Skocz do zawartości

Przejęte konto w grze Tibia


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach z OTL nie widać nic nasuwającego skojarzenia z infekcją (tylko odinstaluj śmieci adware BitTorrentBar Toolbar i Conduit Engine). Ale zabrakło obowiązkowego tu raportu z GMER. Z tym, że przed uruchomieniem GMER jest obowiązkiem usunąć emulację napędów wirtualnych, czyli DAEMON Tools i jego sterownik:

 

DRV - [2011-03-20 13:02:03 | 000,233,024 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
Odnośnik do komentarza

GMER dość krótki. Czy to na pewno pełny skan GMER a nie preskan automatycznie startujący po uruchomieniu GMER? Jeśli tak, nie ma śladów infekcji. Jeśli nie, proszę zrobić pełny skan. Nasuwa się też pytanie: czy masz większe podstawy podejrzewać keyloggera, niż fakt hacku konta, tzn. czy pobierałeś jakieś "boty" lub dodatki, ktoś przesyłał jakiś plik instalacyjny etc.? Na razie nie widzę tu żadnych śladów ingerencji, dla uzyskania większej pewności:

 

1. Wykonaj pełne skanowanie systemu za pomocą Kaspersky Virus Removal Tool. Jeśli coś wykryje jako infekcję, przedstaw raport.

 

2. Prewencyjnie zainstaluj darmową wersję antykeyloggera z osłoną czasu rzeczywistego SpyShelter Personal.

 

 

 

.

Odnośnik do komentarza

Zapomniałam (apropos odesłał) powiedzieć, że interesuje mnie raport z Kasperskiego zawężony tylko do wyników infekcyjnych, zwroty OK / Archive / Packed są nieistotne. Raport jest tu zbędny.

 

Jeszcze jedna uwaga, nie wypunktowałam tego na początku, ewidentnie przepuszczałeś na własną rękę jakiś skrypt do OTL. Co to był za skrypt / kto go zadawał? Proszę mi pokazać jego zawartość, log siedzi w katalogu C:\_OTL.

Odnośnik do komentarza

Zadnego skryptu nei uzywalem, po prostu kliknalem "skanuj"

 

To ten raport? (nie moglem go zalaczyc)

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ deleted successfully.

C:\Program Files\BitTorrentBar\tbBitT.dll moved successfully.

Registry value HKEY_USERS\S-1-5-21-2010832442-1663688691-738132905-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found.

File C:\Program Files\BitTorrentBar\tbBitT.dll not found.

========== FILES ==========

C:\Program Files\BitTorrentBar folder moved successfully.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Intel

->Temp folder emptied: 182717016 bytes

->Temporary Internet Files folder emptied: 244531374 bytes

->Java cache emptied: 231813184 bytes

->Apple Safari cache emptied: 168242176 bytes

->Flash cache emptied: 40539346 bytes

 

User: padre

->Temp folder emptied: 11865813 bytes

->Temporary Internet Files folder emptied: 277211441 bytes

->Java cache emptied: 0 bytes

->Apple Safari cache emptied: 52943872 bytes

->Flash cache emptied: 179922 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 35609810 bytes

RecycleBin emptied: 3668243 bytes

 

Total Files Cleaned = 1 191,00 mb

 

 

OTL by OldTimer - Version 3.2.26.5 log created on 08222011_182245

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

Odnośnik do komentarza
Zadnego skryptu nei uzywalem, po prostu kliknalem "skanuj"

 

Dziś nie, ale wcześniej bez wątpienia był uruchamiany skrypt, katalog C:\_OTL powstaje tylko gdy jest prowadzone jakieś usuwanie. Wg logów przypuszczalnie odbyło się to 22 sierpnia:

 

[2011-08-22 18:22:45 | 000,000,000 | ---D | C] -- C:\_OTL

 

Sprawdzałam tu co było mieszane, by się upewnić, że nie wprowadziłeś mnie w błąd, pokazując log z OTL sfałszowany usuwaniem komponentów infekcji. Ale nie, tu tylko było prowadzone usuwanie wpisów pasków adware. Nawiasem: nie wiem kto tenże skrypt robił, ale jak widać po moim pierwszym poście dostałeś niekompletne instrukcje, bo - jak mówiłam - na Twojej liście zainstalowanych figurują BitTorrentBar Toolbar i Conduit Engine (czyli: usuwali po łebkach).

 

 


Wracając do meritum: ja tu nie widzę dowodów na infekcję w systemie. Czy zainstalowałeś ochronę SpyShelter?

 

 

 

.

Odnośnik do komentarza
Nie instalowalem

 

Określony powód z powstrzymaniem się? To bardzo dobry program i specjalizowane uzupełnienie do aktualnie przez Ciebie posiadanego MSSE.

 

 

Ponawiam też pytanie:

 

czy masz większe podstawy podejrzewać keyloggera, niż fakt hacku konta, tzn. czy pobierałeś jakieś "boty" lub dodatki, ktoś przesyłał jakiś plik instalacyjny etc.?

 

 

 

.

Odnośnik do komentarza
Juz zainstalowalem, nie moge znales opcji "skanuj" w tym SpyShelter

 

To nie jest tradycyjny "skaner" w rozumieniu szukania zainfekowanych plików. To płaszcz ochronny na okoliczność próby wejścia w system i działania keyloggerów, by im uniemożliwić przechwycenie danych i zapobiec nieszczęściu. Program czuwa w tle i podczas ofensywnych prób będzie automatycznie blokował / zgłaszał komunikaty jaka akcja się chce wykonać z pytaniem o decyzję.

 

 

 

.

Odnośnik do komentarza

Nic tu nie potwierdza infekcji / obecności ukrytego obiektu, dlatego skłaniam się do tego, że w systemie nic nie było na etapie jego sprawdzania. Jeszcze zapytam:

 

 

Oprocz konta w grze haslo na e-mail zostalo zmienione, odzyskalem z innego komputera po czym logowalem sie na moim i do tej pory zadnych zmian na kontach nie widzialem

 

Hasła Tibia i e-mail były identyczne czy różne?

 

 

 

.

Odnośnik do komentarza

Nic z tego dla mnie nie wynika. Pytałam czy hasła były tożsame, bo to zwiększyłoby prawdopodobieństwo "odgadnięcia". Jeśli jednak hasła były różne, ta teza do kosza. Jak już tu powiedziałam, ja nie widzę śladów infekcji i nic jej nie wykrywa, a zainstalowałeś też ochronny SpyShelter, który rozumiem,, że nie wykazuje żadnych reakcji negatywnych. Więcej tu nic nie potrafię zdziałać przy aktualnych danych. Temat z mojej strony zamknięty.

Odnośnik do komentarza

W związku z tym, że ani logi ani skanery nie potwierdzają obecności obcego ciała (jak rozumiem również SpyShelter nic się nie odzywa), a dzieją się nadal rzeczy z przechwytywaniem haseł, za nie budzącą wątpliwości metodę wykluczenia systemu jako nosiciela widzę format (i nie backupować żadnych komponentów Tibia). Bardzo rzadko proponuję format i to mówi samo za siebie.

 

Tak nawiasem mówiąc to nie odpowiedziałeś na wielokrotnie zadawane pytanie:

 

(...) czy pobierałeś jakieś "boty" lub dodatki, ktoś przesyłał jakiś plik instalacyjny etc.?

 

 

 

.

Edytowane przez picasso
30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...