Usuwanie owntbia

[Uther92]

Starałeś się zabezpieczyć swój komputer, dobrze chroniłeś hasło i ważne dane, jednak chwila nieuwagi i niewykrywalny keylogger znalazł się na twoim komputerze...Taki scenariusz może spotkać każdego, postaram się więc opisać jak oczyścić swoją maszyną z tego plugastwa.

1.Detekcja
Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny:
www.merijn.org/files/hijackthis. zip (mirror:www.server.9x.pl/prv/hijackthis. zip )
Następnie uruchamiamy program hijackthis. exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a).
Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services. exe
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services. exe
lub
O4 - HKLM\..\Run: [auto] C:\WINDOWS\services*****
Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik
Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess. exe jednak to ważny plik systemowy i nie wolno go usuwać.

2.Usuwanie
Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket.KillBox.2.0.0.473. html

Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii.

3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
127.0.0.1 wizzard.home.pl
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi

*Linki aby poprawnie działały należy usunąć spację z przed rozszerzenia np exe, html.

Działające linki:
Hijackthis - http://www.instalki.pl/programy/down...HijackThis.php
KillBox - http://www.instalki.pl/programy/down...et_KillBox.php

[Nari]

Wspaniałe, GZ
Więcej takich ludzi
@edit pierwszy

[Ezeqeel]

Poradnik ładnie opisany i chyba przydałyby go sie przenieść

[Uther92]

Sorki za literówkę w nazwie tematu
Ale proszę komentować bo nie wiem czy dobrze napisałem etc

[owntibia.exe]

Podsumowując, do usunięcie tego ścierwa wystarczy hijack, żaden deleter =)

Ładny poradnik, myślę że pomoże wielu ludziom z tego forum. O dziwo jak otwierałem plik "hosts" to już miałem wpisane adresy, które tu zamieściłeś, a wcześniej tego nie robiłem O_o. Jestem za przeniesieniem

[Tabasco]

No poradnik dobry sam w sumie z niego skorzystalem tylko jedno pytanko autor tematu radzi usunac plik
C:\WINDOWS\system32\services*****

ale za to nie usuwac pliku C:\WINDOWS\system32\servicess*****

sek tego ze pierwszy plik odnalazlem a 2 - systemowego nie Oo
Hmm jakies propozycje co by z tym zrobic ?

[Lasooch]

Autor radzi usunąć C:\WINDOWS\services. exe, nie C:\WINDOWS\system32\services. exe (no chyba, że coś źle zrozumiałem )

[Tabasco]

No w sumie racja inna sciezka dostepu wiec chyba jest dobrze
Znaczy sie nie dysponuje owntibia :d

[Djkwaku]

były różne poradniki, ale najbardziej spodobała mi się opcja jak się zabezpieczyć przed tym, thx dla autora - jestem za przeniesieniem bo tego jeszcze tutaj nie było ;p

[SERnik]

Cytuj:

Oryginalnie napisane przez Lasooch

Autor radzi usunąć C:\WINDOWS\services. exe, nie C:\WINDOWS\system32\services. exe (no chyba, że coś źle zrozumiałem )

Dobrze zrozumiałeś

C:\WINDOWS\system32\services. exe to ważny plik systemowy - NIE USUWAĆ !

[Marecki666]

a gdy zmienie te hosts.msm czy jakos tak na hosts.txt i dopisze te linijki to potem mam go zmienic znowu na .msm?

[Sasse]

Przyda sie
Staram sie nie dac sie hacknac, ale ostroznosci nigdy za wiele
PS. HiJackThis 1.99.1 mozna pobrac jeszcze z serwisu www.dobreprogramy.pl
PS2. jesli NIE MAM na kompie tego shitu, i mam zablokowane strony z owntibia,
i nagle na moim kompie znajdzie sie owntibia, to NIE MOZE MNIE HACKNAC?
(poniewaz mam zablokowane strony)

[Uther92]

Cytuj:

Oryginalnie napisane przez Marecki666

a gdy zmienie te hosts.msm czy jakos tak na hosts.txt i dopisze te linijki to potem mam go zmienic znowu na .msm?

Powinno działać, ale lepiej po prostu otworzyć plik msm w notatniku

@Up
Jeżeli nie zmienią IP to tak.

[Hellraiser]

Cytuj:

Oryginalnie napisane przez Uther92

3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi

Czyli tak?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem '#'.
#
# Na przykład:
#
# 102.54.94.97 rhino.acme.com # serwer źródłowy
# 38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost

127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19

No, raczej przykoksowałeś z tym, jestem za przeniesieniem mate.

[Lifter]

Na czerwono niepokojąca mnie rzecz. Powiedzcie co jeszcze naprawić! Zmieniłem hasło na tibia.com i sie nie loguje bo się boje... Powiedzcie, czy to co na czerwono to coś złego? Bo na zielono zanzaczyłem systemowy plik. Co jeszcze usunąć? Mój log:

Ukryty tekst:

Logfile of HijackThis v1.99.1
Scan saved at 23:59:42, on 2007-05-29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\csrss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss*****
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM*****
C:\Program Files\Spyware Doctor\sdhelp*****
C:\Program Files\Windows Media Player\WMPNetwk*****
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\WINDOWS\Explorer*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\WINDOWS\System32\alg*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\Program Files\iTunes\iTunesHelper*****
C:\WINDOWS\system32\ctfmon*****
D:\kopia\RNEFOL~1\DOKUME~1\MMDiag*****
C:\WINDOWS\system32\WgaTray*****
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui*****
C:\Program Files\iPod\bin\iPodService*****
D:\kopia\Różne foldery\Dokumenty inne\mim*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\WinRAR\WinRAR*****
C:\DOCUME~1\Komputer\USTAWI~1\Temp\Rar$EX00.385\Hi jackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock*****
O4 - HKLM\..\Run: [services] C:\windows\services*****
O4 - HKLM\..\Run: [MimBoot] D:\kopia\RNEFOL~1\DOKUME~1\mimboot*****
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper*****"
O4 - HKCU\..\Run: [ctfmon*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [Odkurzacz-MCD] D:\Odkurzacz\odk_mcd*****
O17 - HKLM\System\CCS\Services\Tcpip\..\{A546C956-0D00-4D33-9BE5-128A7CFC47BF}: NameServer = 194.204.159.1 217.98.63.164
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService*****
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss*****
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp*****

@edit
Usunołem to na czerwono. Był to keylogger, gdyż po dotknięciu tego, antywirus zaczoł szalec. Prosze jeszcze tylko specjalistow o rade, czy cos jeszcze nie tak w moim logu : )

Jeśli chodzi o zabezpieczenie w przyszłości, to wszedłem tam gdzie powiedziałeś i te logi były już zapisane. Nie musiałem nic wpisyac aby sie zabezpieczyc. Wczesniej uzywalem own tibia deleter, czy to on utworzyl te logi?

[Uther92]

@Up
Daj jako załącznik plik txt...bo tu na forum jest cenzura plików . exe Będzie łatwiej przeanalizować.
A deleter przy opcji "chroń w przyszłości" dodaje te wpisy to hosts

[Ushka]

Wystarczy najprostszy firewall!! Kolega ma owntibie, to ja mu powiedzałem żeby mi wysłał plik włączyłem go chciałem dać loga do tibi i wtedy mi go wykrył, dałem bloka i po sprawie :>
A pomógł mi przy tym troche owntibia***** !!

[Lifter]

Ok, macie załącznik =)

[Iron'knight]

Cytuj:

Oryginalnie napisane przez Lifter

Ok, macie załącznik =)

wiesz, co do services . e x e to chyba raczej sa w porzadku, ale inne wpisy sa podejrzane. Radze dac loga z Hijacka i Silent Runner na forum Arcabit.