modemkapning

[ruud]

Hej

 

Har råkat ut för modemkapning, troligtvis när min son var inne på SNYGGAST.se. Ett meddelande kom upp "**** your modem".

 

Kan man köra Hijackthis och är det då någon som kan hjälpa mig att tyda logfilen?

 

Eller skall man göra något annat?

 

tacksam för svar///Ruud

 

[mrworm]

Skulle nog kolla burken på virus, köra adaware och sen installera programmet mot modem kapning, innan jag ringer upp igen.

Kanske även ta bort modem-profilen och göra om den.

 

Lycka till!

MW

http://sierra4x4.has.it

 

[ruud]

hej igen

tack för snabbt svar.

 

men hur tar man bort modem-profilen och gör om den.

 

mvh///Ruud

 

[mrworm]

Den finns nånstans under nätverkskopplingar. Har inget modem här så jag kan inte kolla.

 

 

[Verisa]

Hej!

Om du inte redan vet det så tänkte jag passa på att informera om programet "bluffstopparen" som hindrar att någon kapar modemet. Finns på konsumentverkets hemsida:

 

http://www.konsumentverket.se/mallar/sv/lista_artiklar.asp?lngArticleID=3189&lngCategoryID=1483

 

[[Esc]]

Bluffstopparen fungerar inte i Win 9*/ME

 

Kerio personal firewall har den funktionaliteten (att stoppa modemkapning) och är dessutom en vrandvägg.

http://www.kerio.com/us/kpf_home.html

--

[Esc]

 

[ruud]

Jag har XP.

 

Måste man få bort massa skit innan man installerar bluffstopparen?

 

mvh Ruud

 

[Johan S Stenström]

Nej. Men om du har skit kanske en fullständig ominstallation vore det bästa. Bluffstopparen varnar om annat än ditt modempoolsnummer rings upp.

 

 

mvh johan

 

[ruud]

Hej igen

 

Jag vet inte om jag har massa skit!

Vet inte hur modemkapning fungerar; finns det kvar på datorn som ett program, eller?

Det är det jag menar med skit, för övrigt finns det inget annat om inte adawere har missat något.

 

mvh Staffan

 

[Johan S Stenström]

Modemkapning är att ett litet program kopplar om ditt telefonnummer till en svindyr server. Du kan få en fråga om du vill installera och köra ett program. Jag personligen tror att det kan gå till utan att man tillfrågas ibland. Verkar väldigt skumt. Nu är det visst någon dom som gör att det inte lönar sig att vara modemkapare. Det handlar för det mesta om porrföretag som ägnar sig åt detta. Som sagt kan man luras att ovetandes koppla om telefonen till ett betydligt dyrare nummer. Det finns program för att stoppa detta.

 

mvh johan

 

[ruud]

Okey

 

men räcker det att installera Bluffstopparen från Konsumentverket för att bli av med programet eller måste man göra något annat för att bli av med det?

 

mvh Ruud

 

[Johan S Stenström]

Inte för att bli av med programmet, utan att förhindra det från att utföra sin gärning att koppla om telefonen.

För att bli av med programmet får du leta efter program du inte känner igen namnet på och dra bort det. Någon annan kan nog svara bättre på om programmet fortfarande finns kvar i datorn eller om det är en Java som försvinner efter att den använts.

 

mvh johan

 

[ruud]

Hej igen

 

Är det någon som kan se om Hijacthis logfilen innehåller något som har med kapningen att göra, eller något annat galet?

 

Tacksam för svar///Ruud

[log]

Scan saved at 21:10:20, on 2004-03-23

Platform: windows XP (WinNT 5.01.2600)

MsIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes: C:\WINDOWs\system32\smss.exe C:\WINDOWs\system3Z\winlogon.exe C:\WINDOWs\system32\services.exe C:\WINDOWS\system32\lsa$s.exe

C:\WINDOWs\system32\svchost.exe C:\WINDOWs\system32\svchost.exe C:\WINDOWs\system32\spoolsv.exe

C:\program\Delade filer\Microsoft shared\vs7Debug\mdm.exe

c:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWs\system~2\slserv.exe

C:\WINDOWs\Explorer.EXE

c:\program\NORTON~1\navapw32.exe

c:\program\Adaptec\Easy CD Creator 5\DirectcD\DirectCD.exe C:\WINDOWs\svchost.exe

C:\WINDOWs\system32\ctfmon.exe

c:\program\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

A:-\HijackThis.exe

RO -HKCU\Software\Microsoft\Internet Explorer\Main,Start page = http://www.nwtech.se/

Ro -HKCU\software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Lankar 02- BHO: (no name) -{06849E9F-C8D7-4D59-B87D-784B7D6BEOB3} C:\program\Adobe\Acrobat 5.0\Reader\ActiveX\AcrOIEHelper.ocx

02- BHO: NAV Helper -{BDF3E430-B101-42AD-A544-FADC6B084872} c:\program\Norton AntiVirus\NavshExt.dll

03- Toolbar: Norton Antivirus -{42CDD1BF-3FFB-4238-8ADl-78S9DF00B1D6} c:\Program\Norton Antivirus\NavshExt.dll

03- Toolbar: &Radio -{8E718888-423F-11D2-876E-00AOC9082467} C:\WINDOWS\system32\msdxm.ocx

04- HKLM\..\Run: [NAV Agent] c:\program\NORTON~1\navapw32.exe

04- HKLM\..\Run: [Nv~plDae~on] RUN9LL32.EXE NvQrwk,NvCplDaemon initialize 04- HKLM\..\RIm: [nWlzJ nwlz.exe /lnstall

04- HKLM\..\Run: [AdaptecDirectcD] "c:\program\Adaptec\Easy CD Creator 5\DirectcD\DirectCD.exe"

04- HKLM\..\Run: [KernelFaultcheck] %systemroot%\system32\dumprep 0 -k

04- HKLM\..\Run: [sVCHOsT] C:\WINDOWs\svchost.exe

04- HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

04- HKCU\. .\Run: [MsMsGs] "c:\pro~ram\Messenger\msmsgs.exe" /background

04- Global startup: Microsoft offlCe.lnk = C:\Program\Microsoft Office\office10\OSA.EXE

08- Extra context menu item: E&xportera till Micr<>soft Excel res://c:\program\MICROs~2\office10\EXCEL.EXE/3000

09- Extra button: Related (HKLM)

09- Extra 'Tools' menuitem: Show &Related Links (HKLM)

09- Extra button: Messenger (HKLM)

09- Extra 'Tools~ menuitem: windows Messenger (HKLM)

012- Plugin for .spop: C:\Program\rnternet ~xplorer\plugins\NPDoCBox.dll 016- DPF: {11l11l1l-1l11-1l1l-1l1l-111l1l11l1l1} -file://C:\Info6-s.cab 016- DPF: {166B1BCA-3F9C-1lCF-807S-444SS3S40000} (shockwave Activex Control) http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

016- DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) http://v4.windowsuPdate.microsoft.cOm/CAB/x86/unicode/iuctl.CAB?37572.4197569444 016- DPF: {D27CDB6E-AE6D-1lCF-96B8-444553540000} (shockwave Flash object) http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[/log]

 

[inlägget ändrat 2004-03-24 13:08:11 av Erik Junesjö]

[ruud]

En ruta kommer upp vid start.

 

Det står SVCHOST i blå fältet.

 

Sedan "Random is " följt av massa siffror.

Försöker man stänga rutan ändrar sig siffrorna.

 

Någon som kan hjälpa?///Ruud

 

[Malou_031]

Hej ruud!

 

Jag tycker att din logfile ser lite konstig ut och har svårt för att tyda den som den ser ut just nu.

 

Ladda ner "HiJack This" och spara den på skrivbordet.

Dubbelklicka på programmet så att det öppnar sig, sedan klickar du på "scan" sedan på "save Logfile".

Spara "logfilen" någonstans (ex: skrivbordet), nu får du upp en "textfil" kopiera den hit, så kommer någon att hjälpa dig att tolka "logfilen" för dig.

 

http://www.sherrylynn.us/privacypolicy.htm

 

Omslut "logfilen" bakom taggarna [log ]<-utan mellanslag / [/log ]<-utan mellanslag, så tar den inte så stor plats.

 

Många hälsningar: Malou

 

[Die Hard]

ruud

 

Din HJT-log ser lite konstig ut, en del kommandon verkar vara fontfel, antingen i forumet eller på din dator.

Denna t.ex. :

04- HKLM\..\RIm: [nWlzJ nwlz.exe /lnstall

 

Jag vill att du gör så här, du har ett virus relaterat till ditt problem och det är den här:

C:\WINDOWs\svchost.exe

gör en online scan här(du kan göra en scan på båda) :

 

Panda ActiveScan http://www.pandasoftware.com/activescan/

 

Trend Micro HouseCall http://housecall.trendmicro.com/

 

Du kan ha en till, men som sagt ,jag vågar inte lita på att fonterna är ok:

C:\WINDOWS\system32\lsa$s.exe

 

 

När du gjort detta posta en ny HJT-log så får vi se hur det ser ut.

 

Die Hard

 

 

[inlägget ändrat 2004-03-24 19:44:17 av Die Hard]

[Fredrik Johansson]

Är svchost.exe verkligen ett virus? Nog för att microsoft har tillverkat den, men generellt klassas den väl inte som virus.

 

Svchost står för övrigt för "Service Host"

 

[Die Hard]

Fredrik

 

Titta på var den ligger. Elakingarna tar Windowsnamn och lägger dom någon annanstans.

 

Denna är riktig:

C:\WINDOWs\system32\svchost.exe

 

Detta är virus:

C:\WINDOWs\svchost.exe

 

Hälsning

 

Die Hard

 

[Anders N]

Den riktiga svchost.exe ligger i \Windows\System32, inte i \Windows.

 

Ciao,

Anders

 

 

[Fredrik Johansson]

Så lätt gick jag på den....

Borde ju varit det första jag kollade....

 

[Malou_031]

Hej Die Hard!

 

Tack, då var det inte bara jag som tyckte "loggen" såg lite konstig ut då *ler*.

 

Hälsningar: Malou

 

[inlägget ändrat 2004-03-24 20:56:15 av malou jansson]

[Die Hard]

Hej Malou :-)

 

Nej, den är lite lattjo, vet inte vad det kan bero på.

När ruud postar en ny logg, får vi nog svaret .

 

hälsning

 

Die Hard

 

 

Member of ASAP

Alliance of Security Analysis Professionals

 

 

 

 

 

 

 

[Malou_031]

Hej Die Hard :-)

 

När ruud postar en ny logg, får vi nog svaret .

 

Det får vi med all "säkerhet" veta *ler*.

 

Vågade inte ge mig i kast med den riktigt.

 

 

Hälsningar: Malou

 

[Vinterljus]

Hejsan.

 

Hjälpte en kompis med exakt samma problem, något som kallade sig "svchost" skapade en ny fjärranslutning med nytt användarnamn, lösenord och nummer. 0082 +en massa nummer till tror jag att det var.

Det enda jag hittade med Ad-aware var "alexa"? Tog bort det men är inte säker på hur det gått. han är ingen storsurfare direkt.

 

Som det verkade var det bara standardanslutningen som "drabbades" (det var den som gjordes om, döptes till OLD, ex. uppkoppling 1_OLD). Ett "b-alternativ" är att ha en annan uppkoppling som man använder sig av tills man får bort skiten.

 

Någon som vet vilket virus det är (kan vara) och hur man får bort det? Kan det vara något som använder sig av det riktiga svchost för att skapa en anslutning?

Ska hjälpa en annan med samma problem och undrar nu om man kan installera ett virusprogram, hämta uppdateringar och sen ta bort det (jag antar att de inte har antivirusprogram...)

 

Någon som vet?

 

Mycket tacksam för svar.

 

//Jan

 

 

[Die Hard]

Jan , hej :-))

 

Det finns många virus som använder en fil med namnet "svchost.exe" .

Det gemensamma med de flesta av dom är att dom kopplar ut på nätet, antingen för att skicka info eller för att ladda in något.

Innan du installerar ett AV-program, kör en onlineskanning från endera, eller båda, av dessa platser och ta bort det som hittas:

 

Panda ActiveScan http://www.pandasoftware.com/activescan/

 

Trend Micro HouseCall http://housecall.trendmicro.com/

 

Hälsning

 

Die Hard

 

 

Member of ASAP

Alliance of Security Analysis Professionals