Just nu i M3-nätverket
Gå till innehåll
Gäst idgadmin

Modemkapning

Rekommendera Poster

Gäst idgadmin

Har fått modemet kapat så den försöker ringa upp telefonnummer 004382082018530...(nummer till Österrike, någon som vet något om det???). Som tur var upptäckte jag det i tid då jag såg att användarnamnet var ändrat (det såg ut nästan som ett IP-nummer). Men även om jag ändrar uppgifterna vid uppkoppling så blir det likadant vid nästa inloggning... Tar gärna emot heta tips på hur jag tar bort detta.

 

Jag har XP... och har kört AdAware men inget konstigt hittades (iallafall inget som löste problemet). Kanske är det något nånstans i registret som måste ändras? Men var?

 

Svara mig inte "använd Bluffstopparen från konsumentverket (kov.se)". Känns lite sent för det... Jag får väl installera den när jag har fått bort problemet... Eller köpa ADSL...

 

Tack på förhand!

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Gäst idgadmin

Jag fixar det när jag kommer hem. Känns för övrigt som ett jäkligt konstigt namn... Får väl läsa lite om det först så jag inte installerar nåt ännu värre :-)

 

Men tack så länge!

 

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Gäst idgadmin

Jag hade såklart inga problem med länken utan det var väl snarare namnet på programmet (som jag inte kände till) som jag hade synpunkter på.

 

Inte laddar jag ner ett program som jag inte vet något om. I allafall inte om det heter HiJack This.exe (det betyder ju alltså typ "kapa denna"). Och det är ju just en kapning jag har varit med om.

 

Men efter luskning har jag förstått att det verkar vara ett okej program, så jag har laddat ner det. Från den första länken.

 

/Stellan

 

 

 

[inlägget ändrat 2004-09-24 13:34:03 av Stellan Upp]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Gäst idgadmin

Zipp (eller nån annan vänlig själ); här är hijackthis-loggen:

 

Logfile of HijackThis v1.98.2

Scan saved at 17:38:11, on 2004-09-24

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\windows\system\hpsysdrv.exe

C:\Program\USB Storage RW\shwicon.exe

C:\HP\KBD\KBD.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\Save\Save.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\WINDOWS\system32\explorer.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Ägaren\Skrivbord\Nyladdat\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.editorial.tele2.se/?page=tele2_privat&t2page=privat&nomenu=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [WCOLOREAL] C:\Program\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [WhenUSave] C:\Program\Save\Save.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program\Delade filer\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c10 -w

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

 

KLART SLUT...

 

Hoppas du blir klokare av det. Jag blir det inte. Tack för hjälpen kan jag väl säga redan nu.

 

/Stellan

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

 

Avinstallera från Kontrollpanelen om den syns där

 

WhenUSave

 

 

Skapa en ny mapp på C:/ och placera HijackThis.exe dit så C:/HjT/HijackThis.exe

 

Sätt dolda filer synliga titta här hur man gör

 

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

 

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

O4 - HKLM\..\Run: [WhenUSave] C:\Program\Save\Save.exe

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c10 -w

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

 

 

Starta sen i felsäkert läge sök och ta bort (delete)

 

C:\Program\Save\Save.exe

- ta bort Save mappen

 

C:\WINDOWS\system32\explorer.exe

- ta bort explorer.exe men bara härifrån

 

 

Starta sen normalt och skicka en ny Hijack logg

 

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Gäst idgadmin

Klart. Här kommer en ny loggfil från HiJackThis:

 

Logfile of HijackThis v1.98.2

Scan saved at 00:23:28, on 2004-09-25

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\windows\system\hpsysdrv.exe

C:\Program\USB Storage RW\shwicon.exe

C:\HP\KBD\KBD.EXE

C:\Program\VERITAS Software\Update Manager\sgtray.exe

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HjT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.editorial.tele2.se/?page=tele2_privat&t2page=privat&nomenu=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [WCOLOREAL] C:\Program\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program\Delade filer\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

 

För övrigt kan tilläggas att läget just nu är att modemet fortfarande vill ringa upp det där numret till Österrike. Men so far so good känns det kanske som. Jag håller tummarna för att du Zipp kommer med något mer som jag nu kan göra!!!

 

/Stellan

 

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

 

jag gjorde bara en snabbkoll av din logg men ser inget uppseendeväckande.

 

ta bort din gamla fjärranslutning och skapa en annan och välj den som standard

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Gäst idgadmin

Fanimej det funkade, behövde inte ens ta bort den gamla fjärranslutningen. När jag nu startade om på nytt kom den ihåg originalinställningarna som jag fick ändra till när jag loggade in förra gången. Och det var ju precis det jag ville. Poäng till Zipp!!!

 

MYCKET tacksam för hjälpen!

 

En bra grej med detta... frugan har nu gått med på ADSL. Gäller bara att hitta nåt billigt, Bostream lutar det åt. För övrigt kommer jag nog snart lägga in en fråga om det (om jag nu inte hittar något gammalt i detta FANTASISKA forum).

 

Än en gång tack för hjälpen!!!

 

För övrigt skrev jag lite stolpar när jag gjorde det du Zippbad mig göra. Bifogar den "loggen" om det kan hjälpa någon.

 

Här kommer mina stolpar:

Avinstallera från Kontrollpanelen om den syns där:

WhenUSave

 

MIN ANMÄRKNING: Fanns ej!

 

Skapa en ny mapp på C:/ och placera HijackThis.exe dit så C:/HjT/HijackThis.exe

 

Sätt dolda filer synliga titta här hur man gör:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/20020927

15262339

 

MIN ANMÄRKNING: Klart!

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

O4 - HKLM\..\Run: [WhenUSave] C:\Program\Save\Save.exe

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c10 -w

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

 

MIN ANMÄRKNING: Klart!

 

Starta sen i felsäkert läge:

MIN ANMÄRKNING: Tryck [F8] vid uppstart

 

Sök och ta bort (delete):

C:\Program\Save\Save.exe

- ta bort hela Save-mappen

 

MIN ANMÄRKNING: Klart (i Save-mappen fanns det många grejer, även ett uninstall-program, men jag gjorde som jag var tillsagd o deletade hela mappen)

 

C:\WINDOWS\system32\explorer.exe

- ta bort explorer.exe men bara härifrån

 

MIN ANMÄRKNING: Klart (en indikation kanske är att den saknade bild? Dvs endast texten "explorer.exe" fanns!

Den var skapad 200-09-22 klockan 21.03. (högerklick på "ikonen" (som saknas), sen egenskaper)

Det var väl då jag blev modemkapad...

 

Starta sen normalt och skicka en ny Hijack logg

 

MIN ANMÄRKNING: Klart.

 

 

Fick sedan vid första tillfället ändra inloggningsuppgifterna. Trodde att Zipp behövde hjälpa mig med mer grejer.

Men så var icke fallet. Efter nedstängning och nytt test nyss funkade allt som vanligt.

 

Hoppas att detta kan hjälpa någon annan också.

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...