Usuwanie keyloggera Lord of Tibia

[Dwimenor]

Nie tyle omija, co nie łączy się samodzielnie z internetem, ale wykorzystuje do tego internet explorera/eksploratora windows.
Po prostu każe się połączyć z http://www.hackmeplx.pl/dodaj.php?lo...chwycone_hasło
Czy tam jeszcze kilka innych zmiennych. Dzięki temu nie jest wykrywany przez firewalle jako program łączący się z zewnętrznym serverem. Oczywiście, jeżeli mamy zablokowane programy iexplorer****** i explorer******* w firewallu w teorii nie nie powinno przejść. Tak w teorii, nie testowałem tego


*Używanie internet eksplorera to szukanie guza
** od czasów win98 i IE 5.0, programy IE i eksplorator windows są zintegrowane-przy pomocy eksploratora można przeglądać strony www, korzystając z silnika IE.

Edit
Przenoszę do poradników.

Edit 2:
oczywiście można jeszcze dopisać hackmeplx.pl do hosts, jak to elvena pisze. Skuteczniejsze dopóki keylog nie wykazuje tamtych wpisów.. Chodź na winxp, jeżeli nie siedzimy na koncie root, tylko na zwykłym userze, nie powinien mieć do tego uprawnień.

[Valderor]

Cytuj:

Oryginalnie napisane przez Dwimenor

Nie tyle omija, co nie łączy się samodzielnie z internetem, ale wykorzystuje do tego internet explorera/eksploratora windows.
Po prostu każe się połączyć z http://www.hackmeplx.pl/dodaj.php?lo...chwycone_hasło
Czy tam jeszcze kilka innych zmiennych. Dzięki temu nie jest wykrywany przez firewalle jako program łączący się z zewnętrznym serverem. Oczywiście, jeżeli mamy zablokowane programy iexplorer****** i explorer******* w firewallu w teorii nie nie powinno przejść. Tak w teorii, nie testowałem tego


*Używanie internet eksplorera to szukanie guza
** od czasów win98 i IE 5.0, programy IE i eksplorator windows są zintegrowane-przy pomocy eksploratora można przeglądać strony www, korzystając z silnika IE.

Edit
Przenoszę do poradników.

Edit 2:
oczywiście można jeszcze dopisać hackmeplx.pl do hosts, jak to elvena pisze. Skuteczniejsze dopóki keylog nie wykazuje tamtych wpisów.. Chodź na winxp, jeżeli nie siedzimy na koncie root, tylko na zwykłym userze, nie powinien mieć do tego uprawnień.

Dopisywanie do pliku hosts nie ma dużego sensu, bo posłużył się tą metodą owntibia deleter z torga i owntibia nauczyła się takie wpisy usuwać.

Dwimenor masz w 100% rację. "Keyloggery" typu owntibia i podobne "omijają" firewalla w ten sposób, że korzystają z Internet Explorera, którego zwykle każdy firewall przepuszcza.

Oczywiście możemy to wykorzystać w celu zablokowania owntibii:
1. Upewniamy się, że mamy zainstalowanego Firefoxa lub Operę.
2. Znajdujemy plik c:\program files\internet explorer\iexplore. exe i USUWAMY.
3. Gotowe. Owntibia nie ma jak się skomunikować z serwerem i nie jesteśmy hackowani. Oczywiście dopóki Wizzard nie zrobi update.

Testowane dzisiaj na (chyba stosunkowo świeżej wersji) owntibii vip.

Edit: Oj, właśnie zauważyłem, że to zły temat. Sposób z usunięciem iexplore. exe działa na owntibię i tibiastealera. Na temat lord of tibia nie mam żadnych informacji, a nie chce mi się zakładać u nich konta. Prośba, czy ktoś może tego lord of tibia wystawić np. na rapidshare?

[igoman]

Cytuj:

2. Znajdujemy plik c:\program files\internet explorer\iexplore. exe i USUWAMY.

CZYLI IKONKE TEGO CALEGO IEXPLORERA WYWALAMY??

@up
Tak Właśnie przed chwilką usunąłem ten plik prowadzący do dupnego programu. Osobiście używam firefoxa i nie zamierzam nic zmieniać

btw IE SUX!!!!

@edit
@2 up
Dziwne, jak usuwam ten plik to sam się odnawia, lol. Zna ktoś program do CAŁKOWTEGO usuwania IE z kompa?

[Polinik]

Cytuj:

Oryginalnie napisane przez Milu Arhangel

Dziwne, jak usuwam ten plik to sam się odnawia, lol. Zna ktoś program do CAŁKOWTEGO usuwania IE z kompa?

Oczywiście, że się odnawia. To jeden z ważniejszych plików w Windowsie. A ponieważ Eksplorator Windows korzysta z tego samego silnika co IE, to tego drugiego nie da się tak po prostu usunąć. Jest zbyt mocno zintegrowany z samym systemem.

[Dwimenor]

Problem z tym, że wywalenie IE z systemu nie jest takie proste. Przy instalacji win98 można wybrać(wow, Microsoft daje wybór!), czy IE ma być zainstalowany. Nie wiem jak w winxp. Po instalacji: niby są metody(dla googla: "usuwanie IE z systemu" i podobne), ale z tego co czytałem to masa grzebania w rejestrze.
Drugi problem: IE jest bardzo zintegrowany z systemem i wywalenie powoduje utracenie stabilności. Ponadto wiele programów działa przy pomocy tej przeglądarki. Płytki z różnych czasopism(Komputer Świat), niektóre antywirusy/firewalle(kiedyś Zone Alarm nie chciał się zainstalować bez IE 6.0, nie wiem jak teraz), komunikatory(tlen, konnect,gg), pomoc systemowa, ActiveDesktop i cała masa innych programów
W gruncie rzeczy, można zablokować IE w firewallu. Powinno wystarczyć.

Cytuj:

Oj, właśnie zauważyłem, że to zły temat. Sposób z usunięciem iexplore. exe działa na owntibię i tibiastealera. Na temat lord of tibia nie mam żadnych informacji, a nie chce mi się zakładać u nich konta.

Lord of tibia działa dokładnie w ten sam sposób jak owntibia.

[Pomocny Murzyn]

Mam pytanie, wiem że nie ten temat...
Czy obrazek ***** jest exploitem
Bo koleś prosi aby mu zamienić obrazek z ***** na .jpg
Obrazek usiłuje wysłać przez gg, a zdawało mi się, że filmiki ***** to keyloggery więc pomyślałem że ten SS też jest keyloggerem...

[Valderor]

Co do odnawiającego się pliku: tego nie przewidziałem, u mnie funkcja Windows File Protection (przywracanie plików systemowych) jest wyłączona. Teoretycznie można z nią walczyć: najpierw usunąć plik c:\windows\system32\dllcache\iexplore. exe a dopiero potem c:\program files\internet explorer\iexplore. exe. Teraz już zombie IE nie powinien powracać zza grobu. Ale to raczej zbyt dużo kłopotu (dostęp do dllcache chyba zwykle też jest jakoś zablokowany).

Co do ważności Explorera: fakt, IE i Explorator (w ogóle cały interfejs Windowsa) korzystają z tego samego silnika, więc nie da się go tak łatwo usunąć. Ale nie to nas interesuje, tylko sam plik iexplore. exe który jest jakby tylko "launcherem" i sam w sobie tego enginu nie zawiera. U mnie plik ten ma ok ~94 kB, u was może być trochę więcej lub mniej w zależności od wersji Windows i service packów. W tak małym pliku nie zmieści się pełna przeglądarka internetowa, on ją tylko odpala. Można byłoby go wyrzucić bez szkody dla systemu. Niestety Dwimenor twierdzi że ten pliczek jest na tyle istotny, że antywirusy itp. odmawiają posłuszeństwa. No cóż :-/

Cytuj:

Oryginalnie napisane przez Dwimenor

W gruncie rzeczy, można zablokować IE w firewallu. Powinno wystarczyć.

O właśnie. Proste i skuteczne.

Cytuj:

Oryginalnie napisane przez Pomocny Murzyn

Mam pytanie, wiem że nie ten temat...
Czy obrazek ***** jest exploitem
Bo koleś prosi aby mu zamienić obrazek z ***** na .jpg
Obrazek usiłuje wysłać przez gg, a zdawało mi się, że filmiki ***** to keyloggery więc pomyślałem że ten SS też jest keyloggerem...

Rozszerzenie scr? Na pewno keylogger. Ponadto podawanie byle komu numeru gg też nie jest bezpieczne.

[lukaszlukasz]

A testował ktoś jak te key radzą sobie z routerem?
Na kumplu przetestowane, że proste key router nie wypuszcza...
I jeszcze taka rzecz - jeśli miałbym na kompie 2 systemy i np. w tibie grał na linuksie to raczej jest 100% bezpieczeństwa?

[Dwimenor]

Cytuj:

Oryginalnie napisane przez lukaszlukasz

A testował ktoś jak te key radzą sobie z routerem?
Na kumplu przetestowane, że proste key router nie wypuszcza...
I jeszcze taka rzecz - jeśli miałbym na kompie 2 systemy i np. w tibie grał na linuksie to raczej jest 100% bezpieczeństwa?

Jeżeli złapiesz keylogga na windowsie, to nie będzie działał na drugim OS. Zresztą: wszystkie owntibie i inne działają wyłącznie na systamach firmy Microsoft(i też nie wszystkich)

[Azenus]

ten poradnik to bardzo dobra reklama tego keyloggera

[Uther92]

@Do pana Grim Rider


Hmmm...

[Emok]

@up
pwn3d xD

[xardas997]

Bardzo dobry dzieki

[JanCzarny]

słuchaj kolo nie pobieram takich syfów btw fajny sposób na ludzi ...

Ale ja odkryłem lepszy i nie wykyje go nikt ale nie używam tylko kupli z klasy

[Moraxus]

FUCK SEX CUM
Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus

[Viedzminek]

Kurwa z keyloggerami. Niedługo będę się bał otworzyć plik lodówka. e x e w rl

[SkateElement]

Bardzo dobry poradnik, proszę tylko o poprawienie:

Cytuj:

która pisze

na "która jest napisana"

[Elevo]

To teraz ja walne pytanie : a co jeżeli "regedit'em" wykryje keyloggera, ale jak go próbuje znaleźć w ścieżce którą mi pokazał to go nie ma?

@Edit:
Jednak sobie jakoś poradziłem xd

[dzony]

Ok. teraz ja mam pytanie. Co w przypadku, jesli przed przeczytaniem poradnika usunalem plik sys34.e.xe recznie (bez trybu awaryjnego)? Teraz usunalem sysctrl z regedit no i jak narazie nie pojawia sie tam znowu. Moge sie bezpiecznie logowac? czy key sie zagniezdzil pod jakims innym adresem? Jak go ewentualnie znalesc?