modemkapning

[ruud]

Hej alla som vill hjälpa mig.

 

Har ej tillgång till infekterad dator just nu men sluta inte komma med förslag som jag kan göra för att få bort viruset.

 

Återkommer när jag är hemma igen.

 

Tack! Ruud

 

[Malou_031]

Hej ruud!

 

Du är så välkommen tillbaka så, när du väl kommit hem igen *ler*

 

 

Vi väntar med spänning på din "HiJack This Logga" (så vi får någonting att göra).

 

Ha det så bra så länge: Malou

 

[Vinterljus]

Hejsan Die Hard och tack för svaret (som du för övrigt skrivit i ett svar ovanför...) men det såg jag inte då. Nåja.

 

Hittade en lösning på problemet och den verkar vara skapligt stabil, än så länge iaf. Om man går in i registret kan man finna roten till det onda.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

DÄR hittade jag två värden som jag tog bort,

en "hot_dialer" och "svchost.exe" (under windows)

 

Någon annan som testat detta?

 

mvh Jan

 

[Graylingman]

Hej,

Känner tråkigt nog igen mycket av det som nämns ovan, och har på lite olika mer eller mindre amatörmässiga sätt försökt lösa problemen jag drabbats av.

 

I korthet har det varit så här för mig:

 

Modemet kapades och min fjärranslutning vid namn Tele2 styrdes över till ett nummer som började på 0088... och en Tele2_OLD old skapades.

Jag tog bort fjärranslutningarna, installerade Bluffstopparen och skapade en ny fjärranslutning som jag ringde upp med hjälp av Bluffstopparen.

Det eländiga var bara att "kaparprogrammet" som ju givetvis fanns kvar nånstans lyckades "smita förbi" bluffstopparen och omedelbart "sno" fjärranslutningen trots att jag svarade nej på frågorna om godkännande som bluffstopparen ställde.

Igår kväll provade jag så att göra en så enkelö grej som en systemåterställning till en tidpunkt ett par veckor innan problemen började, installera bluffstopparen igen, skapa en ny fjärranslutning och ansluta.

Efter ca 15 minuters surfande hade ännu inte bluffstopparen slagit larm och det angivna numret i fjärranslutningen är intakt.

 

Jag vet nu inte om jag kan slå mig till ro, eller om skiten kommer att vakna till liv igen. Jag menar, så enkelt kan det väl ändå inte vara att lösa problemet? Min "lösning" är ju egentligen inte en lösning, eftersom det elaka kaparprogrammet ju finns kvar nånstans. Kommer det att vakna till liv igen, eller? Vad bör jag göra? Jag vet inget vare sig om registret eller loggar etc.

 

Anders

 

 

[Die Hard]

Hej :-)

 

Du har säkert elakingen kvar i systemet, skulle tro att ett virus har placerat en falsk "svchost.exe" i ditt system.

Att använda Bluffstopparen är nog bra, kortsiktigt. Men annars är det som att bota en bruten arm med Treo. Det gör inte ont längre, men skadan finns kvar, om du förstår vad jag menar. :-))

 

Ladda ner "HiJack This" och spara den på skrivbordet.

Dubbelklicka på programmet så att det öppnar sig, sedan klickar du på "scan" sedan på "save Logfile".

Spara "logfilen" någonstans (ex: skrivbordet), nu får du upp en "textfil" kopiera den hit, så kommer någon att hjälpa dig att tolka "logfilen" för dig.

 

http://www.sherrylynn.us/privacypolicy.htm

 

Omslut "logfilen" bakom taggarna [log ]<-utan mellanslag / [/log ]<-utan mellanslag, så tar den inte så stor plats.

 

Med HiJack This ser vi filen och kan avregistrera den och hjälpa dig ta bort den .

 

Hälsning

 

Die Hard

 

Member of ASAP

Alliance of Security Analysis Professionals

 

 

 

[Graylingman]

Ok, tack för hjälpen så länge. Sitter på jobbet nu, tar tag i detta under helgen. Återkommer....

Anders

 

[Graylingman]

Logfilen

Ok, här kommer den:

 

[log]

Logfile of HijackThis v1.97.7

Scan saved at 18:52:11, on 2004-04-08

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\Program\Real\RealPlayer\RealPlay.exe

C:\Program\ahead\InCD\InCD.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program\Bluffstopparen\Bluffstopparen.exe

C:\Program\Delade filer\Microsoft Shared\Works Shared\wkcalrem.exe

C:\WINDOWS\System32\devldr32.exe

C:\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\WINDOWS\System32\zstatus.exe

C:\NORMAN\nvc\BIN\NJEEVES.EXE

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\Documents and Settings\Anders\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [hp 1000 firmware] C:\Program\hp LaserJet 1000\fwdl.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [inCD] C:\Program\ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluffstopparen.lnk = C:\Program\Bluffstopparen\Bluffstopparen.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Påminnelser för Kalendern i Microsoft Works.lnk = ?

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Informationshanteraren (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www-umea.slu.se/CFIDE/classes/CFJava.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37646.4476851852

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[/log]

Hoppas nån kan hjälpa mig med tolkningen!

 

Anders

 

[inlägget ändrat 2004-04-08 19:05:35 av Graylingman]

[Die Hard]

Graylingman :-))

 

Din "medicin" att göra en systemåterställning ser ut att ha lyckats.

Logfilen är ren :-)

Du kan lugnt luta dig tillbaka och surfa vidare

 

Hälsning

 

Die Hard

 

Member of ASAP

Alliance of Security Analysis Professionals

 

 

[Graylingman]

Tack och lov! Men skiten måste ju ligga kvar nånstans, inaktiverad, passiviserad, eller hur? Finns det ingen risk att den "vaknar" igen?

Tusen tack för hjälpen!!!

Anders

 

[inlägget ändrat 2004-04-09 21:39:27 av Graylingman]

[Wogga]

Hej,

Känner tråkigt nog igen det som nämns ovan!

 

Modemuppkopplingen kapades och döptes om till _OLD med nytt nummer.

 

 

Råkade nämligen själv ut för detta fenomen och hittade en artikel om mjukvara som rensade bort mitt problem.

 

 

Spybot - Search & Destroy 1.2 och finns på denna sida

 

http://beam.to/spybotsd

 

 

/Wogga

 

[Chakotay]

Bluffstopparen fungerar inte i Win 9*/ME

 

Jag blev smått bestört när jag läste ovanstående och direkt kollade uppgiften på Konsumentverkets sida där programmet erbjuds. Det har puffats för "Bluffstopparen" ganska länge nu - ett halvår minst gissar jag(?) - och i en mängd radio-, tv-program och tidningstexter, men jag har aldrig då hört/sett nämnas att en stor andel av surfarna alltså inte har någon glädje av programmet.

 

Överhuvudtaget anser jag att makthavarna och myndigheterna givit prov på en enorm nochalans inför plågan med modemkaparna, som funnits i ett antal år nu.

 

Smaka t.ex på dessa formuleringar från http://www.svd.se/dynamiskt/inrikes/did_7228208.asp :

 

Bluffakturor är ett gigantiskt konsumentproblem. Det konstaterade konsumentminister Ann-Christin Nykvist vid ett seminarium på temat bluffakturor för internet och telefoni som Konsumentverket anordnat.

 

Hon lovade åtgärder på bred front för att stävja förekomsten av bluffakturor. Bland annat har hon utsett en särskild utredare som ska överväga om konsumentskyddet bör förstärkas när det gäller modemuppkoppling mot internet.

 

En utredare "...som ska överväga om konsumentskyddet bör förstärkas..."....