Norton antivirus lukker spontant ned!

Du har en virus der lukker alle mulige .exe filer osv tror jeg. Jeg har haft det. Gå ind på http://housecall.trendmicro.com/housecall/start_corp.asp og kør en gratis online virusscan og se om den finder noget snask...

men jeg scannede jo min PC fra Norton Antivirus CD'en inden installationen, men jeg kan da godt lige prøve...

Og husk at Norton skal activates.

tja beats me, men lyder ligesom den virus jeg havde. Lukker den også andre programmer? eller kun Norton.

trendmicro har lige fundet en orm! Jeg er ikke bekendt med om den lukker andre programmer endnu...

ok.

trendmicro checker stadig...

Den har fundet 3 filer, men de kan ikke slettes... fordi de er i brug, skriver den. Hvad så?

reslutatet:
BKDR SDBOT.GEN | Non Cleanable | C:Winnt\system32\winhlpp32.exe
BKDR SDBOT.GEN | CanNotAccess  | C:Winnt\system32\winupdate.exe
BKDR SDBOT.GEN | Non Cleanable | C:Winnt\system32\winhlpp32.exe.poly

prøv at tjekke her: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.h.html

Du skal have lukket virusen inde i taskmanageren hvis det kan lade så gøre og så få gang i norton og få den til at fjerne den. Du kunne ikke finde hvilken version af ormen det er? H? P? osv.

Jeg har i mellemtiden kørt en hijack-ting... her er logfilen af resultatet. Måske nogle kloge kan se noget i den...

Logfile of HijackThis v1.97.7
Scan saved at 14:49:22, on 19-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\winupdate.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINNT\explorer.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Documents and Settings\Lenette Andersen\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.dk/Default.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.0475578704
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



----------
kører lige eldred jonas's forslag...

den her kunne det nu godt være tror jeg.
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.moega.html

i bund og grund. Det gælder om at få lukket ormen midlertidigt så du kan få kørt norton så den kan tage den.

hvordan hulen får jeg lukket ormen midlertidigt?

Inde i taskmanageren er der én der hedder scchost.exe ? Hvis så prøv at lukke den.

nej, men 4 stk der hedder svchost.exe...

Her prøv at gøre som der står her:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.g.html

The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.


Reverse the changes that the Trojan made to the registry, and then restart the computer.
Update the virus definitions.
Run a full system scan and delete all the files detected as Backdoor.Sdbot.G.

For specific details on each of these steps, read the following instructions.

1. Reversing the changes that the Trojan made to the registry

CAUTION: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.

Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

Then click OK. (The Registry Editor opens.)

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In the right pane, delete the value:

"Svost Loader"="svost.exe"

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices

In the right pane, delete the value:

"Svost Loader"="svost.exe"

Exit the Registry Editor.
Restart the computer.

ok, men hvad menes der med dette:
"Reverse the changes that the Trojan made to the registry, and then restart the computer." ?

Det er det her:

Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

Then click OK. (The Registry Editor opens.)

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In the right pane, delete the value:

"Svost Loader"="svost.exe"

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices

In the right pane, delete the value:

"Svost Loader"="svost.exe"

Exit the Registry Editor.
Restart the computer.



Det er nogle ændringer ormen laver på compen som du så skal slette igen.

Hvis det er den version af ormen. Det ved jeg jo ikke, men tror det er.

ok... tager vidst lidt tid, vender tilbage når det er gjort.

Den lukker ned når jeg navigerer i regedit - når jeg kommer til mappen HKEY_LOCAL_MACHINE\SOFTWARE... så lukker den bare spontant :-( øv... noget er vidst helt galt.

Lol. Ikke så fedt. Tryk Ctrl+Alt+Del gå ind under processer. Se om der er en svost.exe du kan lukke og se om det hjælper med regediten. Ellers start din comp i safe mode og se om du ikke har fået lidt mere "slack" af ormen.

for at komme i safe mode genstart den mens du i opstarten trykker F8 som en tosset så kommer der en menu frem du kan vælge safe mode i eller fejlsikret tilstand eller hvad der nu står.

der er ingen svost.exe i task'en, men 4 svchost.exe, når jeg forsøger at lukke en af dem, går der MAX 3 sekunder, og så får jeg en prompt, som giver mig 60 sekunder til at gemme det jeg har gang i, og så genstartes computeren.

hvad hulen gør jeg nu!?

hvis der ligger noget lignende dem her i taskmanageren skal de også lukkes.(kan være compen lukker ned hvis de ikke lige skulle lukkes)

winhlpp32.exe
winupdate.exe
winhlpp32.exe.poly

jeg prøver at gå i safe mode...

Det her:

Lol. Ikke så fedt. Tryk Ctrl+Alt+Del gå ind under processer. Se om der er en svost.exe du kan lukke og se om det hjælper med regediten. Ellers start din comp i safe mode og se om du ikke har fået lidt mere "slack" af ormen.

For at komme i safe mode genstart den mens du i opstarten trykker F8 som en tosset så kommer der en menu frem du kan vælge safe mode i eller fejlsikret tilstand eller hvad der nu står.

ok.... nu er jeg i fejlsikret tilstand, og der er ingen problemer. Jeg finder ingen fil under "run" men jeg finder en anden fil, som åbner når jeg åbner windows: nwiz.exe, måske det kan være den... værdidataen: nwiz.exe /install

kan jeg prøve at slette den fil måske?

tror jeg ikke. Men nu får du updated norton og får kørt et full system scan. Så burde den forsvinde.

okay... det prøver jeg lige.

nwiz.exe /install nwiz 3 Setup for nvidia video chipset. nwiz.exe /install runs when you do the nview initial setup. If you have then it just exits. I believe that it stays in startup permanently in case any new users log onto the machine

nu vil norton slet ikke køre fra fejlsikret tilstand. Jeg har netop gennemført en liveupdate og genstartet den.

star i normal så start i fejlsikret. se om det virker

nå jeg skal smutte. Held og Lykke...

den vil ikke starte i hverken normal eller safemode...

Angående loggen fra HijackThis:

Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse:

O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe

----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Genstart i fejlsikret tilstand (F8 i opstart).  Find og slet:

C:\WINNT\System32\winupdate.exe >>>> filen winupdate.exe


Genstart almindeligt og send en ny log herind.

Få lukket DCom: http://www.spywarefri.dk/tipsogtricks.htm#DCom

Jeg vil også kraftigt råde dig til at få opdateret Windows og IE med Service Pack 1 m.m.: http://v4.windowsupdate.microsoft.com/da/default.asp

ok resist, jeg prøver lige din opskrift :o)

FANTASTISK
Jeg fik stoppet virusset og gennemført en komplet systemskan. Den fant følgende:

Dcll.exe
winhlpp32.exe
winupdate.exe.poly

De havde alle sammen virusset W32.HLLW.Gaobot.gen, og de er sat i karantæne... mere er der vidst ikke at gøre. resist, læg et svar også *s* nu kan jeg vidst godt aktivere systemgendannelse igen, eller?

Kopier en ny log fra HijackThis herind, så skal jeg se, om computeren er ren.

okay... den er igang med at scanne...

Logfile of HijackThis v1.97.7
Scan saved at 19:38:06, on 19-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lenette Andersen\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.dk/Default.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.0475578704
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Din log ser ren ud, og du må slå systemgendannelse til igen og sætte mappeindstillinger tilbage til oprindelige indstillinger.

Hjalp ”kuren”?

Her er et par links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://experten.dk/artikler/254

om kuren hjalp? - indtil videre ja. Jeg kan jo bl.a. køre norton uden problemer. Nu må vi se hvor længe det varer... man kan jo aldrig vide sig helt sikker *s*

Måske er det en god ide at tage en onlinescanning med Housecall og Bitdefender:

Housecall: http://housecall.trendmicro.com/
BitDefender: http://www.bitdefender.com/scan/license.php

Lad dem fjerne, hvad de finder.
Finder de ikke noget, er computeren sikkert ren.

Og så er det en rigtig god ide at få opdateret Windows og IE!

yes yes, tak for hjælpen :o)

Tak for point selv om det ikke virkede. Men havde du sagt gaobot virus så var det nemt. http://securityresponse.symantec.com/avcenter/FxGaobot.exe
Underligt at http://housecall.trendmicro.com/housecall/start_corp.asp ikke sagde det var den...

Jeg er bare glad for at slippe af med den, selvom det var en hård kamp :o) Men... nu ved jeg da hvad jeg skal gøre næste gang jeg støder på de samme symptomer.