Johanes19 Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 Witam, zostalem zhackowany w grze "tibia" podejrzewam keylogger lub cos podobnego. Nie jestem obeznany w informatyce wiec prosze umieszczas wskazowki co mam zrobic na komputerze i co zamiescic tutaj do kontroli Logi z OTL zamieszczam jako zalaczniki OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 W logach z OTL nie widać nic nasuwającego skojarzenia z infekcją (tylko odinstaluj śmieci adware BitTorrentBar Toolbar i Conduit Engine). Ale zabrakło obowiązkowego tu raportu z GMER. Z tym, że przed uruchomieniem GMER jest obowiązkiem usunąć emulację napędów wirtualnych, czyli DAEMON Tools i jego sterownik: DRV - [2011-03-20 13:02:03 | 000,233,024 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01) Odnośnik do komentarza
Johanes19 Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 Znaczy ze mam usunac z komputera deamon tools? Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 Po pytaniu widać, że nie przeczytałeś chyba ogłoszenia dostatecznie wnikliwie: KLIK (nie dotyczy Cię tylko ustęp z SPTD, tego sterownika tu nie ma). Tak, DAEMON Tools musi być usunięty przed próbą wykonania raportu z GMER, ponieważ to oprogramowanie tworzy konflikt z rootkit detekcją. Odnośnik do komentarza
Johanes19 Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 Log z GMER'u LOG.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 GMER dość krótki. Czy to na pewno pełny skan GMER a nie preskan automatycznie startujący po uruchomieniu GMER? Jeśli tak, nie ma śladów infekcji. Jeśli nie, proszę zrobić pełny skan. Nasuwa się też pytanie: czy masz większe podstawy podejrzewać keyloggera, niż fakt hacku konta, tzn. czy pobierałeś jakieś "boty" lub dodatki, ktoś przesyłał jakiś plik instalacyjny etc.? Na razie nie widzę tu żadnych śladów ingerencji, dla uzyskania większej pewności: 1. Wykonaj pełne skanowanie systemu za pomocą Kaspersky Virus Removal Tool. Jeśli coś wykryje jako infekcję, przedstaw raport. 2. Prewencyjnie zainstaluj darmową wersję antykeyloggera z osłoną czasu rzeczywistego SpyShelter Personal. . Odnośnik do komentarza
Johanes19 Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 Zrobilem tak jak jest napisane w temacie o GMER do ktorego mnie odeslales w ktorym jest napisane by nic nie zmieniac tylko kliknac "szukaj" taktez zrobilem Kasperskim zajme sie jutro, bo dzisiaj juz nie dam rady. Odnośnik do komentarza
Johanes19 Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 (edytowane) Oto raport z kasperskiego Edytowane 18 Września 2011 przez picasso Log usuwam, dostarczone zbędne dane. //picasso Odnośnik do komentarza
picasso Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 Zapomniałam (apropos odesłałeś) powiedzieć, że interesuje mnie raport z Kasperskiego zawężony tylko do wyników infekcyjnych, zwroty OK / Archive / Packed są nieistotne. Raport jest tu zbędny. Jeszcze jedna uwaga, nie wypunktowałam tego na początku, ewidentnie przepuszczałeś na własną rękę jakiś skrypt do OTL. Co to był za skrypt / kto go zadawał? Proszę mi pokazać jego zawartość, log siedzi w katalogu C:\_OTL. Odnośnik do komentarza
Johanes19 Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 Zadnego skryptu nei uzywalem, po prostu kliknalem "skanuj" To ten raport? (nie moglem go zalaczyc) All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ deleted successfully. C:\Program Files\BitTorrentBar\tbBitT.dll moved successfully. Registry value HKEY_USERS\S-1-5-21-2010832442-1663688691-738132905-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found. File C:\Program Files\BitTorrentBar\tbBitT.dll not found. ========== FILES ========== C:\Program Files\BitTorrentBar folder moved successfully. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Intel ->Temp folder emptied: 182717016 bytes ->Temporary Internet Files folder emptied: 244531374 bytes ->Java cache emptied: 231813184 bytes ->Apple Safari cache emptied: 168242176 bytes ->Flash cache emptied: 40539346 bytes User: padre ->Temp folder emptied: 11865813 bytes ->Temporary Internet Files folder emptied: 277211441 bytes ->Java cache emptied: 0 bytes ->Apple Safari cache emptied: 52943872 bytes ->Flash cache emptied: 179922 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 35609810 bytes RecycleBin emptied: 3668243 bytes Total Files Cleaned = 1Â 191,00 mb OTL by OldTimer - Version 3.2.26.5 log created on 08222011_182245 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 Zadnego skryptu nei uzywalem, po prostu kliknalem "skanuj" Dziś nie, ale wcześniej bez wątpienia był uruchamiany skrypt, katalog C:\_OTL powstaje tylko gdy jest prowadzone jakieś usuwanie. Wg logów przypuszczalnie odbyło się to 22 sierpnia: [2011-08-22 18:22:45 | 000,000,000 | ---D | C] -- C:\_OTL Sprawdzałam tu co było mieszane, by się upewnić, że nie wprowadziłeś mnie w błąd, pokazując log z OTL sfałszowany usuwaniem komponentów infekcji. Ale nie, tu tylko było prowadzone usuwanie wpisów pasków adware. Nawiasem: nie wiem kto tenże skrypt robił, ale jak widać po moim pierwszym poście dostałeś niekompletne instrukcje, bo - jak mówiłam - na Twojej liście zainstalowanych figurują BitTorrentBar Toolbar i Conduit Engine (czyli: usuwali po łebkach). Wracając do meritum: ja tu nie widzę dowodów na infekcję w systemie. Czy zainstalowałeś ochronę SpyShelter? . Odnośnik do komentarza
Johanes19 Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 Nie instalowalem Tego skrypta dali mi na innym forum, na ktorym powiedzieli, ze niby czysto, ale polecaja mi to forum bym sprawdzil dokladniej Odnośnik do komentarza
picasso Opublikowano 15 Września 2011 Zgłoś Udostępnij Opublikowano 15 Września 2011 Nie instalowalem Określony powód z powstrzymaniem się? To bardzo dobry program i specjalizowane uzupełnienie do aktualnie przez Ciebie posiadanego MSSE. Ponawiam też pytanie: czy masz większe podstawy podejrzewać keyloggera, niż fakt hacku konta, tzn. czy pobierałeś jakieś "boty" lub dodatki, ktoś przesyłał jakiś plik instalacyjny etc.? . Odnośnik do komentarza
Johanes19 Opublikowano 15 Września 2011 Autor Zgłoś Udostępnij Opublikowano 15 Września 2011 Juz zainstalowalem, nie moge znales opcji "skanuj" w tym SpyShelter Oprocz konta w grze haslo na e-mail zostalo zmienione, odzyskalem z innego komputera po czym logowalem sie na moim i do tej pory zadnych zmian na kontach nie widzialem Odnośnik do komentarza
picasso Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 Juz zainstalowalem, nie moge znales opcji "skanuj" w tym SpyShelter To nie jest tradycyjny "skaner" w rozumieniu szukania zainfekowanych plików. To płaszcz ochronny na okoliczność próby wejścia w system i działania keyloggerów, by im uniemożliwić przechwycenie danych i zapobiec nieszczęściu. Program czuwa w tle i podczas ofensywnych prób będzie automatycznie blokował / zgłaszał komunikaty jaka akcja się chce wykonać z pytaniem o decyzję. . Odnośnik do komentarza
Johanes19 Opublikowano 16 Września 2011 Autor Zgłoś Udostępnij Opublikowano 16 Września 2011 Dobrze, czy to ze nic nie zostalo wykryte swiadczy o tym ze mam czysty komputer w 100%? Odnośnik do komentarza
picasso Opublikowano 17 Września 2011 Zgłoś Udostępnij Opublikowano 17 Września 2011 Nic tu nie potwierdza infekcji / obecności ukrytego obiektu, dlatego skłaniam się do tego, że w systemie nic nie było na etapie jego sprawdzania. Jeszcze zapytam: Oprocz konta w grze haslo na e-mail zostalo zmienione, odzyskalem z innego komputera po czym logowalem sie na moim i do tej pory zadnych zmian na kontach nie widzialem Hasła Tibia i e-mail były identyczne czy różne? . Odnośnik do komentarza
Johanes19 Opublikowano 17 Września 2011 Autor Zgłoś Udostępnij Opublikowano 17 Września 2011 Rozne Wiec...? Odnośnik do komentarza
picasso Opublikowano 18 Września 2011 Zgłoś Udostępnij Opublikowano 18 Września 2011 Nic z tego dla mnie nie wynika. Pytałam czy hasła były tożsame, bo to zwiększyłoby prawdopodobieństwo "odgadnięcia". Jeśli jednak hasła były różne, ta teza do kosza. Jak już tu powiedziałam, ja nie widzę śladów infekcji i nic jej nie wykrywa, a zainstalowałeś też ochronny SpyShelter, który rozumiem,, że nie wykazuje żadnych reakcji negatywnych. Więcej tu nic nie potrafię zdziałać przy aktualnych danych. Temat z mojej strony zamknięty. Odnośnik do komentarza
Johanes19 Opublikowano 18 Września 2011 Autor Zgłoś Udostępnij Opublikowano 18 Września 2011 Ok, dzieki za pomoc Odnośnik do komentarza
Johanes19 Opublikowano 20 Września 2011 Autor Zgłoś Udostępnij Opublikowano 20 Września 2011 Jestem pewny, ze jednak cos mam, wczoraj znow ktos mi hasla zmienil do e-maila i konta w tibii. Sa jeszcze jakies sposoby by sprawdzic czy cos mam? Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 (edytowane) W związku z tym, że ani logi ani skanery nie potwierdzają obecności obcego ciała (jak rozumiem również SpyShelter nic się nie odzywa), a dzieją się nadal rzeczy z przechwytywaniem haseł, za nie budzącą wątpliwości metodę wykluczenia systemu jako nosiciela widzę format (i nie backupować żadnych komponentów Tibia). Bardzo rzadko proponuję format i to mówi samo za siebie. Tak nawiasem mówiąc to nie odpowiedziałeś na wielokrotnie zadawane pytanie: (...) czy pobierałeś jakieś "boty" lub dodatki, ktoś przesyłał jakiś plik instalacyjny etc.? . Edytowane 30 Października 2011 przez picasso 30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi