Cytuj:
Oryginalnie napisane przez Gonzo
to nie musi być keylogger, chodź ten host wydaje sie byc podejrzany.
|
Sam fakt istnienia jakiegos adresu internetowego mnie nie dziwi, bardziej mnie w*****a ta linikja w ktorej pisze name="klucz" filename="abcde", ogolnie ten cały <form>. Dla mnie to linijka wrzucajaca jakis pliczek na serwer ftp. Na assemblerze sie nie znam akurat, ale jest cos takiego jak winapi, gotowe procedury do wykorzystania umieszczone przez microsoft w windowsie, kazdy jezyk programowania moze to wykorzystywac, tam sa rowniez takie procedury do wrzucania plików, wysylania maili, łączenia sie z ftp itd, pewnie wlasnie to jest linijka do obslugi takiej gotowej procedurki wrzucajacej pliczek z passami na serwer. U mnie w Delphi byl taki komponent Indy, i podobne rzeczy sie do niego wpisywalo.
A jeszcze moze tak byc, ze ten keylog dzialal pod wersją tibii 8.40, a na 8.52 juz nie dziala bo kazdy klient tibii ma passy zapisane pod innym adresem. Choc jak ogladalem kod to znalazlem tam procedurke SetKeyboardHook czy cos w tym stylu w kazdym razie linijka uzywana przez keyloggery do szczytywania wszystkiego co jest wpisywane na klawiaturze. Na mój łeb to w userinit.dll powinny sie zapisywac passy i pozniej idzie ten plik na serwer, ale on jest pusty, moze wlasnie dlatego macie postacie
Natomiast fakt zaszyfrowania w tym cracku tej podejrzanej biblioteki wzbudza moje najwieksze podejrzenia. Autorzy crackow raczej nie pierdola sie z takimi rzeczami ze jakiegos wirusa im w cracku wykryje, a autorom keyloggerow zalezy na tym bardziej
Ot moja opinia na ten temat.
Zeby wykasowac: wlaczyc hijackthis, przeskanowac, wyjebac ta linijke co zaznaczylem na obrazku, szybko zresetowac kompa, usunac plik logoninit.dll, usunac plik elfload.dll z elfa, zainstalowac elfa ponownie, sprawdzic hijackthisem czy wpis faktycznie znikl i masz spokoj.