Sprawdź, czy plik jest zainfekowany Owntibią lub Tibiastealerem ^^[hexedit]
 

Ściągamy program XVI32 stąd:
http://www.chmaas.handshake.de/delph...vi32/xvi32.htm
(zjedźcie na sam dół stronki i kliknijcie w: Download XVI32 release 2.51 here (493 KB ZIP archive).
Lub stąd:
http://www.MegaShare.com/169772
Wypakujcie archiwum do jednego folderu.

Jak sprawdzić plik?
-otwieramy XVI32. exe.

-Owntibia:
-otwórz plik, który chcesz zbadać w programie.
File>Open.
Otworzony? Świetnie. Powinno się pokazać takie okienko:
http://img82.imageshack.us/img82/4614/beznazwyzx3.jpg
Następnie: Search>Find. Wybieramy opcję Text string. W wolne pole wpisujemy:
Jeżeli wynik zostanie znaleziony, to pojawi nam się takie coś:
http://img524.imageshack.us/img524/9818/beznazwyfs2.jpg
Wychodzi na to, że plik jest zainfekowany Owntibią. Nie radzę go odpalać, chyba że chcecie się potem bawić w usuwanie.
Jeśli wyświetli się taki wpis, to znaczy, że plik jest wolny od keyloggera Owntibia:
http://img209.imageshack.us/img209/5332/beznazwyvi3.jpg
Dla ciekawskich danych podanych w konfiguracji keyloggera:
-Search>Find../Text string. W pole wpisz:
Wynik zostanie uzyskany. Dla przykładu:
http://img209.imageshack.us/img209/8354/beznazwygd4.jpg
Jest to właściwa ścieżka pliku, w której jest on instalowany i ukrywany. Linijkę wyżej jest podany Login użytkownika Owntibii na stronie keyloggera.





-Tibiastealer (konkurent poprzednika):
-otwórz plik i zjedź paskiem na sam dół. Jeżeli znajdziesz tam jakiś adres e-mail, to znaczy, że plik jest zainfekowany, a na adres podany w konfiguracji wysyłane są logi z zapisów. Dla przykładu:
http://img115.imageshack.us/img115/5083/beznazwyus6.jpg


To by było na tyle. Prosze o komentarze.

dzienki, program jest spoko

Bumpnę sobie.

no no przyda sie :D zawsze bylem ciekaw jak to sie sprawdza ^.^

a ja mam pytanie do autora..
czy moge tak samo sprawdzić plik WinHexem czy musze śćiągać HexEdit?

preferowal bym winhex ale niech bedzie co jest (nawet sam notatnik by wystarczyl)
btw trzeba bylo go dac do poradnikow

ładnie wszystko opisane

btw na tibiastealer to zeskanowac na virustotal.com i tez bedzie

bump!

bardzo przydatne, najlepiej przenieść to w widoczne miejsce dla newbie i tych, którzy tego nie znają. aczkolwiek mogłeś wspomnieć słówko i samym zakodowanym loginie i haśle.

ps. ja polecam XVI32. prosty, przejrzysty, funkcjonalny i darmowy.

widze, ze panom pozostal winhex po robieniu wlasnego mc wg poradnika tibia.org.pl :>

Co do tematu: mozna przykleic, wielu osobom sie przyda.

Mam poważne pytanie. Co to do cholery jest ta owntibia czy jakiś tam tibia stealer?! Co to jest do cholery za ustrojstwo?

Keyloggery czyli jeden z typow malware.
Przechwytuja account number i password kiedy są aktywowane do tibii.

A czy ktoś tak czysto teoretycznie sprawdził czy ten cały program podany przez Autora tematu jest czysty ?

Nie on chce okrasc twojego plate seta.

Zapytaj wujka Google.
Wpakowałem tam owntibię.

@Tompior
WinHex?
WinHex im służył do scrackowania pewnego wspomagacza, nie mc ^^

@owntibia

A moglbys jeszcze opisac wyciaganie z tego loginow i hasel, a przynajmniej maila?
Bedziemy hackowac hakierow ;)

Zalwik, z tym że hasła na owntibię wysyłają się na Login (konto na stronie owntibii), nie na mail. A hasło zna tylko właściciel loginu.

Mail podany jest zawsze na dole linijek w edytorach (w ten sposób możecie sprawdzać tez inne keyloggi).

Dla ciekawskich jeszcze napiszę, że do niedawna (bodajże jeszcze w tamtym tygodniu) generator do keyloggera jak i sam keylogger pobierał plik "update. exe" ze strony keyloggera.

Plik "update. exe" zawierał kod żródłowy:
[edit by cossma]dodaj.php?login=admin&numer=XXX&pass=YYY

gdzie:
xxx=number account
yyy=password

Wiec zarówno osoby ktore płaciły za keyloggera jak i osoby z keyloggerem miały dodatkowo na swoich kompach plik "update. exe"

Ale to nie koniec.
Plik "update. exe" nie tylko wysyłał pass'y do waszych kont (admina interesuje tylko Titania bo wysyłał passy tylko z tego serwa.

Co więcej pobierał on komendę z pliku TXT ktora wyglądała bodajże tak:
"ping -t [tu był jakiś adres ip]"

Niestety ale po opisaniu tego na forum w/w keyloggera moj temat został skasowany bardzo szybko. Plik "update. exe" został z edytowany przez Admina tak samo jak plik TXT. Więc na dzień dzisiejszy nie ma żadnego dowodu na to co tu napisałem. <peszek>

Tak czy inaczej pozdrowienia dla haxiorów :D

Legalne bumpnięcie.

No bardzo pomocny temat dla graczy którzy potrzebują ściągnąć jakiś plik i nie są pewnie co do jego "czystości" a nie znają się na hexach. Ładne wykonanie ;)

Jakby co na idg.pl można znaleźć więcej edytorów szesnastkowych ;)

Jeżeli stealer nie wymaga innych danych (typu login na stronie) to teoretycznie tak.

Mam pewien problem otuż skahowali mi konto z ponad 30k ( eee... tam, żadna strata :) ).Nie mam nic w kliencie ani owntibia nie wyszukałem ani zadnego maila lecz dzieje sie cos takiego, mianowicie jak wpisuje passy to mi miga klient tak jakby uzywal czegos innego, ten pasek u gory jest tak, raz jakbym normalnie uzywal tibii czyli niebieski i jak wlasnie wpisze te passy to mi miga z niebieskiego na szary (ten pasek) i tak sie potwarza, a potem przestaje. Bardzo prosze o pomoc bo nie chce żeby moje drugie konto hackneli. :P

Daj logi z hijackthis ;) A najpierw przeskanuj kompa antywirusem+ad-aware (ofc z aktualnymi bazami wirusów).

A co to jest ten hijackthis? Wczoraj przeskanowałem kompa kasperskym i usunołem trojany oraz kilka ad-aware-not-a-virus i takie podobne do tego.Dziś przeskanowałem avastem i 1 trojana i 3 ad-aware wykryłem i usunąłem. Powiedz co teraz zrobić z hijackthis? xD

Robisz loga według opisu : http://forum.arcabit.pl/viewtopic.php?t=523 i dajesz go tutaj ;)

Logfile of HijackThis v1.99.1
Scan saved at 17:29:49, on 2007-05-12
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****
C:\WINDOWS\System32\nvsvc32*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\WINDOWS\Explorer*****
C:\WINDOWS\System32\RunDll32*****
C:\WINDOWS\System32\RunDLL32*****
C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
C:\WINDOWS\System32\RUNDLL32*****
C:\Program Files\DAEMON Tools\daemon*****
C:\WINDOWS\services*****
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\WINDOWS\System32\ctfmon*****
C:\Program Files\Messenger\msmsgs*****
C:\Program Files\Gadu-Gadu\gg*****
C:\Program Files\INTERIAPL\Stefan\Stefan*****
C:\Program Files\Skype\Phone\Skype*****
C:\Program Files\Creative\Shared Files\CamTray*****
C:\Program Files\Microsoft ActiveSync\wcescomm*****
C:\PROGRA~1\MICROS~4\rapimgr*****
C:\WINDOWS\System32\wuauclt*****
C:\Program Files\Alwil Software\Avast4\ashSimpl*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\Microsoft Office\Office\WINWORD*****
C:\Documents and Settings\Mario\Pulpit\hijackthis\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trinity-ro.com/forums/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trinity-ro.com/forums/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc*****
O4 - HKLM\..\Run: [Ou2sEpP] C:\WINDOWS\oqfww*****
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1***** /partner AQ3
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32***** P0620Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32***** C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon*****" -lang 1033
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services*****
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\System32\ctfmon*****
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - HKCU\..\Run: [Stefan] C:\Program Files\INTERIAPL\Stefan\Stefan*****
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray*****"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm*****"
O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Peter Jackson's King Kong - The Official Game of the Movie\RegistrationReminder*****
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9*****
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Utwórz łącze Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget*****
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget*****
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS*****
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS*****
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.173
O15 - Trusted IP range: 195.95.218.173 (HKLM)
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c6.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.playqames.com/default.cab...02&1s&ex&ppd=4
O17 - HKLM\System\CCS\Services\Tcpip\..\{545246E0-522E-42C6-9493-21B73A4BC029}: NameServer = 192.168.0.1
O18 - Filter: text/html - {F0FE7FC4-A161-4680-9898-5D65A2E3BDF9} - C:\DOCUME~1\Mario\USTAWI~1\Temp\e.eee
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT*****
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32*****

syfa tu trochę masz. Jestem pewien, ze masz dialera, ale jakbyś mógł dać ten log w załączniku .txt bo będzie łatwiej przeanalizować ;)

Cos nie chce wejsc na zalacznik. ;/

Sprawdź PW napisałem ci co zrobić, bo tu nie będziemy forum zaśmiecać bo nie o tego jest ten temat.

Sposób na owntibię już nie działa, jednak twórca keya to nie aż taki buc =)

Ale próbujcie teraz tak:

w xvi32 search text: Program wyszuka tworzoną ścieżkę w rejestrze w wypadku włączenia pliku z owntibią.

Tutaj przykład:
(sprawdzone innym edytorem: WinHex 12.25):
http://img379.imageshack.us/img379/3059/beznazwyca3.jpg

Twórca keyloga sporo na nim zarabia, więc cały czas będzie się starał by był niewykrywalny ^^

Żaden keylogger nigdy nie pozostanie niewykrywalny.

Na zawsze nie ale +/- co tydzień uptade ^^