Just nu i M3-nätverket
Jump to content

Modemkapning


Guest idgadmin

Recommended Posts

Guest idgadmin

Mitt modem är kapat och ändrar hela tiden min uppkoppling till ett nummer som börjar på 0088...

Något program är troligen aktiverat som startas när jag startar datorn. Vad kan detta program heta? eller andra förslag till hjälp!

 

Link to comment
Share on other sites

Du kan även prova med att ladda ner

Ad-Aware och Spybot

 

Ad-Aware:http://www.lavasoftusa.com/swedish/support/download/

 

Inställningar av Ad-Aware:

http://www.lavasoftsupport.com/index.php?showtopic=14136

 

Spybot S&D:

http://www.safer-networking.org/index.php?page=download

 

Uppdatera referensfilerna innan scanning.

Följ anvisningarna för korrekt inställning av Ad-Aware.

 

Om du har något program som använder sig av BackWeb(eller BackWeb Lite), tex F-Secure eller Logitech, så var lite försiktig med Spybot.

 

Det går att, i registret, följa sökvägen som visas i Spybot, för att ta reda på vilket program ett visst objekt tillhör.

Om det är ett program som man vill ha kvar, så går det att lägga till objektet i "Ignore List".

 

För övrigt, tag bort det som hittas.

För Spybot gäller att det som är ibockat direkt efter scanning, är det säkert att ta bort.

 

Link to comment
Share on other sites

ellirk, hej :-))

 

Det låter som om du har ett virus "svchost.exe" i din dator.

 

Skanna med AdAware6.

gå hit för att hitta nedladdningslänk och detaljerade instruktioner om hur du ställer in AdAware för bästa resultat, sätt programmet enligt "Steg 4" och "Custom mode" .

http://www.lavasoftsupport.com/index.php?showtopic=14136

Glöm inte uppdatera referensfilen genom att klicka på "check for updates" i huvudfönstret.

 

Ladda sedan ner HiJack This härifrån: http://tomcoyote.com/hjt/

 

Den kommer zippad, bara dubbelklicka så öppnas den.Klicka "scan" och knappen visar "save logfile". Lägg den någonstans och en textfil kommer upp, kopiera den hit, så får du hjälp att tolka den.Det mesta i logfilen är nödvändiga komponenter, så fixa inget själv.

 

När vi har gjort detta, kommer ditt system att vara som nytt igen :-))

 

Hälsning

 

Die Hard

 

[FET]Member of ASAP

Alliance of Security Analysis Professionals[/FET]

 

 

Link to comment
Share on other sites

Hej Mij :-))

 

Två genier tänker likadant *ler*

 

Die Hard

 

[FET]Member of ASAP

Alliance of Security Analysis Professionals[/FET]

 

 

Link to comment
Share on other sites

Hej Die Hard...

 

Geni och geni....

Man har ju snappat en del...*ler*

 

Passar på med en snabb fråga till dig...

En av pågarna(sönerna..*ler*) lyckades få in lite sk*t i sin dator.

Att få bort det var inget problem, men jag upptäckte att varken Ad-Aware eller Spybot tog bort den ena registerposten.

 

Jag har sparat registerposten om det skulle kunna vara till hjälp...

Objektet är, lite nerkortat:

Ruboskizo\sexo367

 

Något du vet något om?

 

 

Link to comment
Share on other sites

Hej Mij :)

 

Är det själva objektet som programmen inte hittade ?

Det verkar vara en dialer eller något liknande.

Spansk.

Då är det inte så konstigt att det inte hittades.

Det mesta som skickas till oss (även till Spybot) är från engelskspråkiga regioner.

Vi behöver en fil först för att undersöka den , innan den därefter kan inkluderas i referensfilen.

Skulle du ha filen kvar, får du gärna skicka den till oss.

http://www.lavahelp.com/submit/index.html

 

Hälsningar

 

Die Hard

 

[FET]Member of ASAP

Alliance of Security Analysis Professionals[/FET]

 

 

Link to comment
Share on other sites

Hej igen Die Hard.

 

Det verkar som om själva programmet hittades och togs bort, är dock inte säker på vilket prog som gjorde det.

 

Men registernyckeln fanns kvar.

Därför exporterade jag den nycklen, om det skulle vara till någon nytta.

 

Tippar också på att det är en dialer, och att den är spansk eller liknande.

 

Men som sagt, registernycklen i sin helhet har jag kvar...

 

 

Link to comment
Share on other sites

Mij, :-))

 

Tyvärr är inte nyckeln till någon nytta.

Det är bara filen i sig som kan användas :-))

 

hälsning

 

Die Hard

[FET]Member of ASAP

Alliance of Security Analysis Professionals[/FET]

 

 

Link to comment
Share on other sites

Oki...

 

Jag skall rota igenom datorn igen för att se om jag möjligtvis missat den.

Annars bör den ligga i karantän...

Sen gäller det bara att hitta rätt där...

 

Hittar jag den, så skickar jag den.

 

 

Link to comment
Share on other sites

  • 2 weeks later...
Guest idgadmin

Hejsan Die Hard!

 

Tack för all hjälp, det verkar dock som om allt inte är som det ska ändå. En extra anslutning skapas med ett annat nummer än det riktiga. Jag har ju Bluffstopparen installerad (se överst i tråden) men det kulle va skönt att få bort script-h-et som jävlas med mig...

 

Detta är log-filen från HiJack This:

 

Logfile of HijackThis v1.97.7

Scan saved at 16:26:49, on 2004-04-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\anvshell.exe

C:\Program\NORTON~1\navapw32.exe

C:\WINDOWS\System32\carpserv.exe

C:\Program\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Bluffstopparen\Bluffstopparen.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Stefan\Lokala inställningar\Temp\Temporär katalog 1 för hijackthis.zip\HijackThis.exe

C:\WINDOWS\System32\notepad.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Anvshell] anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

O4 - HKLM\..\Run: [dwinf] C:\WINDOWS\dwinf.exe

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [sVCHOST] C:\WINDOWS\svchost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Bluffstopparen.lnk = C:\Program\Bluffstopparen\Bluffstopparen.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Sun Java-konsol (HKLM)

O9 - Extra button: Research (HKLM)

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37958.4139930556

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E519F8A-A46D-4ECA-8394-2D152C7214BE}: NameServer = 195.67.199.39 195.67.199.40

O17 - HKLM\System\CS1\Services\Tcpip\..\{0E519F8A-A46D-4ECA-8394-2D152C7214BE}: NameServer = 195.67.199.39 195.67.199.40

 

Kannst tu mir hilfen?

 

MVH

 

/ G

 

PS. Mitt nummer som skapas börjar med 0068, så det är kanske inte samma som för ellrik.

 

Link to comment
Share on other sites

Gojja , hej :-))

 

Kör HJT och bocka för dessa detaljer , inga andra , klicka sedan på "fix checked" :

 

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

O4 - HKLM\..\Run: [dwinf] C:\WINDOWS\dwinf.exe

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

\bin\jusched.exe

O4 - HKLM\..\Run: [sVCHOST] C:\WINDOWS\svchost.exe

 

Starta sedan om till felsäkert läge (tryck F8 upprepeat vid uppstart) och öppna utforskaren (Windowstangent+E) och i verktygsfältet öppna "Verktyg>Mappalternativ" och under "Visning" klicka på "Visa dolda filer och mappar"

 

Navigera sedan till:

C:\WINDOWS\svchost.exe >> Var noga med sökvägen, "Svchost.exe" i Windows\system32 skall du inte röra.

C:\WINDOWS\dwinf.exe

och ta bort dessa två

 

Öppna sedan "Start>Sök" och leta i "dolda filer och mappar" och i "Systemmappar" efter :

 

[FET]mslaugh.exe

teekids.exe[/FET]

och ta bort dessa också.

 

Starta sedan om till normalläge, och gå genast hit och hämta uppdatering från M$:

http://www.microsoft.com/downloads/details.aspx?displaylang=sv&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074

 

Hoppas att detta skall räcka :-)

 

Hälsning

 

Die Hard

 

[FET]Member of ASAP

Alliance of Security Analysis Professionals[/FET]

 

 

 

Link to comment
Share on other sites

Guest idgadmin

 

Jag har också ett 006-nummer som kommer tillbaka hur jag än gör.

 

min log-fil ser ut så här:

 

Logfile of HijackThis v1.97.7

Scan saved at 20:38:57, on 2004-04-17

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\EPSON\EBAPI\eEBSVC.exe

C:\Program\AVPersonal\AVWUPSRV.EXE

C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Program\Common files\updmgr\updmgr.exe

C:\Program\Delade filer\CMEII\CMESys.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Delade filer\GMT\GMT.exe

C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\torbjörn\Skrivbord\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.the-exit.com'>http://www.the-exit.com'>http://www.the-exit.com'>http://www.the-exit.com/search'>http://www.the-exit.com/search'>http://www.the-exit.com/search'>http://www.the-exit.com/search'>http://www.the-exit.com/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.the-exit.com/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www/the-exit.com/search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s3.invisionfree.com/Dark_Dominion_Temp/index.php?act=idx

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.the-exit.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.the-exit.com/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.the-exit.com/search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.the-exit.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.the-exit.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.the-exit.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.the-exit.com/search

R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\Program\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\Program\PERFEC~1\BHO\PERFEC~1.DLL (file missing)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [KAZAA] C:\Program\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [updmgr] C:\Program\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

O4 - HKLM\..\Run: [CMESys] "C:\Program\Delade filer\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [sVCHOST] C:\WINDOWS\svchost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Tracks Eraser] C:\Program\Tracks Eraser\te.exe min

O4 - HKCU\..\RunOnce: [Tele2 Signup] C:\WINDOWS\C2I\SHORT_S.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluffstopparen.lnk = C:\Program\Bluffstopparen\Bluffstopparen.exe

O4 - Global Startup: GStartup.lnk = C:\Program\Delade filer\GMT\GMT.exe

O8 - Extra context menu item: >>> HENTAI MOVIES <<< - javascript:{document.location='http://www.archivehentai.com/ah/004/getpassword.html';}

O12 - Plugin for .bcf: C:\Program\Internet Explorer\Plugins\NPBelv32.dll

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6_s.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_2_3_0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{898DA028-5F51-4E30-86DF-0070BC346316}: NameServer = 130.244.127.161 130.244.127.169

 

 

 

Link to comment
Share on other sites

Guest idgadmin

 

Hejsan _tar!

 

Det jag gjorde var att leta upp filen

C:\WINDOWS\svchost.exe och byta namn på

den till svchostOLD.exe. Det är VIKTIGT

att inte röra filen C:\WINDOWS\system32\svchost.exe eftersom det är en viktig systemfil.

 

Somsagt, jag bytte alltså först namn på filen så att dne slutade anropas vid uppstart. Sedan startade jag om för att se att allt funkade och slutligen använda jag HiJackThis för att "fix"'a bort den raden med den filen på.

 

Allt fungerar nu great!

 

Ett annat tips är att ladda hem bluffstopparen från Konsumentverkets hemsida. Det är ett program som kontrollerar befintliga modemuppkopplingar och kan blocka sådana som är bluffar. Framförallt blir man meddelad då ett nytt telefonnummer lagts till i en anslutning (ofta händer ju det utan att man märker någonting). Leta reda på Konsumentverkets hemsida och ladda ner Bluffstopparen.

 

MVH

 

/ Stefan Å

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...