Forum Tibia.pl

Forum Tibia.pl (http://forum.tibia.pl//index.php)
-   Inne (http://forum.tibia.pl//forumdisplay.php?f=19)
-   -   Problem ze stroną... (http://forum.tibia.pl//showthread.php?t=238101)

arteq123 24-10-2011 22:20

Problem ze stroną...
 
Cześć, mam taki problem z oficjalną stroną tibi. Gdy wpisuję www.tibia.com, to pojawia się inna strona: http://imageshack.us/f/846/beztytuuoyt.png/
Jedynie jak wpisuję w google tibia.com i klikam oficjalną stronę to jest ok, ale drugi problem jest taki, że kategorie nie działają np. PLAY NOW, download client, lost account itp. (niektóre działają), wtedy czekam aż się załaduje strona, ale nic z tego: http://imageshack.us/f/11/51089117.png/

Duch Niespokojny 24-10-2011 23:10

Otwórz plik C:\Windows\System32\drivers\etc\hosts w notatniku i sprawdź, czy nie ma tam wpisu
[jakiś adres IP] tibia.com
Coś w tym stylu. Jak jest, to go wykasuj.
I przeskanuj komputer jakimś antispyware, bo to pewnie trojan Ci zmienił.

arteq123 24-10-2011 23:58

Mam tam napisane coś takiego, więc to chyba nie jest to:
Kod:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem '#'.
#
# Na przykład:
#
#      102.54.94.97    rhino.acme.com          # serwer źródłowy
#      38.25.63.10    x.acme.com              # komputer kliencki x

127.0.0.1      localhost


Duch Niespokojny 25-10-2011 01:51

A robiłeś skan?

arteq123 25-10-2011 17:25

Tak, robiłem skana spybotem i antywirusem i nic nie wykryło.

Moongroow 26-10-2011 20:57

Po pierwsze nie korzystaj z mozilli firefox, bo to badziewna przegladarka (polecam Google Chrome lub Comodo Dragon), po drugie:

1) wyczyść pliki cookies
2) wyczyść temporary internet files
3) zresetuj przeglądarkę (najlepiej zmień ją na inną) (czyli wyłącz ją i włącz)

Jeśli nie pomoże, to powiem Ci co jeszcze możesz zrobić.

Pozdrawiam
Moongroow

arteq123 28-10-2011 13:41

Nie pomogło (w cookies 1 pliku o nazwie index nie można usunąć).

arteq123 30-10-2011 00:44

Myślę, że to jest z winy elfbota pod tibie 8.54, ponieważ kolega ma to samo od czasu gdy mu przesłałem elfbota. Usunąłem go, ale problem nadal jest. Jeżeli to z jego winy to pewnie coś gdzieś zostało, tylko nie wiem gdzie tego szukać.

Cinderella 30-10-2011 09:01

Sprawdź, czy w "autostarcie" nie odpala Ci się plik o nazwie "Lua8".
Jeśli tak, to odznacz go i wtedy może da się usunąć to ciacho.
A swoją drogą, to jako boter nie powinieneś szukać tu pomocy.

voice 30-10-2011 10:06

Ale on używa botów pewnie pod OTS'y. Na wielu otsach bot jest legalny jako leczenie itp. Bo dlaczego miałby mieć bota 8.54 ?

arteq123 30-10-2011 13:36

Sprawdzałem w: start>>uruchom>>msconfig>>uruchamianie, i nie znalazłem tam nic o nazwie "Lua8"


A co do bota to jest on pod tibie 8.54 i używam go na ots 4fun...

Cinderella 30-10-2011 14:59

W takim razie przepraszam.:)
Wygląda to na infekcję.
Zrób szybkie, oraz pełne skany komputera programami:
"Mbam" i "DrWebbCureIt".
Oba darmowe i do pobrania w sieci.

arteq123 04-11-2011 19:33

Tutaj są logi z programu Malwarebytes' Anti-Malware:
Kod:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Wersja bazy: 8050

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 6.0.2900.5512

2011-10-31 15:00:11
mbam-log-2011-10-31 (15-00-09).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowano obiektów: 220564
Upłynęło: 28 minut(y), 47 sekund(y)

Zainfekowanych procesów w pamięci: 2
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 2
Zainfekowane informacje rejestru systemowego: 2
Zainfekowanych folderów: 0
Zainfekowanych plików: 7

Zainfekowanych procesów w pamięci:
c:\documents and settings\Artur\dane aplikacji\mservice32_t***** (PasswordStealer.Tibia) -> 2412 -> No action taken.
c:\documents and settings\Artur\dane aplikacji\mservice32***** (Spyware.Password) -> 2492 -> No action taken.

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\UpdateT (PasswordStealer.Tibia) -> Value: UpdateT -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\UpdateN (Spyware.Password) -> Value: UpdateN -> No action taken.

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\documents and settings\Artur\dane aplikacji\mservice32_t***** (PasswordStealer.Tibia) -> No action taken.
c:\documents and settings\Artur\dane aplikacji\mservice32***** (Spyware.Password) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP12\A0001241***** (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP54\A0011228***** (Adware.Agent) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013885***** (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013886.dll (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{ddde9235-4616-4124-bf01-3637e297ad52}\RP76\A0013887.dll (Malware.Packer.Gen) -> No action taken.

A w tym drugim programie nie zrobiłem skana, bo jak klikam start, to pojawia się ta zielona ramka, nic się nie da włączyć. I jest tak cały czas, więc muszę zresetować kompa (pobierałem z oficjalnej stronki).
Zapomniałem wcześniej dodać, że od jakiegoś czasu już tej dziwnej stronki nie ma, ale za to na tibia.com linki z "secure" przed tibia.com nie działają (tak jakbym nie miał internetu lub jakaś blokada) np. https://secure.tibia.com/account/?su...ountmanagement

Vadimq 04-11-2011 23:09

Log z Mbam nic nie mowi, rownie dobrze moge Cie prosic o przeskanowanie komputera masa programow.

Sciagnij OTL (po jego uruchomieniu zaznacz "wszyscy uzytkownicy", "infekcje purity", "infekcje lop", innych opcji nie zmieniaj) i wrzuc np. na http://wklej.org/ i daj tu link.

arteq123 05-11-2011 14:50

Z OTL.Txt: http://wklej.org/id/620909/, i z Extras.Txt: http://wklej.org/id/620910/

Vadimq 05-11-2011 16:14

Zadnej infekcji nie widac.
Odpal OTL i wklej na dole do niego ten skrypt:

Cytuj:

:OTL
IE - HKU\S-1-5-21-1645522239-287218729-839522115-1003\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\InprocServer32 File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll File not found
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll File not found
O4 - HKU\S-1-5-21-1645522239-287218729-839522115-1003..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate*****" "sleep" File not found
O32 - AutoRun File - [2011-09-14 13:54:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

:Commands
[EMPTYTEMP]
[EMPTYFLASH]
[RESETHOSTS]
I kliknij u góry wykonaj skypt. Przed ta operacja wylacz tibie.

Pozatym masz sporo syfu na komputerze. Polecam pousuwac zbedne toolbary z przegladarek. Koniecznie zaktualizuj IE do wersji 8. Wskazany reinstal FireFoxa. Sciagnij CCleanera i przeczysc nim komputer. Nortona mozesz zastapic Avastem.

arteq123 05-11-2011 18:56

http://wklej.org/id/621135/
Już mi nie wyświetla tej dziwnej strony od jakiegoś czasu, jak już pisałem. Tylko zablokowane są wszystkie linki z secure przed tibia.com, czasami się da włączyć, ale rzadko.

Cinderella 05-11-2011 19:06

Po operacji na OTL usuń jeszcze WSZYSTKIE punkty przywracania systemu.
Masz zainfekowane pliki w SVI.

Analizy loga się nie podejmę.
Mbam coś jednak znalazł, ale nie usunął.
Blokowanie DrWeb... świadczyć może o robalu blokującym jego działanie.

Wrzuć logi na dobre forum ( z całym szacunkiem dla Kolegi Vadimq) security.
Przed tym usuń wirtualne napędy (emulatory) i sterownik SPTD.
Przekłamuje wyniki skanowania.
Spróbuj uruchomić DrWebb... w trybie awaryjnym. (f8)

Przyciski mogą być blokowane przez jakiś program typu "adblock...", lub funkcję antywira.

Vadimq 05-11-2011 20:38

Cytuj:

Oryginalnie napisane przez Cinderella (Post 2821692)
Po operacji na OTL usuń jeszcze WSZYSTKIE punkty przywracania systemu.
Masz zainfekowane pliki w SVI.

Analizy loga się nie podejmę.
Mbam coś jednak znalazł, ale nie usunął.
Blokowanie DrWeb... świadczyć może o robalu blokującym jego działanie.

Wrzuć logi na dobre forum ( z całym szacunkiem dla Kolegi Vadimq) security.
Przed tym usuń wirtualne napędy (emulatory) i sterownik SPTD.
Przekłamuje wyniki skanowania.
Spróbuj uruchomić DrWebb... w trybie awaryjnym. (f8)

Przyciski mogą być blokowane przez jakiś program typu "adblock...", lub funkcję antywira.

W logu juz nic nie ma. Rzadko sie zdarza, ze syfy zwiazane z tibia powracaja z SVI, ale dla pewnosci mozna usunac. Nie preferuje tego robic odrazu komenda w OTL, zeby w razie czego (np. mojego bledu lub uzytkownika - w koncu jestesmy tylko ludzmi hehe) bylo z czego przywrocic system.

Autor nich wykona wszystko o co prosilem (procz zmiany antywirusa - to tylko moja sugestia, dziala imo stabilniej od Nortona). Napisz czy sa jeszcze jakies "zle objawy" i dalej zobaczymy.
Linki z "secure" moga swiadczyc o jakims bledzie szyfrowania SSL, ale infekcji na tym etapie nie mozemy wykluczyc.

Cinderella 06-11-2011 09:13

Źródeł ewentualnej infekcji na tym komputerze może być nieco więcej, niż tylko ten OTS-owy bot.
Bo i np. : blackdMC, (na 90%), hypercam, no i - niestety- Neo.


Wszystkie czasy podano w strefie GMT +2. Teraz jest 13:40.

Powered by vBulletin 3