Jesteś tu: Tibia.pl / Forum

stary 27-05-2007, 13:07   #1
Uther92
Użytkownik Forum
 
Uther92's Avatar
 
Data dołączenia: 19 05 2006
Lokacja: Za górami, za lasami....
Wpisy bloga: 1

Posty: 1,387
Stan: Na Emeryturze
Profesja: Rookstayer
Domyślny Usuwanie owntbia

Starałeś się zabezpieczyć swój komputer, dobrze chroniłeś hasło i ważne dane, jednak chwila nieuwagi i niewykrywalny keylogger znalazł się na twoim komputerze...Taki scenariusz może spotkać każdego, postaram się więc opisać jak oczyścić swoją maszyną z tego plugastwa.

1.Detekcja
Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny:
www.merijn.org/files/hijackthis. zip (mirror:www.server.9x.pl/prv/hijackthis. zip )
Następnie uruchamiamy program hijackthis. exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a).
Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services. exe
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services. exe
lub
O4 - HKLM\..\Run: [auto] C:\WINDOWS\services*****
Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik
Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess. exe jednak to ważny plik systemowy i nie wolno go usuwać.

2.Usuwanie
Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket.KillBox.2.0.0.473. html

Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii.

3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
127.0.0.1 wizzard.home.pl
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi

*Linki aby poprawnie działały należy usunąć spację z przed rozszerzenia np exe, html.

Działające linki:
Hijackthis - http://www.instalki.pl/programy/down...HijackThis.php
KillBox - http://www.instalki.pl/programy/down...et_KillBox.php
__________________
***
† Jarosław Krasuski (1974-2007)
***
Może wstawisz mi notkę ?
***
Masz problem z keyloggerem ? Nie jesteś pewien co do swojego bezpieczeństwa ? Chętnie ci pomogę

Ostatnio edytowany przez Slythia - 15-06-2009 o 09:04. Powód: update
Uther92 jest offline   Odpowiedz z Cytatem

PAMIĘTAJ! Źródłem utrzymania forum są reklamy. Dziękujemy za uszanowanie ich obecności.
stary 27-05-2007, 13:20   #2
Nari
Użytkownik Forum
 
Nari's Avatar
 
Data dołączenia: 06 12 2006
Lokacja: www.tibiaspy.com

Posty: 1,549
Stan: Na Emeryturze
Domyślny

Wspaniałe, GZ
Więcej takich ludzi
@edit pierwszy
__________________
*Tooku sora mado no mukou*

Nari jest offline   Odpowiedz z Cytatem
stary 27-05-2007, 13:26   #3
Ezeqeel
Użytkownik Forum
 
Ezeqeel's Avatar
 
Data dołączenia: 30 04 2007
Lokacja: ŁDZ
Wiek: 28

Posty: 32
Profesja: Elite Knight
Świat: Astera
Domyślny

Poradnik ładnie opisany i chyba przydałyby go sie przenieść
__________________

-------------------------------------------------------------
Życie jest jak szachy, albo posuwasz królową, albo bijesz konia.
-------------------------------------------------------------
16:47 Morytas Fenix [51]: niemam czasu
16:47 Morytas Fenix [51]: patrze jak mi mana rosnie
-------------------------------------------------------------
Ezeqeel jest offline   Odpowiedz z Cytatem
stary 27-05-2007, 21:22   #4
Uther92
Użytkownik Forum
 
Uther92's Avatar
 
Data dołączenia: 19 05 2006
Lokacja: Za górami, za lasami....
Wpisy bloga: 1

Posty: 1,387
Stan: Na Emeryturze
Profesja: Rookstayer
Domyślny

Sorki za literówkę w nazwie tematu
Ale proszę komentować bo nie wiem czy dobrze napisałem etc
__________________
***
† Jarosław Krasuski (1974-2007)
***
Może wstawisz mi notkę ?
***
Masz problem z keyloggerem ? Nie jesteś pewien co do swojego bezpieczeństwa ? Chętnie ci pomogę
Uther92 jest offline   Odpowiedz z Cytatem
stary 27-05-2007, 21:25   #5
owntibia.exe
Zbanowany
 
Data dołączenia: 23 04 2007
Lokacja: Płock

Posty: 291
Świat: RL
Domyślny

Podsumowując, do usunięcie tego ścierwa wystarczy hijack, żaden deleter =)
owntibia.exe jest offline   Odpowiedz z Cytatem
stary 27-05-2007, 22:26   #6
Milu Arhangel
Guest
 

Posty: n/a
Domyślny Good job ;]

Ładny poradnik, myślę że pomoże wielu ludziom z tego forum. O dziwo jak otwierałem plik "hosts" to już miałem wpisane adresy, które tu zamieściłeś, a wcześniej tego nie robiłem O_o. Jestem za przeniesieniem
  Odpowiedz z Cytatem
stary 28-05-2007, 11:16   #7
Tabasco
Użytkownik Forum
 
Data dołączenia: 07 05 2005

Posty: 86
Domyślny

No poradnik dobry sam w sumie z niego skorzystalem tylko jedno pytanko autor tematu radzi usunac plik
C:\WINDOWS\system32\services*****

ale za to nie usuwac pliku C:\WINDOWS\system32\servicess*****

sek tego ze pierwszy plik odnalazlem a 2 - systemowego nie Oo
Hmm jakies propozycje co by z tym zrobic ?
Tabasco jest offline   Odpowiedz z Cytatem
stary 28-05-2007, 11:29   #8
Lasooch
Użytkownik Forum
 
Lasooch's Avatar
 
Data dołączenia: 08 02 2006

Posty: 3,852
Profesja: Master Sorcerer
Świat: Inferna
Poziom: 5x
Skille: nvm/nvm
Poziom mag.: 4x
Domyślny

Autor radzi usunąć C:\WINDOWS\services. exe, nie C:\WINDOWS\system32\services. exe (no chyba, że coś źle zrozumiałem )
__________________
If you come here... you'll find me. I promise.
Lasooch jest offline   Odpowiedz z Cytatem
stary 28-05-2007, 11:39   #9
Tabasco
Użytkownik Forum
 
Data dołączenia: 07 05 2005

Posty: 86
Domyślny

No w sumie racja inna sciezka dostepu wiec chyba jest dobrze
Znaczy sie nie dysponuje owntibia :d
Tabasco jest offline   Odpowiedz z Cytatem
stary 28-05-2007, 15:17   #10
Djkwaku
Użytkownik Forum
 
Djkwaku's Avatar
 
Data dołączenia: 28 03 2006

Posty: 281
Domyślny

były różne poradniki, ale najbardziej spodobała mi się opcja jak się zabezpieczyć przed tym, thx dla autora - jestem za przeniesieniem bo tego jeszcze tutaj nie było ;p
Djkwaku jest offline   Odpowiedz z Cytatem
stary 28-05-2007, 17:02   #11
SERnik
Użytkownik Forum
 
SERnik's Avatar
 
Data dołączenia: 21 10 2006
Lokacja: w Thunder Bluff xDD

Posty: 136
Stan: Aktywny Gracz
Świat: Nagrand // WoW
Poziom: 63
Domyślny

Cytuj:
Oryginalnie napisane przez Lasooch Pokaż post
Autor radzi usunąć C:\WINDOWS\services. exe, nie C:\WINDOWS\system32\services. exe (no chyba, że coś źle zrozumiałem )
Dobrze zrozumiałeś

C:\WINDOWS\system32\services. exe to ważny plik systemowy - NIE USUWAĆ !
__________________


Cytuj:
13:11 Osis Odem [6]: shovel please na questa z rotwormami tam gdzie skielety

19:45 Elda Alon [35]: Buy Twin Axe

18:58 Modelgce [22]: kto mnie wezmie do gildi i nie wyjebie bo sie nie dam

22:34 Zazy Moon [28]: los cie pokasal chyba jeleniu
SERnik jest offline   Odpowiedz z Cytatem
stary 29-05-2007, 20:55   #12
Marecki666
Użytkownik Forum
 
Marecki666's Avatar
 
Data dołączenia: 27 12 2005
Lokacja: Lublin

Posty: 579
Stan: Aktywny Gracz
Profesja: Knight
Gildia: Innomin8s
Świat: noobtional pvp
Domyślny

a gdy zmienie te hosts.msm czy jakos tak na hosts.txt i dopisze te linijki to potem mam go zmienic znowu na .msm?
__________________
lepiej być murarzem niż ćpunem
Marecki666 jest offline   Odpowiedz z Cytatem
stary 29-05-2007, 22:07   #13
Sasse
Użytkownik Forum
 
Sasse's Avatar
 
Data dołączenia: 19 04 2007

Posty: 109
Imię: xxx
Profesja: Knight
Gildia: xxx
Świat: Calmera4ever
Poziom: xx
Skille: xx/xx
Poziom mag.: xx
Domyślny

Przyda sie
Staram sie nie dac sie hacknac, ale ostroznosci nigdy za wiele
PS. HiJackThis 1.99.1 mozna pobrac jeszcze z serwisu www.dobreprogramy.pl
PS2. jesli NIE MAM na kompie tego shitu, i mam zablokowane strony z owntibia,
i nagle na moim kompie znajdzie sie owntibia, to NIE MOZE MNIE HACKNAC?
(poniewaz mam zablokowane strony)

Ostatnio edytowany przez Sasse - 29-05-2007 o 22:17.
Sasse jest offline   Odpowiedz z Cytatem
stary 29-05-2007, 23:34   #14
Uther92
Użytkownik Forum
 
Uther92's Avatar
 
Data dołączenia: 19 05 2006
Lokacja: Za górami, za lasami....
Wpisy bloga: 1

Posty: 1,387
Stan: Na Emeryturze
Profesja: Rookstayer
Domyślny

Cytuj:
Oryginalnie napisane przez Marecki666 Pokaż post
a gdy zmienie te hosts.msm czy jakos tak na hosts.txt i dopisze te linijki to potem mam go zmienic znowu na .msm?
Powinno działać, ale lepiej po prostu otworzyć plik msm w notatniku

@Up
Jeżeli nie zmienią IP to tak.
__________________
***
† Jarosław Krasuski (1974-2007)
***
Może wstawisz mi notkę ?
***
Masz problem z keyloggerem ? Nie jesteś pewien co do swojego bezpieczeństwa ? Chętnie ci pomogę
Uther92 jest offline   Odpowiedz z Cytatem
stary 30-05-2007, 00:10   #15
Hellraiser
Użytkownik Forum
 
Data dołączenia: 14 06 2005
Wiek: 28

Posty: 1,072
Stan: Niegrający
Świat: Aurora
Domyślny

Cytuj:
Oryginalnie napisane przez Uther92 Pokaż post
3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi
Czyli tak?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem '#'.
#
# Na przykład:
#
# 102.54.94.97 rhino.acme.com # serwer źródłowy
# 38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost

127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19

No, raczej przykoksowałeś z tym, jestem za przeniesieniem mate.
__________________
Ostatnia wizyta: 21-01-2008 o 20:41
Hellraiser jest offline   Odpowiedz z Cytatem
stary 30-05-2007, 02:14   #16
Lifter
Użytkownik Forum
 
Lifter's Avatar
 
Data dołączenia: 10 09 2006

Posty: 412
Domyślny

Na czerwono niepokojąca mnie rzecz. Powiedzcie co jeszcze naprawić! Zmieniłem hasło na tibia.com i sie nie loguje bo się boje... Powiedzcie, czy to co na czerwono to coś złego? Bo na zielono zanzaczyłem systemowy plik. Co jeszcze usunąć? Mój log:

Ukryty tekst:
Logfile of HijackThis v1.99.1
Scan saved at 23:59:42, on 2007-05-29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\csrss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss*****
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM*****
C:\Program Files\Spyware Doctor\sdhelp*****
C:\Program Files\Windows Media Player\WMPNetwk*****
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\WINDOWS\Explorer*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\WINDOWS\System32\alg*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\Program Files\iTunes\iTunesHelper*****
C:\WINDOWS\system32\ctfmon*****
D:\kopia\RNEFOL~1\DOKUME~1\MMDiag*****
C:\WINDOWS\system32\WgaTray*****
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui*****
C:\Program Files\iPod\bin\iPodService*****
D:\kopia\Różne foldery\Dokumenty inne\mim*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\WinRAR\WinRAR*****
C:\DOCUME~1\Komputer\USTAWI~1\Temp\Rar$EX00.385\Hi jackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock*****
O4 - HKLM\..\Run: [services] C:\windows\services*****
O4 - HKLM\..\Run: [MimBoot] D:\kopia\RNEFOL~1\DOKUME~1\mimboot*****
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper*****"
O4 - HKCU\..\Run: [ctfmon*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [Odkurzacz-MCD] D:\Odkurzacz\odk_mcd*****
O17 - HKLM\System\CCS\Services\Tcpip\..\{A546C956-0D00-4D33-9BE5-128A7CFC47BF}: NameServer = 194.204.159.1 217.98.63.164
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService*****
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss*****
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp*****


@edit
Usunołem to na czerwono. Był to keylogger, gdyż po dotknięciu tego, antywirus zaczoł szalec. Prosze jeszcze tylko specjalistow o rade, czy cos jeszcze nie tak w moim logu : )

Jeśli chodzi o zabezpieczenie w przyszłości, to wszedłem tam gdzie powiedziałeś i te logi były już zapisane. Nie musiałem nic wpisyac aby sie zabezpieczyc. Wczesniej uzywalem own tibia deleter, czy to on utworzyl te logi?
__________________
Keylogger tygodnia:

Cytuj:
Oryginalnie napisane przez Sasisok
Witam jesli ktos chce obejrzec film solo dmeon 70 lvl sorcerer link daje
***
Uwaga moze wystapic trojan albo keylogger w nie ktorych anty wirach bo w exe dodałem film by był lepszy efekt jak i dzwieku i graficzny

Ostatnio edytowany przez Lifter - 30-05-2007 o 02:36.
Lifter jest offline   Odpowiedz z Cytatem
stary 30-05-2007, 10:08   #17
Uther92
Użytkownik Forum
 
Uther92's Avatar
 
Data dołączenia: 19 05 2006
Lokacja: Za górami, za lasami....
Wpisy bloga: 1

Posty: 1,387
Stan: Na Emeryturze
Profesja: Rookstayer
Domyślny

@Up
Daj jako załącznik plik txt...bo tu na forum jest cenzura plików . exe Będzie łatwiej przeanalizować.
A deleter przy opcji "chroń w przyszłości" dodaje te wpisy to hosts
__________________
***
† Jarosław Krasuski (1974-2007)
***
Może wstawisz mi notkę ?
***
Masz problem z keyloggerem ? Nie jesteś pewien co do swojego bezpieczeństwa ? Chętnie ci pomogę
Uther92 jest offline   Odpowiedz z Cytatem
stary 30-05-2007, 10:34   #18
Ushka
Zbanowany
 
Data dołączenia: 05 12 2005
Lokacja: Bielsko-Biała _/
Wiek: 26

Posty: 166
Stan: Niegrający
Imię: Maciek
Świat: Prawdziwy
Poziom: Co?
Skille: Wtf??
Poziom mag.: o0
Domyślny

Wystarczy najprostszy firewall!! Kolega ma owntibie, to ja mu powiedzałem żeby mi wysłał plik włączyłem go chciałem dać loga do tibi i wtedy mi go wykrył, dałem bloka i po sprawie :>
A pomógł mi przy tym troche owntibia***** !!
Ushka jest offline   Odpowiedz z Cytatem
stary 30-05-2007, 10:57   #19
Lifter
Użytkownik Forum
 
Lifter's Avatar
 
Data dołączenia: 10 09 2006

Posty: 412
Domyślny

Ok, macie załącznik =)
Załączone pliki
Typ pliku: txt hijackthis.txt (3.4 KB, obejrzeń: 302)
__________________
Keylogger tygodnia:

Cytuj:
Oryginalnie napisane przez Sasisok
Witam jesli ktos chce obejrzec film solo dmeon 70 lvl sorcerer link daje
***
Uwaga moze wystapic trojan albo keylogger w nie ktorych anty wirach bo w exe dodałem film by był lepszy efekt jak i dzwieku i graficzny
Lifter jest offline   Odpowiedz z Cytatem
stary 30-05-2007, 11:45   #20
Iron'knight
Użytkownik Forum
 
Iron'knight's Avatar
 
Data dołączenia: 10 12 2006
Lokacja: Rawa Mazowiecka _/
Wiek: 24

Posty: 454
Stan: Aktywny Gracz
Profesja: Knight
Świat: Aurea
Poziom: 48
Skille: slabe
Poziom mag.: 5
Domyślny

Cytuj:
Oryginalnie napisane przez Lifter Pokaż post
Ok, macie załącznik =)
wiesz, co do services . e x e to chyba raczej sa w porzadku, ale inne wpisy sa podejrzane. Radze dac loga z Hijacka i Silent Runner na forum Arcabit.
__________________
Sing me a song, you're a singer
Do me a wrong, you're a bringer of evil
The Devil is never a maker
The less that you give, you're a taker
So it's on and on and on, it's Heaven and Hell, oh well

Iron'knight jest offline   Odpowiedz z Cytatem
Odpowiedz


Użytkowników czytających ten temat: 1 (zarejestrowanych: 0, gości: 1)
 
Opcje tematu

Zasady postowania
Nie możesz dodawać tematów
Nie możesz odpowiadać
Nie możesz dodawać załączników
Nie możesz edytować swoich postów

BB Kod jest Włączone
UśmieszkiWłączone
[IMG]Włączone
Kody HTML są Wyłączone
Przejdź do forum


Wszystkie czasy podano w strefie GMT +2. Teraz jest 09:17.


Powered by vBulletin 3