Forum Tibia.pl

Forum Tibia.pl (http://forum.tibia.pl//index.php)
-   Inne (http://forum.tibia.pl//forumdisplay.php?f=19)
-   -   Problem po hacku (http://forum.tibia.pl//showthread.php?t=210849)

suwer 06-04-2009 11:32
Problem po hacku
 
Witam, wstyd się troszkę przyznać ale wczoraj moje konto w Tibii zostało shackowane. Moja czujność została uśpiona i ściągnąłem jakiegoś tibia cama z rozszerzeniem *****. Straty może nie były olbrzymie coś koło 700k i w zasadzie jestem w stanie je przeboleć, ale pojawił się inny problem. Mianowicie nie jestem w stanie zalogować się na tibia.com. Po wejściu na stronę logowania pojawia się komunikat:
Cytuj:
Nie udało się nawiązać połączenia
Firefox nie może nawiązać połączenia z serwerem secure.tibia.com.
Do gry jestem w stanie normalnie wejść. Aczkolwiek obawiam się, że keylogger (czy jakkolwiek inaczej można nazwać ten shit :P), wciąż siedzi gdzieś na moim komputerze. Przeskanowałem go na wszystkie możliwe sposoby, ale żaden antywirus nic mi nie chce znaleźć.
W każdym razie, miał ktoś z was taki problem i rozwiązał go inaczej niż formatując dysk (tego chcemy uniknąć ;P)
Czekam na jakieś sugestie i komentarze :)

Maciekxd 06-04-2009 11:41
hijack this

suwer 06-04-2009 11:47
Na hijackthis.de nic się w sumie nie wyświetla jako nasty ;)
Ale samemu przeanalizować loga nie umiem, może wy cos znajdziecie :P

Cytuj:
Logfile of HijackThis v1.99.1
Scan saved at 11:26:35, on 2009-04-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\Ati2evxx*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\Ati2evxx*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\Explorer*****
C:\Program Files\Java\jre1.6.0_06\bin\jusched*****
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck*****
C:\Program Files\Keyboard Driver\OEMDriver*****
C:\Program Files\ATI Technologies\ATI.ACE\CLI*****
C:\Program Files\A4Tech\Mouse\Amoumain*****
C:\Program Files\CyberLink\PowerDVD\PDVDServ*****
C:\Program Files\Canon\MyPrinter\BJMyPrt*****
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol*****
C:\WINDOWS\system32\Rundll32*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\Documents and Settings\Rzewniś\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Creative\Shared Files\CTAudSvc*****
C:\Program Files\Canon\IJPLM\IJPLMSVC*****
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost*****
C:\WINDOWS\system32\PnkBstrA*****
C:\WINDOWS\system32\PnkBstrB*****
C:\Program Files\Analog Devices\SoundMAX\SMAgent*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\Program Files\ATI Technologies\ATI.ACE\cli*****
C:\WINDOWS\system32\wscntfy*****
C:\WINDOWS\system32\wuauclt*****
C:\Program Files\RALINK\Common\RaUI*****
C:\Program Files\Mozilla Firefox3\firefox*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\AQQ2\AQQ*****
C:\Program Files\uTorrent\uTorrent*****
C:\sciagniete\HijackThis*****

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost***** /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx*****
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart*****"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched*****"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck***** 1
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg*****
O4 - HKLM\..\Run: [KBDriver] C:\Program Files\Keyboard Driver\OEMDriver*****
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain*****
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ*****"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN***** /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt***** /logon
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol***** /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray*****
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser***** -hide
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Rzewniś\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate*****" /c
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL*****/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1161799279171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1161799263061
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupda...5035/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40F1EBCD-00F4-4330-82F3-D7F2B0A9850A}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{61140C21-C6EB-4343-BC56-A00B75A01D50}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx*****
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc*****
O23 - Service: DU Meter Service (DUMeterSvc) - Unknown owner - C:\Program Files\DU Meter\DUMeterSvc***** (file missing)
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC*****
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService*****
O23 - Service: MailEnable List Connector (MELCS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MELSC***** (file missing)
O23 - Service: MailEnable Mail Transfer Agent (MEMTAS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MEMTA***** (file missing)
O23 - Service: MailEnable Postoffice Connector (MEPOCS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MEPOC***** (file missing)
O23 - Service: MailEnable POP Service (MEPOPS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MEPOPS***** (file missing)
O23 - Service: MailEnable SMTP Connector (MESMTPCS) - Unknown owner - C:\Program Files\Mail Enable\BIN\MESMTPC***** (file missing)
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp***** (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost*****
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA*****
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB*****
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent*****
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd*****" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt*****

Gonzo 06-04-2009 13:35
Keylogger najprawdopodobniej zablokował możliwość łączenia się z secure.tibia.com.

Zrób tak:

1) Wejdź w wiersz polecenia.
2) Wpisz msconfig.
3) Jeżeli znajdziesz taki wpis: {xxxx-xxxx-xxxx} lub {xxxx-xxxx-xxxx-xxxx} (gdzie xxxx to losowe liczby) to odznacz to, kliknij OK i zrestartuj komputer.

TERAZ, JEŚLI TAKI WPIS BYŁ TO:

4a) Wejdź jeszcze raz w msconfig, i sprawdź tabele "Polecenie" obok tych wpisów (nic nie zaznaczaj, po prostu sprawdź gdzie plik się znajduje).
5a) Odnajdź te pliki na swoim komputerze i je zwyczajnie usuń.
6a) jeszcze raz zrestartuj komputer, voilà!

JEŚLI TAKIEGO WPISU NIE BYŁO TO:

4b) Zrób screenshoot wszystkich wpisów + wszystkich zainstalowanych na komputerze programów (z panelu sterowania) i wklej tutaj, pogłówkuję i Ci powiem.

suwer 06-04-2009 16:21
Dobra doszedłem do tego co było nie tak.
W pliku:
hosts w katalogu: C:\WINDOWS\system32\drivers\etc
keylogger dodał taki wpis: 127.0.0.1 secure.tibia.com
Uniemożliwiło to wejście na stronę logowania na tibia.com
Zastanawiam się tylko czy już keylogger został usunięty na dobre, czy jeszcze się gdzieś czai. Ale o tym dowiem się dopiero przy następnym hacku (chyba że ktoś coś widzi w moim logu z hijacthis).
W każdym razie dzięki wielkie za zainteresowanie, moim kłopotem

StagG 06-04-2009 20:03
Cytuj:
Oryginalnie napisane przez suwer (Post 2515202)
Na hijackthis.de nic się w sumie nie wyświetla jako nasty ;)
Ale samemu przeanalizować loga nie umiem, może wy cos znajdziecie :P
C:\Program Files\Alwil Software\Avast4\

tu jest twój największy problem.

To co usunąłeś, to tylko przekierowanie z secure~~ na twojego kompa. malware dalej czyha, więc najlepiej zrób formata, i nie instaluj więcej avasta. To będzie nauczka na przyszłość i dowód, że avast sux : )

suwer 06-04-2009 21:27
Cytuj:
Oryginalnie napisane przez StagG (Post 2515591)
C:\Program Files\Alwil Software\Avast4\

tu jest twój największy problem.

To co usunąłeś, to tylko przekierowanie z secure~~ na twojego kompa. malware dalej czyha, więc najlepiej zrób formata, i nie instaluj więcej avasta. To będzie nauczka na przyszłość i dowód, że avast sux : )
Powiedz mi lepiej gdzie czyha, bo format w grę raczej nie wchodzi ;P


Wszystkie czasy podano w strefie GMT +2. Teraz jest 21:08.

Powered by vBulletin 3