Sprawdź, czy plik jest zainfekowany Owntibią lub Tibiastealerem ^^[hexedit]

[Erytreja]

Mam pewien problem otuż skahowali mi konto z ponad 30k ( eee... tam, żadna strata ).Nie mam nic w kliencie ani owntibia nie wyszukałem ani zadnego maila lecz dzieje sie cos takiego, mianowicie jak wpisuje passy to mi miga klient tak jakby uzywal czegos innego, ten pasek u gory jest tak, raz jakbym normalnie uzywal tibii czyli niebieski i jak wlasnie wpisze te passy to mi miga z niebieskiego na szary (ten pasek) i tak sie potwarza, a potem przestaje. Bardzo prosze o pomoc bo nie chce żeby moje drugie konto hackneli.

[Uther92]

Cytuj:

Oryginalnie napisane przez Erytreja

Mam pewien problem otuż skahowali mi konto z ponad 30k ( eee... tam, żadna strata ).Nie mam nic w kliencie ani owntibia nie wyszukałem ani zadnego maila lecz dzieje sie cos takiego, mianowicie jak wpisuje passy to mi miga klient tak jakby uzywal czegos innego, ten pasek u gory jest tak, raz jakbym normalnie uzywal tibii czyli niebieski i jak wlasnie wpisze te passy to mi miga z niebieskiego na szary (ten pasek) i tak sie potwarza, a potem przestaje. Bardzo prosze o pomoc bo nie chce żeby moje drugie konto hackneli.

Daj logi z hijackthis A najpierw przeskanuj kompa antywirusem+ad-aware (ofc z aktualnymi bazami wirusów).

[Erytreja]

A co to jest ten hijackthis? Wczoraj przeskanowałem kompa kasperskym i usunołem trojany oraz kilka ad-aware-not-a-virus i takie podobne do tego.Dziś przeskanowałem avastem i 1 trojana i 3 ad-aware wykryłem i usunąłem. Powiedz co teraz zrobić z hijackthis? xD

[Uther92]

Cytuj:

Oryginalnie napisane przez Erytreja

A co to jest ten hijackthis? Wczoraj przeskanowałem kompa kasperskym i usunołem trojany oraz kilka ad-aware-not-a-virus i takie podobne do tego.Dziś przeskanowałem avastem i 1 trojana i 3 ad-aware wykryłem i usunąłem. Powiedz co teraz zrobić z hijackthis? xD

Robisz loga według opisu : http://forum.arcabit.pl/viewtopic.php?t=523 i dajesz go tutaj

[Erytreja]

Logfile of HijackThis v1.99.1
Scan saved at 17:29:49, on 2007-05-12
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****
C:\WINDOWS\System32\nvsvc32*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\WINDOWS\Explorer*****
C:\WINDOWS\System32\RunDll32*****
C:\WINDOWS\System32\RunDLL32*****
C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
C:\WINDOWS\System32\RUNDLL32*****
C:\Program Files\DAEMON Tools\daemon*****
C:\WINDOWS\services*****
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\WINDOWS\System32\ctfmon*****
C:\Program Files\Messenger\msmsgs*****
C:\Program Files\Gadu-Gadu\gg*****
C:\Program Files\INTERIAPL\Stefan\Stefan*****
C:\Program Files\Skype\Phone\Skype*****
C:\Program Files\Creative\Shared Files\CamTray*****
C:\Program Files\Microsoft ActiveSync\wcescomm*****
C:\PROGRA~1\MICROS~4\rapimgr*****
C:\WINDOWS\System32\wuauclt*****
C:\Program Files\Alwil Software\Avast4\ashSimpl*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\Microsoft Office\Office\WINWORD*****
C:\Documents and Settings\Mario\Pulpit\hijackthis\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trinity-ro.com/forums/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trinity-ro.com/forums/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc*****
O4 - HKLM\..\Run: [Ou2sEpP] C:\WINDOWS\oqfww*****
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1***** /partner AQ3
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32***** P0620Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32***** C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon*****" -lang 1033
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services*****
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\System32\ctfmon*****
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - HKCU\..\Run: [Stefan] C:\Program Files\INTERIAPL\Stefan\Stefan*****
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray*****"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm*****"
O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Peter Jackson's King Kong - The Official Game of the Movie\RegistrationReminder*****
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9*****
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Utwórz łącze Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget*****
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget*****
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS*****
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS*****
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.173
O15 - Trusted IP range: 195.95.218.173 (HKLM)
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c6.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.playqames.com/default.cab...02&1s&ex&ppd=4
O17 - HKLM\System\CCS\Services\Tcpip\..\{545246E0-522E-42C6-9493-21B73A4BC029}: NameServer = 192.168.0.1
O18 - Filter: text/html - {F0FE7FC4-A161-4680-9898-5D65A2E3BDF9} - C:\DOCUME~1\Mario\USTAWI~1\Temp\e.eee
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp*****" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT*****
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32*****

[Uther92]

syfa tu trochę masz. Jestem pewien, ze masz dialera, ale jakbyś mógł dać ten log w załączniku .txt bo będzie łatwiej przeanalizować

[Erytreja]

Cos nie chce wejsc na zalacznik. ;/

[Uther92]

Cytuj:

Oryginalnie napisane przez Erytreja

Cos nie chce wejsc na zalacznik. ;/

Sprawdź PW napisałem ci co zrobić, bo tu nie będziemy forum zaśmiecać bo nie o tego jest ten temat.

[owntibia.exe]

Sposób na owntibię już nie działa, jednak twórca keya to nie aż taki buc =)

Ale próbujcie teraz tak:

w xvi32 search text:

Cytuj:

Software

Cytuj:

Microsoft

Program wyszuka tworzoną ścieżkę w rejestrze w wypadku włączenia pliku z owntibią.

Tutaj przykład:
(sprawdzone innym edytorem: WinHex 12.25):

[Alcor]

Twórca keyloga sporo na nim zarabia, więc cały czas będzie się starał by był niewykrywalny ^^

[owntibia.exe]

Żaden keylogger nigdy nie pozostanie niewykrywalny.

[Alcor]

Na zawsze nie ale +/- co tydzień uptade ^^