Usuwanie Owntibia

Jakby ktoś chciał, żebym opisał usuwanie innego keyloggera, wirusa czy innego piekielnego pomiotu to pisać na PW ;)

Update !
Do pliku hosts dopiszcie:
127.0.0.1 wizzard.home.pl

A jak mi w notatniku pokazuje
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
z ytm serwices a tam gdzie można zaptaszkować tego nie ma to co co robić?

Cytuj:

---

ulks napisał

A jak mi w notatniku pokazuje
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe

---

czysto

Cytuj:

---

ulks napisał

z ytm serwices a tam gdzie można zaptaszkować tego nie ma to co co robić?

---

W hijackthis musi być ;)

Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services.exe
a to w twoim poradniku na 1 stronie?
w notatniku mam to
C:\WINDOWS\system32\services.exe
a w tym logu w programie już nie ma

Cytuj:

---

ulks napisał

Następnie przyglądamy się log'owi i wyszukujemy wpisów :
C:\WINDOWS\services.exe
a to w twoim poradniku na 1 stronie?
w notatniku mam to
C:\WINDOWS\system32\services.exe
a w tym logu w programie już nie ma

---

Czyli wszystko ok, tak jak powinno być w czystym systemie ;D

Teraz napisze powoli, spokojnie(do modów- po sprawie usune niepotrzebne posty pisane w stresie)
Gdy skanuje hijackthisem pokazuje mi się log w notatniku oraz log z tymi kwadratami do zaptaszkowania.
W logu z notatnika mam kawałek C:\WINDOWS\system32\services.exe
Czy to zdrowo?A w tym logu z ptaszkami tego nie mam.
I nie wiem czy mam ta owntibie czy nie mam...

Cytuj:

---

ulks napisał

Teraz napisze powoli, spokojnie(do modów- po sprawie usune niepotrzebne posty pisane w stresie)
Gdy skanuje hijackthisem pokazuje mi się log w notatniku oraz log z tymi kwadratami do zaptaszkowania.
W logu z notatnika mam kawałek C:\WINDOWS\system32\services.exe
Czy to zdrowo?A w tym logu z ptaszkami tego nie mam.
I nie wiem czy mam ta owntibie czy nie mam...

---

Nie masz owntibii !!
To normalne, że w logu tekstowym jest więcej info niż w tym z ptaszkami !

Niezły poradnik... Powiedz mi tylko chłopie, bo jak przeglądałem folder windows to nod zapiszczał ze mam wirusa "TheRace_play.exe" (pamiętam, że miałem own tibię z tego pliku ale usunąłem ją już dawno) bodajże i to siedziało w folderze "windows". Skan hjackthis nie wykazał żadnych dziwnych wpisów, ale gdy patrze w dziennik noda, a mianowicie w "dziennik infekcji-informacje: zdarzenie miało miejsce podczas próby dostępu do pliku poprzez program C:\windows\explorer.exe" czy mam przez to rozumieć, że chciano z mojego kompa wysłać logi przez IE?

@down
Może pozostałość po own tibii? Bo wiem że w tym the race była kiedyś own tibia, i wlasnie zobaczylem ze to scierwo przenioslo sie do folderu windows, ale wpis orcToByloLatwe wywalilem juz dawno plik services.exe tez, więc raczej już nie powinienem się tego obawiać?

Cytuj:

---

Xetasi napisał

Niezły poradnik... Powiedz mi tylko chłopie, bo jak przeglądałem folder windows to nod zapiszczał ze mam wirusa "TheRace_play.exe" (pamiętam, że miałem own tibię z tego pliku ale usunąłem ją już dawno) bodajże i to siedziało w folderze "windows". Skan hjackthis nie wykazał żadnych dziwnych wpisów, ale gdy patrze w dziennik noda, a mianowicie w "dziennik infekcji-informacje: zdarzenie miało miejsce podczas próby dostępu do pliku poprzez program C:\windows\explorer.exe" czy mam przez to rozumieć, że chciano z mojego kompa wysłać logi przez IE?

---

Explorer to nie IE. Ale to nie owntibia, tylko jakieś inne ścierwo ;)

Cytuj:

---

Uther92 napisał

Uwaga ! W katalogu C:/windows/system32 znajduje się plik servicess.exe jednak to ważny plik systemowy i nie wolno go usuwać.

---

Hmmm... ja nie mam w tym katalogu pliku servicess.exe jest tylko services.exe (przez jedno 's'). Czy to źle?

Aha no i pytanko... bo właśnie zamierzałem sobie wszystko zrobić tak jak opisałeś, ale mam pewną wątpliwość: podałeś dwie witryny do ściągnięcia hijackthis. Ściągnąłem z pierwszej podanej i... virustotal coś wykrył... prosze niech ktoś inny to sprawdzi. Głupie, bo faktycznie to chyba oryginalna strona hijackthis... (fakt wykrył tylko eSafe jakiś) - oto log:

Complete scanning result of "HijackThis.exe", received in VirusTotal at 06.12.2007, 23:42:41 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.12.2007 no virus found
AntiVir 7.4.0.32 06.12.2007 no virus found
Authentium 4.93.8 06.12.2007 no virus found
Avast 4.7.997.0 06.12.2007 no virus found
AVG 7.5.0.467 06.12.2007 no virus found
BitDefender 7.2 06.12.2007 no virus found
CAT-QuickHeal 9.00 06.12.2007 no virus found
ClamAV devel-20070416 06.12.2007 no virus found
DrWeb 4.33 06.12.2007 no virus found
eSafe 7.0.15.0 06.12.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3714 06.12.2007 no virus found
Ewido 4.0 06.12.2007 no virus found
FileAdvisor 1 06.12.2007 No threat detected
Fortinet 2.85.0.0 06.12.2007 no virus found
F-Prot 4.3.2.48 06.12.2007 no virus found
F-Secure 6.70.13030.0 06.12.2007 no virus found
Ikarus T3.1.1.8 06.12.2007 no virus found
Kaspersky 4.0.2.24 06.12.2007 no virus found
McAfee 5051 06.12.2007 no virus found
Microsoft 1.2503 06.12.2007 no virus found
NOD32v2 2325 06.12.2007 no virus found
Norman 5.80.02 06.12.2007 no virus found
Panda 9.0.0.4 06.12.2007 no virus found
Prevx1 V2 06.12.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.12.2007 no virus found
TheHacker 6.1.6.132 06.11.2007 no virus found
VBA32 3.12.0.1 06.12.2007 no virus found
VirusBuster 4.3.23:9 06.12.2007 no virus found
Webwasher-Gateway 6.0.1 06.12.2007 no virus found

Jeśli ktoś przeskanuje i będzie ok to przepraszam za wprowadzanie w błąd, ale u mnie takie coś się wyświetliło, pozdrawiam.

@edit
w googlach sprawdziłem czy link do tej stronki z hijackthis sie zgadza no i ok tylko link jest do pierwszej wersji, a istnieje już druga. Wiec to pewnie ten eSafe coś bez sensu wykrywa.

@edit2
qrcze okazało się, że mam sporo nieznanych rzeczy w logach z hijackthis. Wszystko co było podejrzane pousuwałem i system nadal działa więc chyba były zbędne ;).
Najbardziej mnie martwią logi (już ich nie ma oczywiście) następującego typu:

O4 - HKLM 'tu coś pisało ale nie pamiętam' ['tu były jakieś 4 litery'] C:\WINDOWS\cmd.exe

było ich pięć praktycznie identycznych, różniących się jedynie numerem no i oczywiście były niezidentyfikowane. Postanowiłem że usunę wszystkie wystąpienia cmd.exe w systemie ;P, pomysł może idiotyczny, ale system nadal działa. Zrobiłem tak dlatego, że wpisy wyglądały zbyt podobnie do tego:
O4 - HKLM\..\Run: [auto] C:\WINDOWS\services.exe
a autor tematu zaznaczył, że te wpisy dobre nie są ;).

I tu moje pytanie: czy dobrze zrobiłem usuwając ten plik?

Dla bezpieczeństwa pozmieniam hasła, tylko nie mam pojęcia skąd taki syf się wziął na kompie. Nod32 i kerio personal firewall działają non-stop. Hacka nie miałem, ani innych problemów, ale zacząłem się martwić widząc tyle dziwnych wpisów (ofc nie wchodze na dziwne stronki i wszystko co ściągnę najpierw skanuję virustotalem i jotti, jak widać wyżej nawet hijackthis'a ;P)

1.Literówka ;)
2.O tym eSafe to anwet w życiu nie słyszałem O.o
A co do wersji 2.0 hijack'a to ona trochę odbiega od wersji 1.99.1 ;)
3.Wiele wirów podszywa się pod procesy sytemowe, to nie musiała być owntibia. Jednak dobrze zrobiłeś, usuwając go bo na pewno nie był bezpieczny.

dobry poradnikczek 9/10 mi tam owntibia nie grozi bo mam dobrze zabespiczonego kompa i nie wchodze na zaden podejrzan strony ;p

Kto jest za przeniesieniem do poradników ?

Swietny poradnik. Polecam, sam testowalem i git.