kan ikke komme ind på symantec.com efter virus angreb.

Lad os se, hvad en HijackThis-log viser.

Hent Spybot og HijackThis:
http://www.spywarefri.dk/vaerktoj.htm

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer og genstart.

Derefter kører du Hijackthis > Scan > Save log. Kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, vi skal nok hjælpe med at tyde loggen.

Lytter lige med ;O)

andersenph, du kan bare klikke "Send" uden at skrive nogen kommentar, så lytter du med

Det tyder på at virusen har ændret i din HOSTS fil.
På windows 2000 ligger den her:
C:\WINNT\system32\drivers\etc\hosts

Den fil skal du åbne i notepad og eventuelt slette hvis der er tilføjet noget "forkert"

Eksempel:
127.0.0.1      localhost
127.0.0.1    www.symantec.com

den sidste skal slettes

altså filen hedder "hosts" uden nogen endelse

Hvis du kommer med loggen fra HijackThis, kan vi tjekke computeren for snavs!

Christian du havde ret! tjek denne hosts fil ud :D
(jeg venter lige lidt med at give point, hvis nu du/eller en anden, kan forklare det med windows update)

127.0.0.1    www.symantec.com
127.0.0.1    securityresponse.symantec.com
127.0.0.1    symantec.com
127.0.0.1    www.sophos.com
127.0.0.1    sophos.com
127.0.0.1    www.mcafee.com
127.0.0.1    mcafee.com
127.0.0.1    liveupdate.symantecliveupdate.com
127.0.0.1    www.viruslist.com
127.0.0.1    viruslist.com
127.0.0.1    viruslist.com
127.0.0.1    f-secure.com
127.0.0.1    www.f-secure.com
127.0.0.1    kaspersky.com
127.0.0.1    www.avp.com
127.0.0.1    www.kaspersky.com
127.0.0.1    avp.com
127.0.0.1    www.networkassociates.com
127.0.0.1    networkassociates.com
127.0.0.1    www.ca.com
127.0.0.1    ca.com
127.0.0.1    mast.mcafee.com
127.0.0.1    my-etrust.com
127.0.0.1    www.my-etrust.com
127.0.0.1    download.mcafee.com
127.0.0.1    dispatch.mcafee.com
127.0.0.1    secure.nai.com
127.0.0.1    nai.com
127.0.0.1    www.nai.com
127.0.0.1    update.symantec.com
127.0.0.1    updates.symantec.com
127.0.0.1    us.mcafee.com
127.0.0.1    liveupdate.symantec.com
127.0.0.1    customer.symantec.com
127.0.0.1    rads.mcafee.com
127.0.0.1    trendmicro.com
127.0.0.1    www.trendmicro.com


Min Hijack this Log ser sådan ud

Logfile of HijackThis v1.97.7
Scan saved at 15:28:59, on 15-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\totalcmd\TOTALCMD.EXE
C:\Programmer\Avant Browser\iexplore.exe
E:\backup\StrongDC\StrongDC.exe
E:\install\hijackthis.exe
C:\WINDOWS\System32\notepad.exe
C:\Programmer\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programmer\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [cvmonitor.exe] cvmonitor.exe
O4 - HKLM\..\Run: [Microsoft Messenger] msnmgr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger] msnmgr.exe
O4 - HKCU\..\Run: [Microsoft Messenger] msnmgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Bloker alle billeder fra den samme server - C:\Programmer\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download a&lt med ReGet Deluxe - C:\Programmer\Fælles filer\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download med Re&Get Deluxe - C:\Programmer\Fælles filer\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Marker forekomster af ord på denne side - C:\Programmer\Avant Browser\Highlight.htm
O8 - Extra context menu item: Søg på ord - C:\Programmer\Avant Browser\Search.htm
O8 - Extra context menu item: Tilføj til AD Black List - C:\Programmer\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Åben alle links på denne side... - C:\Programmer\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38152.6242013889
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

cvmonitor er røget!

Nu skal jeg kigge loggen igennem.

Opret en mappe kun til HijackThis. Placer HijackThis i denne mappe og kør programmet derfra.

Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

O4 - HKLM\..\Run: [cvmonitor.exe] cvmonitor.exe
O4 - HKLM\..\Run: [Microsoft Messenger] msnmgr.exe
O4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger] msnmgr.exe
O4 - HKCU\..\Run: [Microsoft Messenger] msnmgr.exe

----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Genstart i fejlsikret tilstand (F8 i opstart).  Brug Start > Søg. Find og slet:

cvmonitor.exe
msnmgr.exe (læg mærke til stavemåden!)

Genstart almindeligt og send en ny log herind til tjek

Du kan roligt slette alt det som der står i din HOSTS fil... dog ikke linjen 127.0.0.1 localhost
Hvis der altså er sådan en linje

Christian: det havde jeg allerede gjort :D

resist: jeg havde fået fjernet alle filerne, havde bare lige "misset" de sidste henvisninger i registringsdatabasen, men tak for hjælpen.

jeg lader den lige stå til i morgen eftermiddag, hvis der nu skulle være nogle som havde et svar på det med windows update siden.

Kom med en ny log fra HijackThis, så skal jeg se om loggen er ren.

Resist: den er ren! der er kun programmer som jeg selv har installeret.

men jeg sytnes det er sygt at man kun skal være koblet på nettet (uden at surfe) 1 min. før man har fået diverse viruser og spy programmer.

jeg var kun koblet på for at få windows, firewall og antivirus opdatere, det lykkedes så ikke, da jeg havde fået virus inden jeg nåede det :D

Hvis du er sikker på, at alt ”snavs” er væk fra computeren, er alt jo godt ;-)

Her er et par links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://experten.dk/artikler/254