|
Notki |
Inne To co nie pasuje do któregoś z działów a ma związek z Tibią trafia tutaj. |
|
Opcje tematu |
24-10-2011, 22:20 | #1 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Problem ze stroną...
Cześć, mam taki problem z oficjalną stroną tibi. Gdy wpisuję www.tibia.com, to pojawia się inna strona: http://imageshack.us/f/846/beztytuuoyt.png/
Jedynie jak wpisuję w google tibia.com i klikam oficjalną stronę to jest ok, ale drugi problem jest taki, że kategorie nie działają np. PLAY NOW, download client, lost account itp. (niektóre działają), wtedy czekam aż się załaduje strona, ale nic z tego: http://imageshack.us/f/11/51089117.png/ Ostatnio edytowany przez arteq123 - 24-10-2011 o 22:24. |
|
24-10-2011, 23:10 | #2 |
Moderator
Data dołączenia: 10 09 2005
Posty: 2,347
Stan: Na Emeryturze
|
Otwórz plik C:\Windows\System32\drivers\etc\hosts w notatniku i sprawdź, czy nie ma tam wpisu
[jakiś adres IP] tibia.com Coś w tym stylu. Jak jest, to go wykasuj. I przeskanuj komputer jakimś antispyware, bo to pewnie trojan Ci zmienił. Ostatnio edytowany przez Duch Niespokojny - 24-10-2011 o 23:14. |
24-10-2011, 23:58 | #3 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Mam tam napisane coś takiego, więc to chyba nie jest to:
Kod:
# Copyright (c) 1993-1999 Microsoft Corp. # # To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP # w systemie Windows. # Ten plik zawiera mapowania adresów IP na nazwy komputerów # Każdy wpis powinien być w osobnej linii. # W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie # odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone # co najmniej jedną spacją # # Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych # liniach lub po nazwie komputera, oznaczając je symbolem '#'. # # Na przykład: # # 102.54.94.97 rhino.acme.com # serwer źródłowy # 38.25.63.10 x.acme.com # komputer kliencki x 127.0.0.1 localhost |
25-10-2011, 01:51 | #4 |
Moderator
Data dołączenia: 10 09 2005
Posty: 2,347
Stan: Na Emeryturze
|
A robiłeś skan?
|
25-10-2011, 17:25 | #5 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Tak, robiłem skana spybotem i antywirusem i nic nie wykryło.
|
26-10-2011, 20:57 | #6 |
Użytkownik Forum
Data dołączenia: 11 08 2004
Lokacja: Warszawa
Posty: 30
Stan: Aktywny Gracz
Imię: Vixit
Świat: Olympa
|
Po pierwsze nie korzystaj z mozilli firefox, bo to badziewna przegladarka (polecam Google Chrome lub Comodo Dragon), po drugie:
1) wyczyść pliki cookies 2) wyczyść temporary internet files 3) zresetuj przeglądarkę (najlepiej zmień ją na inną) (czyli wyłącz ją i włącz) Jeśli nie pomoże, to powiem Ci co jeszcze możesz zrobić. Pozdrawiam Moongroow
__________________
And I will strike down upon thee with great vengeance and furious anger those who would attempt to poison and destroy my brothers. Jules Winnfield |
28-10-2011, 13:41 | #7 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Nie pomogło (w cookies 1 pliku o nazwie index nie można usunąć).
|
30-10-2011, 00:44 | #8 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Myślę, że to jest z winy elfbota pod tibie 8.54, ponieważ kolega ma to samo od czasu gdy mu przesłałem elfbota. Usunąłem go, ale problem nadal jest. Jeżeli to z jego winy to pewnie coś gdzieś zostało, tylko nie wiem gdzie tego szukać.
|
30-10-2011, 09:01 | #9 |
Użytkownik Forum
Data dołączenia: 08 01 2010
Lokacja: Carlin
Posty: 79
Stan: Początkujący
Imię: Diamond Skul
Profesja: Knight
Skille: 1/1
|
Sprawdź, czy w "autostarcie" nie odpala Ci się plik o nazwie "Lua8".
Jeśli tak, to odznacz go i wtedy może da się usunąć to ciacho. A swoją drogą, to jako boter nie powinieneś szukać tu pomocy. |
30-10-2011, 10:06 | #10 |
Użytkownik Forum
|
Ale on używa botów pewnie pod OTS'y. Na wielu otsach bot jest legalny jako leczenie itp. Bo dlaczego miałby mieć bota 8.54 ?
__________________
|
30-10-2011, 13:36 | #11 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Sprawdzałem w: start>>uruchom>>msconfig>>uruchamianie, i nie znalazłem tam nic o nazwie "Lua8"
A co do bota to jest on pod tibie 8.54 i używam go na ots 4fun... |
30-10-2011, 14:59 | #12 |
Użytkownik Forum
Data dołączenia: 08 01 2010
Lokacja: Carlin
Posty: 79
Stan: Początkujący
Imię: Diamond Skul
Profesja: Knight
Skille: 1/1
|
W takim razie przepraszam.
Wygląda to na infekcję. Zrób szybkie, oraz pełne skany komputera programami: "Mbam" i "DrWebbCureIt". Oba darmowe i do pobrania w sieci. |
04-11-2011, 19:33 | #13 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Tutaj są logi z programu Malwarebytes' Anti-Malware:
Kod:
Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Wersja bazy: 8050 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 6.0.2900.5512 2011-10-31 15:00:11 mbam-log-2011-10-31 (15-00-09).txt Typ skanowania: Pełne skanowanie (C:\|D:\|) Przeskanowano obiektów: 220564 Upłynęło: 28 minut(y), 47 sekund(y) Zainfekowanych procesów w pamięci: 2 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 2 Zainfekowane informacje rejestru systemowego: 2 Zainfekowanych folderów: 0 Zainfekowanych plików: 7 Zainfekowanych procesów w pamięci: c:\documents and settings\Artur\dane aplikacji\mservice32_t***** (PasswordStealer.Tibia) -> 2412 -> No action taken. c:\documents and settings\Artur\dane aplikacji\mservice32***** (Spyware.Password) -> 2492 -> No action taken. Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\UpdateT (PasswordStealer.Tibia) -> Value: UpdateT -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\UpdateN (Spyware.Password) -> Value: UpdateN -> No action taken. Zainfekowane informacje rejestru systemowego: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: c:\documents and settings\Artur\dane aplikacji\mservice32_t***** (PasswordStealer.Tibia) -> No action taken. c:\documents and settings\Artur\dane aplikacji\mservice32***** (Spyware.Password) -> No action taken. c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP12\A0001241***** (Trojan.Dropper) -> No action taken. c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP54\A0011228***** (Adware.Agent) -> No action taken. c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013885***** (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013886.dll (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013887.dll (Malware.Packer.Gen) -> No action taken. Zapomniałem wcześniej dodać, że od jakiegoś czasu już tej dziwnej stronki nie ma, ale za to na tibia.com linki z "secure" przed tibia.com nie działają (tak jakbym nie miał internetu lub jakaś blokada) np. https://secure.tibia.com/account/?su...ountmanagement Ostatnio edytowany przez arteq123 - 04-11-2011 o 20:35. |
04-11-2011, 23:09 | #14 |
Użytkownik Forum
Data dołączenia: 04 05 2008
Lokacja: Płock
Wiek: 31
Posty: 565
Profesja: Elder Druid
Świat: Secura/Pacera
Poziom: 500
|
Log z Mbam nic nie mowi, rownie dobrze moge Cie prosic o przeskanowanie komputera masa programow.
Sciagnij OTL (po jego uruchomieniu zaznacz "wszyscy uzytkownicy", "infekcje purity", "infekcje lop", innych opcji nie zmieniaj) i wrzuc np. na http://wklej.org/ i daj tu link. |
05-11-2011, 14:50 | #15 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
Z OTL.Txt: http://wklej.org/id/620909/, i z Extras.Txt: http://wklej.org/id/620910/
|
05-11-2011, 16:14 | #16 | |
Użytkownik Forum
Data dołączenia: 04 05 2008
Lokacja: Płock
Wiek: 31
Posty: 565
Profesja: Elder Druid
Świat: Secura/Pacera
Poziom: 500
|
Zadnej infekcji nie widac.
Odpal OTL i wklej na dole do niego ten skrypt: Cytuj:
Pozatym masz sporo syfu na komputerze. Polecam pousuwac zbedne toolbary z przegladarek. Koniecznie zaktualizuj IE do wersji 8. Wskazany reinstal FireFoxa. Sciagnij CCleanera i przeczysc nim komputer. Nortona mozesz zastapic Avastem. |
|
05-11-2011, 18:56 | #17 |
Użytkownik Forum
Data dołączenia: 22 02 2011
Wiek: 27
Posty: 16
|
http://wklej.org/id/621135/
Już mi nie wyświetla tej dziwnej strony od jakiegoś czasu, jak już pisałem. Tylko zablokowane są wszystkie linki z secure przed tibia.com, czasami się da włączyć, ale rzadko. |
05-11-2011, 19:06 | #18 |
Użytkownik Forum
Data dołączenia: 08 01 2010
Lokacja: Carlin
Posty: 79
Stan: Początkujący
Imię: Diamond Skul
Profesja: Knight
Skille: 1/1
|
Po operacji na OTL usuń jeszcze WSZYSTKIE punkty przywracania systemu.
Masz zainfekowane pliki w SVI. Analizy loga się nie podejmę. Mbam coś jednak znalazł, ale nie usunął. Blokowanie DrWeb... świadczyć może o robalu blokującym jego działanie. Wrzuć logi na dobre forum ( z całym szacunkiem dla Kolegi Vadimq) security. Przed tym usuń wirtualne napędy (emulatory) i sterownik SPTD. Przekłamuje wyniki skanowania. Spróbuj uruchomić DrWebb... w trybie awaryjnym. (f8) Przyciski mogą być blokowane przez jakiś program typu "adblock...", lub funkcję antywira. Ostatnio edytowany przez Cinderella - 05-11-2011 o 19:32. |
05-11-2011, 20:38 | #19 | |
Użytkownik Forum
Data dołączenia: 04 05 2008
Lokacja: Płock
Wiek: 31
Posty: 565
Profesja: Elder Druid
Świat: Secura/Pacera
Poziom: 500
|
Cytuj:
Autor nich wykona wszystko o co prosilem (procz zmiany antywirusa - to tylko moja sugestia, dziala imo stabilniej od Nortona). Napisz czy sa jeszcze jakies "zle objawy" i dalej zobaczymy. Linki z "secure" moga swiadczyc o jakims bledzie szyfrowania SSL, ale infekcji na tym etapie nie mozemy wykluczyc. |
|
06-11-2011, 09:13 | #20 |
Użytkownik Forum
Data dołączenia: 08 01 2010
Lokacja: Carlin
Posty: 79
Stan: Początkujący
Imię: Diamond Skul
Profesja: Knight
Skille: 1/1
|
Źródeł ewentualnej infekcji na tym komputerze może być nieco więcej, niż tylko ten OTS-owy bot.
Bo i np. : blackdMC, (na 90%), hypercam, no i - niestety- Neo. |