Kandu.dk - AVG antivirusgrogram


/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

MS Windows

#	Navn	Point
1	Klaudi	76474
2	o.v.n.	67550
3	refi	58409
4	tedd	45557
5	Manse9933	45149
6	molokyle	40687
7	miritdk	38357
8	briani	27239
9	BjarneD	26414
10	pallebhan..	24310

AVG antivirusgrogram
Fra : Er ikke online

clausbn

Vist : 536 gange
100 point
Dato : 21-10-03 23:31

Mit antivirusprogram AVG har fanget en virus (trojan horse Tgdc.a) healet den osv osv. Problemet er nu, at der med jævne mellemrum popper et vindue op, hvor der står, at nævnte virus er fundet. endvidere står der F:\system volume information\-restore og så en masse tal og bogstaver efterfulgt af exe.
Er der nogen der ved, hvad jeg skal gøre for at undgå at nævnte vindue popper op ?

Kommentar
Fra : Er ikke online

tedd

Dato : 21-10-03 23:36

Prøv at køre en online scan hos http://housecall.antivirus.com/housecall/start_corp.asp

Kommentar
Fra : Er ikke online

pallebhansen Tre en halv stjerne

Dato : 22-10-03 00:36

Ja de mange tal og bogstaver.exe skal du lede efter, i søg/alle filer og mapper på f-drevet, filen ligger nok i det bibliotek den siger: F:\system volume information\-restore
Så få AVG til at skanne hele din comp. eller kun i mappen på f-drevet der hedder: F:\system volume information\-restore
Altså nævnte virus har lagt sig ind i det bibliotek, og så få AVG til at heale, eller fængsle eller sætte i karentæne (quarantine), eller slette.
VH Palle Hansen

Kommentar
Fra : Er ikke online

natmaden

Dato : 22-10-03 04:27

Filen er havnet i din database til system-gendannelse, du kan måske gå til systemgendannelse, og finde det gendannelsespunkt den ligger i, og fjerne dette, men du skal mugligvis deaktivere systemgendannelse først, det kan også være at agv kan fjerne den ,når databasen er deaktiveret.
Forresten bruger jeg win-me , men formoder at det er ca. den samme måde i xp
Håber at det hjælper lidt på vej !
Mvh.
Natmaden

Kommentar
Fra : Er ikke online

arlet

Dato : 22-10-03 09:06

Hvis du ikke kan finde problemet med overnævnte løsningsforslag, så kan jeg fjerne den manuelt ved hjælp af 2 programmer

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:

http://www.spywarefri.dk/hijackthis.man.htm

Arlet

Kommentar
Fra : Er ikke online

clausbn

Dato : 22-10-03 09:40

Jeg har nu kørt hijackthis og gemt loggen. Den lyder som følger:

Logfile of HijackThis v1.97.3
Scan saved at 09:25:46, on 22-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
F:\WINDOWS\System32\Syscm.exe
F:\WINDOWS\System32\sawtm.exe
F:\WINDOWS\System32\suninsto.exe
F:\Programmer\Internet Explorer\iexplore.exe
F:\Programmer\Fælles filer\Real\Update_OB\rnathchk.exe
F:\Documents and Settings\claus nielsen\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "F:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WT GameChannel] F:\Programmer\WildTangent\Apps\GameChannel.exe
O4 - HKLM\..\Run: [syscm] F:\WINDOWS\System32\Syscm.exe
O4 - HKLM\..\Run: [suninsto] F:\WINDOWS\System32\suninsto.exe
O4 - HKLM\..\Run: [sawtm] F:\WINDOWS\System32\sawtm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: F:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.marketdart.com/promo/200211aer/md_er_200211aer.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/bcd48c18cb7498/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

M.v.h.

Claus

Kommentar
Fra : Er ikke online

arlet

Dato : 22-10-03 10:02

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O4 - HKLM\..\Run: [TkBellExe] "F:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

----------------------------------------------------------------------------------
Kender du de her, hvis ikke skal de også fixes:

O4 - HKLM\..\Run: [syscm] F:\WINDOWS\System32\Syscm.exe
O4 - HKLM\..\Run: [suninsto] F:\WINDOWS\System32\suninsto.exe
O4 - HKLM\..\Run: [sawtm] F:\WINDOWS\System32\sawtm.exe

Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:

kender du de her, hvis ikke skal de slettes:

F:\WINDOWS\System32\Syscm.exe
F:\WINDOWS\System32\sawtm.exe
F:\WINDOWS\System32\suninsto.exe

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må de aktiver din systemgendannelse igen.

Arlet

Kommentar
Fra : Er ikke online

janpoulsen

Dato : 22-10-03 12:22

avg er et dårligt virus program,når den ikke kan fjerne din virus.
prøv at bruge antivir, se på www.avirus.dk avg har fået en dårlig omtale
har selv kørt med avirus, og har aldrig haft nogle problemer.
DEn er lidt svær at sætte op, men jeg hjælper dig gerne.
Du må gerne ringe eller skrive.
tell-35263806- thai@poulsen.tdcadsl.dk

Kommentar
Fra : Er ikke online

clausbn

Dato : 22-10-03 13:29

Til Arlet.

Nu har jeg gjort som beskrevet og loggen ser således ud:

Logfile of HijackThis v1.97.3
Scan saved at 13:22:12, on 22-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\WINDOWS\System32\_936c.exe
F:\Programmer\Internet Explorer\iexplore.exe
F:\Documents and Settings\claus nielsen\Lokale indstillinger\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WT GameChannel] F:\Programmer\WildTangent\Apps\GameChannel.exe
O4 - HKLM\..\Run: [_936c] F:\WINDOWS\System32\_936c.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: F:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.marketdart.com/promo/200211aer/md_er_200211aer.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/bcd48c18cb7498/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

M.v.h.

Claus

Accepteret svar
Fra : Er ikke online

arlet

Modtaget 100 point
Dato : 22-10-03 14:18

du skal på den igen.

Denne er dukke op siden første log og skal fixes:

O4 - HKLM\..\Run: [_936c] F:\WINDOWS\System32\_936c.exe

Genstart i fejlsikret og slet :

F:\WINDOWS\System32\_936c.exe

genstart almindeligt og smid en ny log herind.

Arlet

Kommentar
Fra : Er ikke online

clausbn

Dato : 22-10-03 15:14

Til Alret

Hermed en ny log. Det med at starte XP i fejlsikret tilstand lykkedes ikke for mig, men jeg har fundet filen i stifinder og fjernet den.
Loggen ser således ud nu:

Logfile of HijackThis v1.97.3
Scan saved at 15:03:53, on 22-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Documents and Settings\claus nielsen\Lokale indstillinger\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WT GameChannel] F:\Programmer\WildTangent\Apps\GameChannel.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: F:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.marketdart.com/promo/200211aer/md_er_200211aer.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/bcd48c18cb7498/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Claus

Kommentar
Fra : Er ikke online

tedd

Dato : 22-10-03 15:30

dine restore folders er aktive når du har systemgendannelse til. Derfor kan man ikke fjerne virus i disse foldere og det gælder alle antivirusprogrammer! Måden man skal gøre det på er som natmaden har været inde på. Gå ind i kontrolpanel >> system >>systemgendannelse, slå systemgendannelse fra og kør dit antivirusprogram. Så skulle det virke!

Godkendelse af svar
Fra : Er ikke online

clausbn

Dato : 22-10-03 20:51

Tak for svaret arlet.
Popup vinduet har ikke vist sig siden.

Kommentar
Fra : Er ikke online

clausbn

Dato : 22-10-03 20:57

Også tak til Tedd for det gode råd her til sidst. Om det virker på min PC´er ved jeg ikke, men det lyder som et rigtigt godt tips. Skulle jeg komme ud for lignende situation (hvilket jeg ikke håber) så vil jeg prøve din metode.

M.v.h.

Claus

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.

Søg

Reklame

Statistik

Spørgsmål :	177554
Tips :	31968
Nyheder :	719565
Indlæg :	6408857
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste