Problem po hacku

[suwer]

Witam, wstyd się troszkę przyznać ale wczoraj moje konto w Tibii zostało shackowane. Moja czujność została uśpiona i ściągnąłem jakiegoś tibia cama z rozszerzeniem *****. Straty może nie były olbrzymie coś koło 700k i w zasadzie jestem w stanie je przeboleć, ale pojawił się inny problem. Mianowicie nie jestem w stanie zalogować się na tibia.com. Po wejściu na stronę logowania pojawia się komunikat:

Cytuj:

Nie udało się nawiązać połączenia
Firefox nie może nawiązać połączenia z serwerem secure.tibia.com.

Do gry jestem w stanie normalnie wejść. Aczkolwiek obawiam się, że keylogger (czy jakkolwiek inaczej można nazwać ten shit ), wciąż siedzi gdzieś na moim komputerze. Przeskanowałem go na wszystkie możliwe sposoby, ale żaden antywirus nic mi nie chce znaleźć.
W każdym razie, miał ktoś z was taki problem i rozwiązał go inaczej niż formatując dysk (tego chcemy uniknąć ;P)
Czekam na jakieś sugestie i komentarze

[Maciekxd]

hijack this

[suwer]

Na hijackthis.de nic się w sumie nie wyświetla jako nasty
Ale samemu przeanalizować loga nie umiem, może wy cos znajdziecie

Cytuj:

Logfile of HijackThis v1.99.1
Scan saved at 11:26:35, on 2009-04-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\Ati2evxx*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\Ati2evxx*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\Explorer*****
C:\Program Files\Java\jre1.6.0_06\bin\jusched*****
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck*****
C:\Program Files\Keyboard Driver\OEMDriver*****
C:\Program Files\ATI Technologies\ATI.ACE\CLI*****
C:\Program Files\A4Tech\Mouse\Amoumain*****
C:\Program Files\CyberLink\PowerDVD\PDVDServ*****
C:\Program Files\Canon\MyPrinter\BJMyPrt*****
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol*****
C:\WINDOWS\system32\Rundll32*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\Documents and Settings\Rzewniś\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Creative\Shared Files\CTAudSvc*****
C:\Program Files\Canon\IJPLM\IJPLMSVC*****
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost*****
C:\WINDOWS\system32\PnkBstrA*****
C:\WINDOWS\system32\PnkBstrB*****
C:\Program Files\Analog Devices\SoundMAX\SMAgent*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\Program Files\ATI Technologies\ATI.ACE\cli*****
C:\WINDOWS\system32\wscntfy*****
C:\WINDOWS\system32\wuauclt*****
C:\Program Files\RALINK\Common\RaUI*****
C:\Program Files\Mozilla Firefox3\firefox*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\AQQ2\AQQ*****
C:\Program Files\uTorrent\uTorrent*****
C:\sciagniete\HijackThis*****

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost***** /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx*****
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart*****"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched*****"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck***** 1
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg*****
O4 - HKLM\..\Run: [KBDriver] C:\Program Files\Keyboard Driver\OEMDriver*****
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain*****
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ*****"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN***** /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt***** /logon
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol***** /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray*****
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser***** -hide
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Rzewniś\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate*****" /c
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL*****/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1161799279171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1161799263061
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupda...5035/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40F1EBCD-00F4-4330-82F3-D7F2B0A9850A}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{61140C21-C6EB-4343-BC56-A00B75A01D50}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx*****
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc*****
O23 - Service: DU Meter Service (DUMeterSvc) - Unknown owner - C:\Program Files\DU Meter\DUMeterSvc***** (file missing)
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC*****
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService*****
O23 - Service: MailEnable List Connector (MELCS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MELSC***** (file missing)
O23 - Service: MailEnable Mail Transfer Agent (MEMTAS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MEMTA***** (file missing)
O23 - Service: MailEnable Postoffice Connector (MEPOCS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MEPOC***** (file missing)
O23 - Service: MailEnable POP Service (MEPOPS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MEPOPS***** (file missing)
O23 - Service: MailEnable SMTP Connector (MESMTPCS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MESMTPC***** (file missing)
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp***** (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost*****
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA*****
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB*****
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent*****
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd*****" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt*****

[Gonzo]

Keylogger najprawdopodobniej zablokował możliwość łączenia się z secure.tibia.com.

Zrób tak:

1) Wejdź w wiersz polecenia.
2) Wpisz msconfig.
3) Jeżeli znajdziesz taki wpis: {xxxx-xxxx-xxxx} lub {xxxx-xxxx-xxxx-xxxx} (gdzie xxxx to losowe liczby) to odznacz to, kliknij OK i zrestartuj komputer.

TERAZ, JEŚLI TAKI WPIS BYŁ TO:

4a) Wejdź jeszcze raz w msconfig, i sprawdź tabele "Polecenie" obok tych wpisów (nic nie zaznaczaj, po prostu sprawdź gdzie plik się znajduje).
5a) Odnajdź te pliki na swoim komputerze i je zwyczajnie usuń.
6a) jeszcze raz zrestartuj komputer, voilà!

JEŚLI TAKIEGO WPISU NIE BYŁO TO:

4b) Zrób screenshoot wszystkich wpisów + wszystkich zainstalowanych na komputerze programów (z panelu sterowania) i wklej tutaj, pogłówkuję i Ci powiem.

[suwer]

Dobra doszedłem do tego co było nie tak.
W pliku:
hosts w katalogu: C:\WINDOWS\system32\drivers\etc
keylogger dodał taki wpis: 127.0.0.1 secure.tibia.com
Uniemożliwiło to wejście na stronę logowania na tibia.com
Zastanawiam się tylko czy już keylogger został usunięty na dobre, czy jeszcze się gdzieś czai. Ale o tym dowiem się dopiero przy następnym hacku (chyba że ktoś coś widzi w moim logu z hijacthis).
W każdym razie dzięki wielkie za zainteresowanie, moim kłopotem

[StagG]

Cytuj:

Oryginalnie napisane przez suwer

Na hijackthis.de nic się w sumie nie wyświetla jako nasty
Ale samemu przeanalizować loga nie umiem, może wy cos znajdziecie

C:\Program Files\Alwil Software\Avast4\

tu jest twój największy problem.

To co usunąłeś, to tylko przekierowanie z secure~~ na twojego kompa. malware dalej czyha, więc najlepiej zrób formata, i nie instaluj więcej avasta. To będzie nauczka na przyszłość i dowód, że avast sux : )

[suwer]

Cytuj:

Oryginalnie napisane przez StagG

C:\Program Files\Alwil Software\Avast4\

tu jest twój największy problem.

To co usunąłeś, to tylko przekierowanie z secure~~ na twojego kompa. malware dalej czyha, więc najlepiej zrób formata, i nie instaluj więcej avasta. To będzie nauczka na przyszłość i dowód, że avast sux : )

Powiedz mi lepiej gdzie czyha, bo format w grę raczej nie wchodzi ;P