her: http://www.pandasoftware.com/activescan/

Den både finder og fjerner virus hvis du har det. Vend tilbage med svar på dette.

Jeg trykkede på "Scan your PC" og den har nu kørt et par timer.
Det ser ud som om den bare kører. Har jeg gjort noget forkert?

da du trykkede på "scan your pc" kom der et nyt vindue frem, hvor du trykkede på "next", og du blev bedt om at indtaste din mail, bare for at være helt sikker. og så bad du den om at scanne my computer. 2 timer lyder af lidt længe, men det kan godt tage nogen tid

http://housecall.trendmicro.com/

ellers prøv denne

Jeg kørte sur i det i aftes, men startede med fornyet mod i formiddags. Jeg startede med som anbefalet at aktivere de tre link som mrtux, aovergaard og c-holst havde lagt som svar. Da de var "kørt" afinstallerede jeg først Norton (for en sikkerheds skyld) hvorefter installationen gik glat (med ikon på systræ som anført af spq10). Jeg ville faktisk gerne give jer alle 4 30 points, men hvordan gøres det. Under alle omstændigheder: Mange tak for hjælpen!!

du kan jo bede os lægge et svar og så øge antalet af point oppe til venstre under funktioner. men 120 point det er da rigeligt pænt at dele ud 60 er vel pænt nok for et et alm ?.
Du kan holde skifttasten nede og markere dem der skal have point, så deles de automatisk ud.

men aller først vil vi gerne være sikre på at tingene kører som de skal. Fandt du fx noget lusk med de onlinescanninger?

Til c-holst.
Jeg vender tilbage i morgen, søndag. For godt nok "kører" Norton, men tilsyneladende er der et par (eller 3) virus (eller hedder det vira i flertal?) den ikke kan fjerne. God nat!!

Når du vender tilbage så fortæl lige hvad de virus hedder, så skal vi hjælpe dig med at få dem væk.

Kan ingen scanner fjerne dem, så kan jeg køre noget der hedder Hijackthis med dig, og så kan vi finde dem og få dem fjernet den vej.

Scanningsdrapporten siger, at der er 3 inficerede filer, som alle er inficeret med samme virus "W32.Elkern.4926" og at status er, at Reparationen mislykkedes.

http://securityresponse.symantec.com/avcenter/venc/data/w32.elkern.4926.html Her har du information og removal til den virus.

og derfra bliver du sendt herhen: http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html
Det er en variant af Klez virus.

Hvis det nu viser sig at du ikke kan få den væk, men det skulle du kunne med Klez, så fjerner vi den med Hijackthis. Men tag dette her først, for det skulle kunne snuppe dem.

Jeg har besøgt linket 12:12:29 og mener at have gjort, som der foreskrives. Men når jeg derefter skanner med norton, er W32.Elkern.4926 stadig tilbage.

Har du husket at deaktiver din systemgendannelse? Ellers komme virus nemlig straks tilbage. Ellers må du lige gøre det, og så køre den removal igen. Vend tilbage med svar på det.

Hvordan deaktiverer man systemgendannelsen?

http://www.spywarefri.dk/virus.htm#alle

Linket 09:58:34 omtaler desværre kun ME og XP. Jeg har forsøgt på min W2K (Denne Computer - Egenskaber -Avanceret -Indstillinger til ydeevne - ? )
Så jeg er stadig ikke i stand til at deaktivere.

ok, man kan ikke deaktive 2k men så kan virus heller ikke gendanne sig automatisk, så det er da altid noget. Derfor kan du kun se de to andre styresystemer omtalt.

Men hvis du stadig har virus:
Du skal installere to små programmer på din computer. Det ene hedder Spybot og det andet HijackThis. Begge programmer finder du under værktøjer på Spywarefri.
http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Når du har installeret Spybot, skal du som det første hente de sidste nye opdateringer til programmet. Derefter skal du køre en scanning med Spybot, og fjerne alt det snavs, som det eventuelt finder.
Derefter skal du installere og køre HijackThis. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen, og læg en kopi herind.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Er først hjemme efter kl 19 i morgen, har undervisning hele dagen, men får du lagt det ud omkring middag, så har jeg et par mellemtimer hvor jeg kan kigge på din log, ellers bliver det først senere i morgen aften.

Vedr.
Anvisningerne 21/10-2003 01:02:26
Det tog mig nogen tid at læse - forstå (håber jeg til bunds) -downloade installere og scanne.
Men her er resultatet. Håber det kan forstås af en "ekspert" :

Logfile of HijackThis v1.97.3
Scan saved at 18:07:18, on 23-10-2003
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmer\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\ctfmon.exe
C:\DOCUME~1\KLAUSM~1\LOKALE~1\Temp\mCodex\ClientInstalls\msi3F.tmp\msi40.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf[1]: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37910.3649421296
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Du skal nu til at i gang med at fixe. Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Det var ikke slemt. De tre var ikke rigtig noget, men alligevel skal de ikke ligger der. Til gengæld er den sidste jeg fixer snavs som skal væk.

Genstart din computer. Ny log, kopier herind, men det skulle kunne gøres med denne ene gang. Du kan også selv tjekke om dem du har fixet nu også er væk.

Det ser ud til at målet er nær efterhånden, så jeg vil gerne være sikker på at have forstået instruksen korrekt.
Så vidt jeg kan se er jeg nødt til at køre HijackThis igen (klik HijackThis.zip på skrivebord - derefter i det nye billede klik HijackThis.exe hvorefter det kører, og der fremkommer et nyt billede, hvor jeg kan vinge af).

Ja det er fuldstændig rigtig forstået. *S*

TAK! :)

Logfile of HijackThis v1.97.3
Scan saved at 14:55:25, on 25-10-2003
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmer\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\ctfmon.exe
C:\WINNT\System32\mCodexDLLStub.exe
C:\DOCUME~1\KLAUSM~1\LOKALE~1\Temp\mCodex\ClientViewsUpdates\msi2.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf[1]: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37910.3649421296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Det ser fint ud. Den log er ren.

For en ordens skyld kørte jeg Norton. Den kom desværre med meddelelsen:
"Scanningsdrapporten siger, at der er 3 inficerede filer, som alle er inficeret med samme virus "W32.Elkern.4926" og at status er, at Reparationen mislykkedes (direkte kopieret fra 19/10 12:12:29)".

De 3 filer har Norton sat i karantæne. Gå ind og se efter om det ikke er rigtigt. Du kan bare slette dem fra karantæne - altså delete. Så er de væk.

Jeg beklager, at der er gået så lang tid. Jeg er flyttet (har skiftet bolig) og det tog længere tid at komme i orden, end jeg havde regnet med - dels inventar og dels forbindelsen til kabelmodem. Men en ny skanning med Norton viser stadig,  at flg enheder er inficeret med "W32.Elkern.4926" : "admin.exe", "fp98sadm.exe" og "fp98swin.exe" og Status er "Reparationen mis...". Jeg har forsøgt at trykke på 'slet', men det kan jeg ikke få lov til.

Takker for point;) Men har du fået det væk nu. dem du ikke har kunnet få fjernet? ellers findes der et prg. som kan slette sådanne filer.

Herunder er en kopi af de 3 inficerede filer. Når jeg forsøger at reparere kommer status meddelelsen: Reparation mislykkedes!
Den komprimerede fil admin.exe i C:\WINNT\ServicePackFiles\i386\fp40ext.cab er inficeret med virusen W32.ElKern.4926.
Den komprimerede fil fp98sadm.exe i C:\WINNT\ServicePackFiles\i386\fp40ext.cab er inficeret med virusen W32.ElKern.4926
Den komprimerede fil fp98swin.exe i C:\WINNT\ServicePackFiles\i386\fp40ext.cab er inficeret med virusen W32.ElKern.4926.

http://spywarefri.dk/onlinevark.htm
Prøv lige at onlinescanne både med Housecall og Panda.
Hvis de også giver noget, må vi se at finde dem.

Har skannet med PandaActiveScan. 69.343 filer blev skannet. Heraf var 6 inficeret, og 3 blev rettet. Panda skriver "Click on View report...". Hvor.?
De 69.343 UNDRER MIG LIDT. Jeg mener kun, der plejer at være ca 58.000 når jeg skanner med Norton.