Usuwanie owntbia
Starałeś się zabezpieczyć swój komputer, dobrze chroniłeś hasło i ważne dane, jednak chwila nieuwagi i niewykrywalny keylogger znalazł się na twoim komputerze...Taki scenariusz może spotkać każdego, postaram się więc opisać jak oczyścić swoją maszyną z tego plugastwa.
1.Detekcja Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny: www.merijn.org/files/hijackthis. zip (mirror:www.server.9x.pl/prv/hijackthis. zip ) Następnie uruchamiamy program hijackthis. exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a). Następnie przyglądamy się log'owi i wyszukujemy wpisów : C:\WINDOWS\services. exe O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services. exe lub O4 - HKLM\..\Run: [auto] C:\WINDOWS\services***** Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess. exe jednak to ważny plik systemowy i nie wolno go usuwać. 2.Usuwanie Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket.KillBox.2.0.0.473. html Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii. 3.Zabezpieczanie na przyszłość Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym. I dodajemy do niego: 127.0.0.1 owntibia.com 127.0.0.1 vip.owntibia.com 127.0.0.1 87.98.239.19 127.0.0.1 wizzard.home.pl Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi ;) *Linki aby poprawnie działały należy usunąć spację z przed rozszerzenia np exe, html. Działające linki: Hijackthis - http://www.instalki.pl/programy/down...HijackThis.php KillBox - http://www.instalki.pl/programy/down...et_KillBox.php |
Wspaniałe, :D GZ
Więcej takich ludzi @edit pierwszy :D |
Poradnik ładnie opisany i chyba przydałyby go sie przenieść :)
|
Sorki za literówkę w nazwie tematu ;)
Ale proszę komentować bo nie wiem czy dobrze napisałem etc ;) |
Podsumowując, do usunięcie tego ścierwa wystarczy hijack, żaden deleter =)
|
Good job ;]
Ładny poradnik, myślę że pomoże wielu ludziom z tego forum. O dziwo jak otwierałem plik "hosts" to już miałem wpisane adresy, które tu zamieściłeś, a wcześniej tego nie robiłem O_o. Jestem za przeniesieniem ;)
|
No poradnik dobry sam w sumie z niego skorzystalem tylko jedno pytanko autor tematu radzi usunac plik
C:\WINDOWS\system32\services***** ale za to nie usuwac pliku C:\WINDOWS\system32\servicess***** sek tego ze pierwszy plik odnalazlem a 2 - systemowego nie Oo Hmm jakies propozycje co by z tym zrobic ? |
Autor radzi usunąć C:\WINDOWS\services. exe, nie C:\WINDOWS\system32\services. exe (no chyba, że coś źle zrozumiałem :P)
|
No w sumie racja inna sciezka dostepu wiec chyba jest dobrze :P
Znaczy sie nie dysponuje owntibia :d |
były różne poradniki, ale najbardziej spodobała mi się opcja jak się zabezpieczyć przed tym, thx dla autora - jestem za przeniesieniem bo tego jeszcze tutaj nie było ;p
|
Cytuj:
C:\WINDOWS\system32\services. exe to ważny plik systemowy - NIE USUWAĆ ! |
a gdy zmienie te hosts.msm czy jakos tak na hosts.txt i dopisze te linijki to potem mam go zmienic znowu na .msm?
|
Przyda sie :D
Staram sie nie dac sie hacknac, ale ostroznosci nigdy za wiele PS. HiJackThis 1.99.1 mozna pobrac jeszcze z serwisu www.dobreprogramy.pl PS2. jesli NIE MAM na kompie tego shitu, i mam zablokowane strony z owntibia, i nagle na moim kompie znajdzie sie owntibia, to NIE MOZE MNIE HACKNAC? (poniewaz mam zablokowane strony) |
Cytuj:
@Up Jeżeli nie zmienią IP to tak. |
Cytuj:
# Copyright (c) 1993-1999 Microsoft Corp. # # To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP # w systemie Windows. # Ten plik zawiera mapowania adresów IP na nazwy komputerów # Każdy wpis powinien być w osobnej linii. # W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie # odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone # co najmniej jedną spacją # # Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych # liniach lub po nazwie komputera, oznaczając je symbolem '#'. # # Na przykład: # # 102.54.94.97 rhino.acme.com # serwer źródłowy # 38.25.63.10 x.acme.com # komputer kliencki x 127.0.0.1 localhost 127.0.0.1 owntibia.com 127.0.0.1 vip.owntibia.com 127.0.0.1 87.98.239.19 No, raczej przykoksowałeś z tym, jestem za przeniesieniem mate. |
Na czerwono niepokojąca mnie rzecz. Powiedzcie co jeszcze naprawić! Zmieniłem hasło na tibia.com i sie nie loguje bo się boje... Powiedzcie, czy to co na czerwono to coś złego? Bo na zielono zanzaczyłem systemowy plik. Co jeszcze usunąć? Mój log:
Ukryty tekst:
@edit Usunołem to na czerwono. Był to keylogger, gdyż po dotknięciu tego, antywirus zaczoł szalec. Prosze jeszcze tylko specjalistow o rade, czy cos jeszcze nie tak w moim logu : ) Jeśli chodzi o zabezpieczenie w przyszłości, to wszedłem tam gdzie powiedziałeś i te logi były już zapisane. Nie musiałem nic wpisyac aby sie zabezpieczyc. Wczesniej uzywalem own tibia deleter, czy to on utworzyl te logi? |
@Up
Daj jako załącznik plik txt...bo tu na forum jest cenzura plików . exe ;) Będzie łatwiej przeanalizować. A deleter przy opcji "chroń w przyszłości" dodaje te wpisy to hosts ;) |
Wystarczy najprostszy firewall!! Kolega ma owntibie, to ja mu powiedzałem żeby mi wysłał plik włączyłem go chciałem dać loga do tibi i wtedy mi go wykrył, dałem bloka i po sprawie :>
A pomógł mi przy tym troche owntibia***** !! :D |
1 Załącznik(i)
Ok, macie załącznik =)
|
Cytuj:
|
Cytuj:
Cytuj:
|
Cytuj:
@Edit Czysto..prawie. Usuń to: C:\DOCUME~1\Komputer\USTAWI~1\Temp\update.tmp --- fałszywa aktualizacja ;) |
Cytuj:
Jeszcze mam wątpliwości (nie wiem co to) do: C:\WINDOWS\system32\spoolsv***** C:\WINDOWS\System32\svchost***** C:\WINDOWS\System32\alg***** C:\WINDOWS\system32\WgaTray***** C:\WINDOWS\Explorer***** C:\WINDOWS\system32\ctfmon***** D:\kopia\RNEFOL~1\DOKUME~1\MMDiag***** C:\DOCUME~1\Komputer\USTAWI~1\Temp\Rar$EX00.649\Hi jackThis***** (wiem, że hijack, ale czy nie czasem coś podszywającego sie pod niego?) Usunąć to, czy jest bezpieczne? |
Explorer. exe to chyba to, dzięki czemu w ogóle możesz foldery itp. przeglądać, reszta nie wiem, nie znam się; )
Btw, svchost. exe w procesach boinien być 1 czy kilka (a może 0?) bo w sumie widzę ich u siebie 8 w tej chwili ;> |
Cytuj:
|
C:\WINDOWS\system32\spoolsv*****
nie wiem C:\WINDOWS\System32\svchost***** czyste C:\WINDOWS\System32\alg***** czyste...chyba C:\WINDOWS\system32\WgaTray***** ma sie pirata co ? ;) C:\WINDOWS\Explorer***** czyste C:\WINDOWS\system32\ctfmon***** czyste D:\kopia\RNEFOL~1\DOKUME~1\MMDiag***** nie wiem co to O.o C:\DOCUME~1\Komputer\USTAWI~1\Temp\Rar$EX00.649\Hi jackThis***** (wiem, że hijack, ale czy nie czasem coś podszywającego sie pod niego?) Tymczasowy plik loga hijackthis...chyba |
Mam pytanko. Który plik w folderze "etc" mam wy edytować i wpisać "127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com 127.0.0.1 87.98.239.19 " ? |
Hosts- otworz go notatnikiem (np otworz notatnik i przecignij plik na puste pole)
Dobra robota ;] Jestem z siebie zadowolony bo żadnego szitu na kompie nie mam, dzięki :] |
- W win98 istnieje plik \WINDOWS\services\ ale nie jest to plik .e x e
najprawdopodobniej systemowy: PHP Kod:
|
Cytuj:
|
co do tibi sciagam tylko same .rec i nic mi sie nie stalo od 3 lat i pewnie sie nie stanie
bezpieczenstwa nigdy za wiele a jak sie ktos podnieca tym ze ktos hackuje i ma free itemki i sam chce hackowac to wlasnie oni staja sie najczestszymi ofiarami topic tez sie zabezpieczylem* ; ) |
Dzisiaj sciagnalem bot o nazwie Tibia Auto. Po zainstalowaniu go zauwazylem, ze na pulpicie pojawil sie dziwny plik o nazwie "server*****". Zorientowalem sie, ze to plik owntibii, wiec sciagnalem "owntibia-deleter". Program wykryl owntibie, ale nie moglem jej usunac. Zajzalem do tego tematu i sciagnalem "Hijackthis!". Zrobilem skan i nie wiem ktory plik jest tym "owntibiowym.
Prosze o pomoc! Udostepniam zapis mojego logu: Logfile of HijackThis v1.99.1 Scan saved at 14:49:04, on 2007-06-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer***** C:\PROGRA~1\ALWILS~1\Avast4\ashDisp***** C:\=WSZYSTKIE=\Winamp\Winampa***** C:\WINDOWS\system32\ctfmon***** C:\Program Files\Internet Explorer\iexplore***** C:\Documents and Settings\adrian\Pulpit\HijackThis***** R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find.fm/?aid=95&sid=99 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file) F2 - REG:system.ini: Shell= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: XBTB04482 - {D72F6457-DDC6-4bc2-9DB5-97AD696800B6} - C:\PROGRA~1\FINDFM~1\toolbar.dll (file missing) O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp***** O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck***** O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\=WSZYSTKIE=\Winamp\Winampa*****" O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC*****" -servicehelper O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY***** O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun***** O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray*****" /s O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon***** O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001*****" O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam***** -silent O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent*****" --force_start_minimized O4 - Startup: UniSpiker-2.6.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl***** O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet*****/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet*****/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet*****/AddLink.htm O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1130355726364 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv***** O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ***** O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing) O23 - Service: NetTime (NetTimeSvc) - Unknown owner - C:\Documents and Settings\Administrator\Pulpit\NetTime\NeTmSvNT**** * (file missing) O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC*****" -service (file missing) |
Czegoś tu nie rozumiem,jeśli mam w logu wpis:
C:\WINDOWS\system32\services***** to znaczy że mam owtibie? |
Cytuj:
|
Atrybut w pliku hosts tylko do odczytu zabezpieczy to przed zmianami w tym pliku i można zrobić trik żeby windows zainstalować w innym katalogu niż windows Np C:/winnt -- Taki jest w Win 2000
oraz można zablokować operacje zapis dla danego użytkownika w zakładce zabezpieczenia i logować się użytkownika a nie Admina dla Bezpieczeństwa @up Makaveli Tha Don Plik Service***** Jest Chroniony Windows Protect System Files Który w Częściowo jest wyłączony w Trybie awryjnym A najlepiej taki plik usunać z dos a dla NTFS - Dos pod NTFS Ale c/windows/sytem32/services***** --- Jest Ważny plikiem sytemowym znam efekt jego usunęcia http://img78.imageshack.us/my.php?im...serviceef6.jpg -- Pliki muszą mieć podpis MC Oraz sprawdzać datę utworzenia pliku. |
Dzieki
LOL Gdyby nie ten poradnik mialbym po moim koncieX(!!! THX:cup:
|
Super poradnik :cup: ale ja mam jedno pytanie w jaki sposób może dostać się owntibia do mojego kompa?? proszę o odpowiedź
|
Owntibia
Witam Mam Pytanie Chodzi mi o 3 Punkt :p
# Copyright (c) 1993-1999 Microsoft Corp. # # To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP # w systemie Windows. # Ten plik zawiera mapowania adresów IP na nazwy komputerów # Każdy wpis powinien być w osobnej linii. # W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie # odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone # co najmniej jedną spacją # # Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych # liniach lub po nazwie komputera, oznaczając je symbolem '#'. # # Na przykład: # # 102.54.94.97 rhino.acme.com # serwer źródłowy # 38.25.63.10 x.acme.com # komputer kliencki x 127.0.0.1 localhost 127.0.0.1 owntibia.com 127.0.0.1 vip.owntibia.com 127.0.0.1 87.98.239.19 Czy Dobrze to Zrobiłem? Proszę O odpowiedź |
Cytuj:
@Up Wszystko dobrze. |
Yy.. co do metody usunięcia trochę do bani, za dużo zachodu, istnieją lepsze, prostsze metody.
Skorzystałem jednak z tego wpisu do "host", może się kiedyś przyda ;) |
Wszystkie czasy podano w strefie GMT +2. Teraz jest 16:08. |
Powered by vBulletin 3