Problem ze stroną...

[arteq123]

Cześć, mam taki problem z oficjalną stroną tibi. Gdy wpisuję www.tibia.com, to pojawia się inna strona: http://imageshack.us/f/846/beztytuuoyt.png/
Jedynie jak wpisuję w google tibia.com i klikam oficjalną stronę to jest ok, ale drugi problem jest taki, że kategorie nie działają np. PLAY NOW, download client, lost account itp. (niektóre działają), wtedy czekam aż się załaduje strona, ale nic z tego: http://imageshack.us/f/11/51089117.png/

[Duch Niespokojny]

Otwórz plik C:\Windows\System32\drivers\etc\hosts w notatniku i sprawdź, czy nie ma tam wpisu
[jakiś adres IP] tibia.com
Coś w tym stylu. Jak jest, to go wykasuj.
I przeskanuj komputer jakimś antispyware, bo to pewnie trojan Ci zmienił.

[arteq123]

Mam tam napisane coś takiego, więc to chyba nie jest to:

Kod:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie 
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem '#'.
#
# Na przykład:
#
#      102.54.94.97     rhino.acme.com          # serwer źródłowy
#       38.25.63.10     x.acme.com              # komputer kliencki x

127.0.0.1       localhost

[Duch Niespokojny]

A robiłeś skan?

[arteq123]

Tak, robiłem skana spybotem i antywirusem i nic nie wykryło.

[Moongroow]

Po pierwsze nie korzystaj z mozilli firefox, bo to badziewna przegladarka (polecam Google Chrome lub Comodo Dragon), po drugie:

1) wyczyść pliki cookies
2) wyczyść temporary internet files
3) zresetuj przeglądarkę (najlepiej zmień ją na inną) (czyli wyłącz ją i włącz)

Jeśli nie pomoże, to powiem Ci co jeszcze możesz zrobić.

Pozdrawiam
Moongroow

[arteq123]

Nie pomogło (w cookies 1 pliku o nazwie index nie można usunąć).

[arteq123]

Myślę, że to jest z winy elfbota pod tibie 8.54, ponieważ kolega ma to samo od czasu gdy mu przesłałem elfbota. Usunąłem go, ale problem nadal jest. Jeżeli to z jego winy to pewnie coś gdzieś zostało, tylko nie wiem gdzie tego szukać.

[Cinderella]

Sprawdź, czy w "autostarcie" nie odpala Ci się plik o nazwie "Lua8".
Jeśli tak, to odznacz go i wtedy może da się usunąć to ciacho.
A swoją drogą, to jako boter nie powinieneś szukać tu pomocy.

[voice]

Ale on używa botów pewnie pod OTS'y. Na wielu otsach bot jest legalny jako leczenie itp. Bo dlaczego miałby mieć bota 8.54 ?

[arteq123]

Sprawdzałem w: start>>uruchom>>msconfig>>uruchamianie, i nie znalazłem tam nic o nazwie "Lua8"


A co do bota to jest on pod tibie 8.54 i używam go na ots 4fun...

[Cinderella]

W takim razie przepraszam.
Wygląda to na infekcję.
Zrób szybkie, oraz pełne skany komputera programami:
"Mbam" i "DrWebbCureIt".
Oba darmowe i do pobrania w sieci.

[arteq123]

Tutaj są logi z programu Malwarebytes' Anti-Malware:

Kod:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Wersja bazy: 8050

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 6.0.2900.5512

2011-10-31 15:00:11
mbam-log-2011-10-31 (15-00-09).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowano obiektów: 220564
Upłynęło: 28 minut(y), 47 sekund(y)

Zainfekowanych procesów w pamięci: 2
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 2
Zainfekowane informacje rejestru systemowego: 2
Zainfekowanych folderów: 0
Zainfekowanych plików: 7

Zainfekowanych procesów w pamięci:
c:\documents and settings\Artur\dane aplikacji\mservice32_t***** (PasswordStealer.Tibia) -> 2412 -> No action taken.
c:\documents and settings\Artur\dane aplikacji\mservice32***** (Spyware.Password) -> 2492 -> No action taken.

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\UpdateT (PasswordStealer.Tibia) -> Value: UpdateT -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\UpdateN (Spyware.Password) -> Value: UpdateN -> No action taken.

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\documents and settings\Artur\dane aplikacji\mservice32_t***** (PasswordStealer.Tibia) -> No action taken.
c:\documents and settings\Artur\dane aplikacji\mservice32***** (Spyware.Password) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP12\A0001241***** (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP54\A0011228***** (Adware.Agent) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013885***** (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013886.dll (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013887.dll (Malware.Packer.Gen) -> No action taken.

A w tym drugim programie nie zrobiłem skana, bo jak klikam start, to pojawia się ta zielona ramka, nic się nie da włączyć. I jest tak cały czas, więc muszę zresetować kompa (pobierałem z oficjalnej stronki).
Zapomniałem wcześniej dodać, że od jakiegoś czasu już tej dziwnej stronki nie ma, ale za to na tibia.com linki z "secure" przed tibia.com nie działają (tak jakbym nie miał internetu lub jakaś blokada) np. https://secure.tibia.com/account/?su...ountmanagement

[Vadimq]

Log z Mbam nic nie mowi, rownie dobrze moge Cie prosic o przeskanowanie komputera masa programow.

Sciagnij OTL (po jego uruchomieniu zaznacz "wszyscy uzytkownicy", "infekcje purity", "infekcje lop", innych opcji nie zmieniaj) i wrzuc np. na http://wklej.org/ i daj tu link.

[arteq123]

Z OTL.Txt: http://wklej.org/id/620909/, i z Extras.Txt: http://wklej.org/id/620910/

[Vadimq]

Zadnej infekcji nie widac.
Odpal OTL i wklej na dole do niego ten skrypt:

Cytuj:

:OTL
IE - HKU\S-1-5-21-1645522239-287218729-839522115-1003\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\InprocServer32 File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll File not found
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll File not found
O4 - HKU\S-1-5-21-1645522239-287218729-839522115-1003..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate*****" "sleep" File not found
O32 - AutoRun File - [2011-09-14 13:54:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

:Commands
[EMPTYTEMP]
[EMPTYFLASH]
[RESETHOSTS]

I kliknij u góry wykonaj skypt. Przed ta operacja wylacz tibie.

Pozatym masz sporo syfu na komputerze. Polecam pousuwac zbedne toolbary z przegladarek. Koniecznie zaktualizuj IE do wersji 8. Wskazany reinstal FireFoxa. Sciagnij CCleanera i przeczysc nim komputer. Nortona mozesz zastapic Avastem.

[arteq123]

http://wklej.org/id/621135/
Już mi nie wyświetla tej dziwnej strony od jakiegoś czasu, jak już pisałem. Tylko zablokowane są wszystkie linki z secure przed tibia.com, czasami się da włączyć, ale rzadko.

[Cinderella]

Po operacji na OTL usuń jeszcze WSZYSTKIE punkty przywracania systemu.
Masz zainfekowane pliki w SVI.

Analizy loga się nie podejmę.
Mbam coś jednak znalazł, ale nie usunął.
Blokowanie DrWeb... świadczyć może o robalu blokującym jego działanie.

Wrzuć logi na dobre forum ( z całym szacunkiem dla Kolegi Vadimq) security.
Przed tym usuń wirtualne napędy (emulatory) i sterownik SPTD.
Przekłamuje wyniki skanowania.
Spróbuj uruchomić DrWebb... w trybie awaryjnym. (f8)

Przyciski mogą być blokowane przez jakiś program typu "adblock...", lub funkcję antywira.

[Vadimq]

Cytuj:

Oryginalnie napisane przez Cinderella

Po operacji na OTL usuń jeszcze WSZYSTKIE punkty przywracania systemu.
Masz zainfekowane pliki w SVI.

Analizy loga się nie podejmę.
Mbam coś jednak znalazł, ale nie usunął.
Blokowanie DrWeb... świadczyć może o robalu blokującym jego działanie.

Wrzuć logi na dobre forum ( z całym szacunkiem dla Kolegi Vadimq) security.
Przed tym usuń wirtualne napędy (emulatory) i sterownik SPTD.
Przekłamuje wyniki skanowania.
Spróbuj uruchomić DrWebb... w trybie awaryjnym. (f8)

Przyciski mogą być blokowane przez jakiś program typu "adblock...", lub funkcję antywira.

W logu juz nic nie ma. Rzadko sie zdarza, ze syfy zwiazane z tibia powracaja z SVI, ale dla pewnosci mozna usunac. Nie preferuje tego robic odrazu komenda w OTL, zeby w razie czego (np. mojego bledu lub uzytkownika - w koncu jestesmy tylko ludzmi hehe) bylo z czego przywrocic system.

Autor nich wykona wszystko o co prosilem (procz zmiany antywirusa - to tylko moja sugestia, dziala imo stabilniej od Nortona). Napisz czy sa jeszcze jakies "zle objawy" i dalej zobaczymy.
Linki z "secure" moga swiadczyc o jakims bledzie szyfrowania SSL, ale infekcji na tym etapie nie mozemy wykluczyc.

[Cinderella]

Źródeł ewentualnej infekcji na tym komputerze może być nieco więcej, niż tylko ten OTS-owy bot.
Bo i np. : blackdMC, (na 90%), hypercam, no i - niestety- Neo.