w32..nimda.enc

http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

det skal siges at det ikke kun er i den fil, og når jeg prøver at finde den fil, findes den ikke!

Så må vi finde den manuelt.

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...


Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

super... jeg er igang

når jeg har scannet m hijackthis, hvordangemmer jeg så i en log???

Klik på knappen Save log, så bliver den gemt som hijackthis.log, åbn den så med notepad og kopier den herind.

http://www.spywarefri.dk/hijackthis.man.htm
Vejledning.

glem det... kopierer oversigten om lidt

Fromsej min gamle ven... Fedt at du også lige kiggede forbi

Logfile of HijackThis v1.97.7
Scan saved at 20:08:24, on 20-11-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmer\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\Documents and Settings\MB\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0406/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0406&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0406&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0406&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0406&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0406&s=search&ap=b204
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmer\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmer\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Så er der dømt sort snak ;-)

Lidt pinligt jeg ikke kunne se den store "gem log" knap

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virus.htm#alle

Kør Hijackthis, scan, sæt flueben ved linien listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart.

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Det løser ikke dit nimda problem, men det burde Stinger klare for dig, bare husk at have systemgendannelse deaktiveret.
http://vil.nai.com/vil/stinger/

stinger søger og søger........

Hvis ikke Stinger finder noget, og fjerner det, så skal du nok prøve et par onlinescannere, f.eks Panda og Housecall.
http://spywarefri.dk/onlinevark.htm

Kære Fromsej,
Der er tilsyneladende ikke fundet nogen inficerede filer???

Hvad Gør jeg nu?

Onlinescan, ellers skal du prøve at slå "Vis alle filer" til i Funktioner=>Mappeindstillinger=>Vis, og så se om du kan finde den .eml, brug Start=>Søg.

er igang med onlinescan... men det tager mega lang tid

ingen gevinst :(

Vi giver denne en change

Tag et onlinescan med RAV http://www.ravantivirus.com/scan/

Øverst skriver du at det er din pc der siger du har en virus????

er det ikke et antivirus, der siger det??

hvis det er, hvilke antivirusprogram??

Kør bare den scan og glem det sidste indlæg..

Har set at det var norton..

Hvad gør norton med den, sætter den i karantæne??

arlet, det er Norton der kommer op med at der er fundet den der fejl, og den ikke kan reparere den... Så kommer der en ny textbox op, og siger at adgang til filen er nægtet

Ok, er i gang med at online scanne

*S*Har du kørt den RAV??

ok

bliver nødt til at lade det køre... Jeg vender tilbage i morgen...
Tak for hjælpen for nu!

Det er bare i orden

Scan started at 20-11-2003 21:42:15

Scanning memory...
Scanning boot sectors...
Scanning files...

Scanned
============================
    Objects: 34644
    Directories: 2129
    Archives: 6328
    Size(Kb): -1466478
    Infected files: 0

Found
============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 213

Der er sgu tilsyneladende ikke noget der fanger den....

Har også kørt panda online uden held....

Nå men godnat!

Vi ser i morgen

Det gør vi helt sikkert, vi skal nok få den væk, når vi har samlet kræfter...

Hvis ingen af de scannere finder den virus så er det fordi du ikke har den. Det ser ud til at Norton siger den ligger i denne fil: C:MY documents..../yet to be played.eml
Det er en ting som du har fået ind via dit email prg. og som du måske har ladet være med at åbne for, og derfor har du den ikke, og også derfor ingen onlinescannere finder den. Gå til den adresse og fjern den fil manuelt, eller hent Dr.Delete og skriv stien i det tomme rum, så klare Dr.Delete ærterne for dig. Du finder det prg. her: http://www.spywarefri.dk/tipsogtricks.htm#dr.delete

aovergård,
Det kunne måske være... Jeg får for tiden en masse mails med virusen "Don't be late"
Dem sletter jeg naturligvis, men problemet er først opstået herefter!
Hvad gør jeg fremover for at undgå dette????

Dato: 20-11-2003, Kl.: 18:11:24, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\BILLEDER\BILLEDEKSEMPLER\desktop.eml
er inficeret med virusen W32.Nimda.enc.
Kan ikke reparere denne fil.


Dato: 20-11-2003, Kl.: 18:11:24, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\BILLEDER\BILLEDEKSEMPLER\desktop.eml
er inficeret med virusen W32.Nimda.enc.
Adgang til filen blev nægtet.


Dato: 20-11-2003, Klokkeslæt: 18:25:26, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 18:25:40, MB på BLACK
Virusskanningen blev annulleret.

Dato: 20-11-2003, Klokkeslæt: 18:25:56, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Kl.: 18:35:44, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\BILLEDER\fresh tracks.eml
er inficeret med virusen W32.Nimda.enc.
Kan ikke reparere denne fil.


Dato: 20-11-2003, Kl.: 18:35:44, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\BILLEDER\fresh tracks.eml
er inficeret med virusen W32.Nimda.enc.
Adgang til filen blev nægtet.


Dato: 20-11-2003, Klokkeslæt: 18:53:04, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        1
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        1
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        94103
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Kl.: 19:00:20, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\MUSIK\MP3\NYESTE\fresh tracks -- yet to be played.eml
er inficeret med virusen W32.Nimda.enc.
Kan ikke reparere denne fil.


Dato: 20-11-2003, Kl.: 19:00:20, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\MUSIK\MP3\NYESTE\fresh tracks -- yet to be played.eml
er inficeret med virusen W32.Nimda.enc.
Adgang til filen blev nægtet.


Dato: 20-11-2003, Klokkeslæt: 19:16:00, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 19:16:00, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        1
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Klokkeslæt: 19:18:38, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 19:18:38, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        1
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Klokkeslæt: 19:18:38, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 19:18:38, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        1
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Kl.: 19:19:44, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\MUSIK\MP3\SVEDBANKEN\music tracks with content protection.eml
er inficeret med virusen W32.Nimda.enc.
Kan ikke reparere denne fil.


Dato: 20-11-2003, Kl.: 19:19:44, Gæst - BLACK
Filen
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\MUSIK\MP3\SVEDBANKEN\music tracks with content protection.eml
er inficeret med virusen W32.Nimda.enc.
Adgang til filen blev nægtet.


Dato: 20-11-2003, Klokkeslæt: 21:06:54, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 21:06:54, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        11
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Klokkeslæt: 21:31:02, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 21:31:06, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        6
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Klokkeslæt: 21:40:48, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 21:40:52, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        7
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Klokkeslæt: 22:39:46, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 22:39:48, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        27
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 20-11-2003, Klokkeslæt: 22:40:36, MB på BLACK
Virusskanningen er startet.

Dato: 20-11-2003, Klokkeslæt: 22:40:38, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        27
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Dato: 21-11-2003, Klokkeslæt: 13:27:24, MB på BLACK
Virusskanningen er startet.

Dato: 21-11-2003, Klokkeslæt: 13:27:24, MB på BLACK
Virusskanningen er færdig.
Master-bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Bootblokke:
    Skannet:        0
    Inficeret:        0
    Repareret:    0
Filer:
    Skannet:        1
    Inficeret:        0
    Repareret:    0
    I karantæne:    0
    Slettet:        0

Ovenstående er ern kopi af loggen... Den siger at der jo er flere filer der er inficeret...

Har lige forsøgt at slette stien
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOKUMENTER\BILLEDER\BILLEDEKSEMPLER\desktop.eml
jvf første filadvarsel i loggen, dr. delete siger at filen ikke findes???
Meget mærkeligt... hjælp!

Du skal lige hente stinger, den skulle kunne fjerne din Nimda virus. Du finder den her: http://vil.nai.com/vil/stinger/

Vend tilbage med resultatet.

Har forsøgt med Stinger, den fjernede ikke problemet...
Har lige opdateret Norton, prøver lige at scanne...

Nu siger Norton at der ikke er nogen inficerede filer!
Det lader til at RAV har snuppet den!!

Tak til jer alle for hjælpen, og mine point går i denne omgang til Arlet.

Rigtig god weekend

Det var vist en deler

Aovergaard og fromsej ->http://www.eksperten.dk/spm/430777