Usuwanie owntbia
 

Starałeś się zabezpieczyć swój komputer, dobrze chroniłeś hasło i ważne dane, jednak chwila nieuwagi i niewykrywalny keylogger znalazł się na twoim komputerze...Taki scenariusz może spotkać każdego, postaram się więc opisać jak oczyścić swoją maszyną z tego plugastwa.

1.Detekcja
Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny:
www.merijn.org/files/hijackthis. zip (mirror:www.server.9x.pl/prv/hijackthis. zip )
Następnie uruchamiamy program hijackthis. exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a).
Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services. exe
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services. exe
lub
O4 - HKLM\..\Run: [auto] C:\WINDOWS\services*****
Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik
Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess. exe jednak to ważny plik systemowy i nie wolno go usuwać.

2.Usuwanie
Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket.KillBox.2.0.0.473. html

Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii.

3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
127.0.0.1 wizzard.home.pl
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi ;)

*Linki aby poprawnie działały należy usunąć spację z przed rozszerzenia np exe, html.

Działające linki:
Hijackthis - http://www.instalki.pl/programy/down...HijackThis.php
KillBox - http://www.instalki.pl/programy/down...et_KillBox.php

Wspaniałe, :D GZ
Więcej takich ludzi
@edit pierwszy :D

Poradnik ładnie opisany i chyba przydałyby go sie przenieść :)

Sorki za literówkę w nazwie tematu ;)
Ale proszę komentować bo nie wiem czy dobrze napisałem etc ;)

Podsumowując, do usunięcie tego ścierwa wystarczy hijack, żaden deleter =)

Good job ;]
 

Ładny poradnik, myślę że pomoże wielu ludziom z tego forum. O dziwo jak otwierałem plik "hosts" to już miałem wpisane adresy, które tu zamieściłeś, a wcześniej tego nie robiłem O_o. Jestem za przeniesieniem ;)

No poradnik dobry sam w sumie z niego skorzystalem tylko jedno pytanko autor tematu radzi usunac plik
C:\WINDOWS\system32\services*****

ale za to nie usuwac pliku C:\WINDOWS\system32\servicess*****

sek tego ze pierwszy plik odnalazlem a 2 - systemowego nie Oo
Hmm jakies propozycje co by z tym zrobic ?

Autor radzi usunąć C:\WINDOWS\services. exe, nie C:\WINDOWS\system32\services. exe (no chyba, że coś źle zrozumiałem :P)

No w sumie racja inna sciezka dostepu wiec chyba jest dobrze :P
Znaczy sie nie dysponuje owntibia :d

były różne poradniki, ale najbardziej spodobała mi się opcja jak się zabezpieczyć przed tym, thx dla autora - jestem za przeniesieniem bo tego jeszcze tutaj nie było ;p

Dobrze zrozumiałeś :)

C:\WINDOWS\system32\services. exe to ważny plik systemowy - NIE USUWAĆ !

a gdy zmienie te hosts.msm czy jakos tak na hosts.txt i dopisze te linijki to potem mam go zmienic znowu na .msm?

Przyda sie :D
Staram sie nie dac sie hacknac, ale ostroznosci nigdy za wiele
PS. HiJackThis 1.99.1 mozna pobrac jeszcze z serwisu www.dobreprogramy.pl
PS2. jesli NIE MAM na kompie tego shitu, i mam zablokowane strony z owntibia,
i nagle na moim kompie znajdzie sie owntibia, to NIE MOZE MNIE HACKNAC?
(poniewaz mam zablokowane strony)

Powinno działać, ale lepiej po prostu otworzyć plik msm w notatniku ;)

@Up
Jeżeli nie zmienią IP to tak.

Czyli tak?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem '#'.
#
# Na przykład:
#
# 102.54.94.97 rhino.acme.com # serwer źródłowy
# 38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost

127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19

No, raczej przykoksowałeś z tym, jestem za przeniesieniem mate.

Na czerwono niepokojąca mnie rzecz. Powiedzcie co jeszcze naprawić! Zmieniłem hasło na tibia.com i sie nie loguje bo się boje... Powiedzcie, czy to co na czerwono to coś złego? Bo na zielono zanzaczyłem systemowy plik. Co jeszcze usunąć? Mój log:



@edit
Usunołem to na czerwono. Był to keylogger, gdyż po dotknięciu tego, antywirus zaczoł szalec. Prosze jeszcze tylko specjalistow o rade, czy cos jeszcze nie tak w moim logu : )

Jeśli chodzi o zabezpieczenie w przyszłości, to wszedłem tam gdzie powiedziałeś i te logi były już zapisane. Nie musiałem nic wpisyac aby sie zabezpieczyc. Wczesniej uzywalem own tibia deleter, czy to on utworzyl te logi?

@Up
Daj jako załącznik plik txt...bo tu na forum jest cenzura plików . exe ;) Będzie łatwiej przeanalizować.
A deleter przy opcji "chroń w przyszłości" dodaje te wpisy to hosts ;)

Wystarczy najprostszy firewall!! Kolega ma owntibie, to ja mu powiedzałem żeby mi wysłał plik włączyłem go chciałem dać loga do tibi i wtedy mi go wykrył, dałem bloka i po sprawie :>
A pomógł mi przy tym troche owntibia***** !! :D

Ok, macie załącznik =)

wiesz, co do services . e x e to chyba raczej sa w porzadku, ale inne wpisy sa podejrzane. Radze dac loga z Hijacka i Silent Runner na forum Arcabit.

Nie, właśnie tego masz nie usuwać.

Pewnie masz ukryty albo właśnie pomyliłeś je ze sobą (ten evul to C:\Windows\Sevices. exe).

I tak tam trafi ;) Oprócz forum arcabit na wszelki wypadek daj na http://cybertrash.netarteria.pl/cyber/
@Edit
Czysto..prawie.
Usuń to:
C:\DOCUME~1\Komputer\USTAWI~1\Temp\update.tmp --- fałszywa aktualizacja ;)

Usunąłem to co mówisz : )

Jeszcze mam wątpliwości (nie wiem co to) do:

C:\WINDOWS\system32\spoolsv*****

C:\WINDOWS\System32\svchost*****

C:\WINDOWS\System32\alg*****

C:\WINDOWS\system32\WgaTray*****

C:\WINDOWS\Explorer*****

C:\WINDOWS\system32\ctfmon*****

D:\kopia\RNEFOL~1\DOKUME~1\MMDiag*****


C:\DOCUME~1\Komputer\USTAWI~1\Temp\Rar$EX00.649\Hi jackThis***** (wiem, że hijack, ale czy nie czasem coś podszywającego sie pod niego?)

Usunąć to, czy jest bezpieczne?

Explorer. exe to chyba to, dzięki czemu w ogóle możesz foldery itp. przeglądać, reszta nie wiem, nie znam się; )

Btw, svchost. exe w procesach boinien być 1 czy kilka (a może 0?) bo w sumie widzę ich u siebie 8 w tej chwili ;>

sprawdz hijackthis!'em

C:\WINDOWS\system32\spoolsv*****
nie wiem
C:\WINDOWS\System32\svchost*****
czyste
C:\WINDOWS\System32\alg*****
czyste...chyba
C:\WINDOWS\system32\WgaTray*****
ma sie pirata co ? ;)
C:\WINDOWS\Explorer*****
czyste
C:\WINDOWS\system32\ctfmon*****
czyste
D:\kopia\RNEFOL~1\DOKUME~1\MMDiag*****
nie wiem co to O.o

C:\DOCUME~1\Komputer\USTAWI~1\Temp\Rar$EX00.649\Hi jackThis***** (wiem, że hijack, ale czy nie czasem coś podszywającego sie pod niego?)
Tymczasowy plik loga hijackthis...chyba

Mam pytanko. Który plik w folderze "etc" mam wy edytować i wpisać "127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19 " ?

Hosts- otworz go notatnikiem (np otworz notatnik i przecignij plik na puste pole)
Dobra robota ;] Jestem z siebie zadowolony bo żadnego szitu na kompie nie mam, dzięki :]

- W win98 istnieje plik \WINDOWS\services\ ale nie jest to plik .e x e


najprawdopodobniej systemowy:

Zdaje sie, że w win98 to normalny plik systemowy, ale nigdy nie miałem i raczej nie będę miał win 98, żeby sprawdzić ;(

co do tibi sciagam tylko same .rec i nic mi sie nie stalo od 3 lat i pewnie sie nie stanie
bezpieczenstwa nigdy za wiele
a jak sie ktos podnieca tym ze ktos hackuje i ma free itemki i sam chce hackowac to wlasnie oni staja sie najczestszymi ofiarami

topic
tez sie zabezpieczylem* ; )

Dzisiaj sciagnalem bot o nazwie Tibia Auto. Po zainstalowaniu go zauwazylem, ze na pulpicie pojawil sie dziwny plik o nazwie "server*****". Zorientowalem sie, ze to plik owntibii, wiec sciagnalem "owntibia-deleter". Program wykryl owntibie, ale nie moglem jej usunac. Zajzalem do tego tematu i sciagnalem "Hijackthis!". Zrobilem skan i nie wiem ktory plik jest tym "owntibiowym.
Prosze o pomoc!
Udostepniam zapis mojego logu:
Logfile of HijackThis v1.99.1
Scan saved at 14:49:04, on 2007-06-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\=WSZYSTKIE=\Winamp\Winampa*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\Internet Explorer\iexplore*****
C:\Documents and Settings\adrian\Pulpit\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find.fm/?aid=95&sid=99
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: XBTB04482 - {D72F6457-DDC6-4bc2-9DB5-97AD696800B6} - C:\PROGRA~1\FINDFM~1\toolbar.dll (file missing)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\=WSZYSTKIE=\Winamp\Winampa*****"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC*****" -servicehelper
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY*****
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun*****
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray*****" /s
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001*****"
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam***** -silent
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent*****" --force_start_minimized
O4 - Startup: UniSpiker-2.6.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl*****
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet*****/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet*****/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet*****/AddLink.htm
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1130355726364
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: NetTime (NetTimeSvc) - Unknown owner - C:\Documents and Settings\Administrator\Pulpit\NetTime\NeTmSvNT**** * (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC*****" -service (file missing)

Czegoś tu nie rozumiem,jeśli mam w logu wpis:
C:\WINDOWS\system32\services*****
to znaczy że mam owtibie?

Nie, to jest plik systemowy.

Atrybut w pliku hosts tylko do odczytu zabezpieczy to przed zmianami w tym pliku i można zrobić trik żeby windows zainstalować w innym katalogu niż windows Np C:/winnt -- Taki jest w Win 2000

oraz można zablokować operacje zapis dla danego użytkownika w zakładce zabezpieczenia i logować się użytkownika a nie Admina dla Bezpieczeństwa

@up Makaveli Tha Don
Plik Service***** Jest Chroniony Windows Protect System Files
Który w Częściowo jest wyłączony w Trybie awryjnym
A najlepiej taki plik usunać z dos a dla NTFS - Dos pod NTFS
Ale c/windows/sytem32/services***** --- Jest Ważny plikiem sytemowym znam efekt jego usunęcia

http://img78.imageshack.us/my.php?im...serviceef6.jpg -- Pliki muszą mieć podpis MC
Oraz sprawdzać datę utworzenia pliku.

Dzieki
 

LOL Gdyby nie ten poradnik mialbym po moim koncieX(!!! THX:cup:

Super poradnik :cup: ale ja mam jedno pytanie w jaki sposób może dostać się owntibia do mojego kompa?? proszę o odpowiedź

Owntibia
 

Witam Mam Pytanie Chodzi mi o 3 Punkt :p

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem '#'.
#
# Na przykład:
#
# 102.54.94.97 rhino.acme.com # serwer źródłowy
# 38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19

Czy Dobrze to Zrobiłem? Proszę O odpowiedź

Przez pliki ściągnięte z internetu, oraz jak nie aktualizujesz systemu to przez exploita.

@Up
Wszystko dobrze.

Yy.. co do metody usunięcia trochę do bani, za dużo zachodu, istnieją lepsze, prostsze metody.

Skorzystałem jednak z tego wpisu do "host", może się kiedyś przyda ;)