Parę Wątpliwości

Q

Qrna

Użytkownik
Dołączył
Kwiecień 7, 2011
Posty
4
Witam potrzebuję pomocy,może ktoś znalazł by czas i pomógł mi.
Chodzi mi o stronę www.zgarniaj-punkty.pl [nie wchodź jeżeli nie masz wiedzy]
Koleś sprytnie mnie poprosił o zarejestrowanie się i niby polecenie go,przedstawiając się jako były znajomy o.0

Wiem wiem... głupota moja ,że dałem tak się wykiwać
Już tłumaczę jak ja to widzę i jak "niby" to działa.
Po wejściu na stronę wszystko ładnie cacy nagle wyświetla się tabelka z opcją "run"
i po "cichu" instaluje się keylogger... kumpel gadał ,że to jest napisany jakiś skrypt? w javie do działania tego ustrojstwa niby [nie wiem ,nie znam się]

I teraz moje pytanie może ktoś mi powiedzieć ,gdzie instaluje się ten keylogger ,żeby usunąć ten badziew ,może ktoś by potrafił wyciągnąć nick,email z tego syfu ,lub ip tego cwaniaczka?
Bardzo bym prosił o nawet najmniejszą pomoc za którą będę bardzo wdzięczny.
 
Ostatnio edytowane przez moderatora:
Q

Qrna

Użytkownik
Dołączył
Kwiecień 7, 2011
Posty
4
jan64 napisał:
Przeskanuj system czymś co to wykrywa np. Gdata
virustotal

Jak chcesz go znaleźć to musisz pisać do ovh i pytać się o stronę http://ks2650.kimsufi.com/
Kliknij aby rozwinąć...

Dzięki wielkie wiedziałem,że ktoś pomoże tak na marginesie sam to wszystko "wyciągnąłeś" ?
Może uda Ci się uzyskać nick ? czy to wszystko co dałeś radę? wiem,że wymagam sporo ale będę wdzięczny.

Znalazłem ten key na allegro jest w sprzedaży,no i zła nowina
Anty_HACKER system


KOMPLETNA NOWOŚĆ !!! Dzięki temu systemowi program jest niemal niemozliwy do odczytania przez programy odczytujące kod programów z już skompilowanych. A wiec, nie zajrzy do kodu programu. Masz pewność anonimowości i bezpieczeństwa.
Kliknij aby rozwinąć...

Także raczej nikt mi nie pomoże... ale pamiętam o tym iż wszyscy ludzie kłamią.
 
Ostatnia edycja:
jan64

jan64

Użytkownik
Dołączył
Listopad 28, 2009
Posty
49
tak, w programie jest tylko tyle, niestety wiecej inf. mozna znalezc jedynie w kodzie zbierajacym dane na serwerze ew. w logach serwera (ip) (potrzebny nakaz lub dobra wola administracji)

ps. Wylacz automatyczne uruchamianie apletow javy w przegladarce
 
Ostatnia edycja:
Q

Qrna

Użytkownik
Dołączył
Kwiecień 7, 2011
Posty
4
jan64 napisał:
tak, w programie jest tylko tyle, niestety wiecej inf. mozna znalezc jedynie w kodzie zbierajacym dane na serwerze ew. w logach serwera (ip) (potrzebny nakaz lub dobra wola administracji)

ps. Wylacz automatyczne uruchamianie apletow javy w przegladarce
Kliknij aby rozwinąć...

ok w takim razie jeszcze raz dzięki za pomoc : )
 
Q

Qrna

Użytkownik
Dołączył
Kwiecień 7, 2011
Posty
4
niestety po zainstalowaniu BitDefender Total Security 2010 [który wykrywał plik] nic nie zostało znalezione ,hmm?

Anty-wirus zaktualizowałem do najnowszej wersji jak i sygnaturki [baza danych]
 
G

Grzegorz Kupiński

Użytkownik
Dołączył
Kwiecień 5, 2011
Posty
14
Qrna napisał:
Witam potrzebuję pomocy,może ktoś znalazł by czas i pomógł mi.
Chodzi mi o stronę www.zgarniaj-punkty.pl [nie wchodź jeżeli nie masz wiedzy]
Koleś sprytnie mnie poprosił o zarejestrowanie się i niby polecenie go,przedstawiając się jako były znajomy o.0

Wiem wiem... głupota moja ,że dałem tak się wykiwać
Już tłumaczę jak ja to widzę i jak "niby" to działa.
Po wejściu na stronę wszystko ładnie cacy nagle wyświetla się tabelka z opcją "run"
i po "cichu" instaluje się keylogger... kumpel gadał ,że to jest napisany jakiś skrypt? w javie do działania tego ustrojstwa niby [nie wiem ,nie znam się]

I teraz moje pytanie może ktoś mi powiedzieć ,gdzie instaluje się ten keylogger ,żeby usunąć ten badziew ,może ktoś by potrafił wyciągnąć nick,email z tego syfu ,lub ip tego cwaniaczka?
Bardzo bym prosił o nawet najmniejszą pomoc za którą będę bardzo wdzięczny.
Kliknij aby rozwinąć...



Cześć kolego. Aby usunąć to badziewie najpierw przejrzyj rejestr systemu, podejrzewam że problem będzie w:
Zainfekowane procesy w pamięci:
C: \\ Users \\ Izaac \\ AppData \\ Roaming \\ Microsoft \\ svchost.exe

Zainfekowane wartości rejestru:
HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run \\ Microsoft Corporation


Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer \\ NoActiveDesktopChanges

Zainfekowane pliki:
C: \\ Users \\ Izaac \\ AppData \\ Local \\ Temp \\ MSN.abc
C: \\ Users \\ Izaac \\ AppData \\ Roaming \\ logs.dat
C: \\ Users \\ Izaac \\ AppData \\ Local \\ Temp\\xxx.xxx - (oznacza niezidentyfikowaną nazwę pliku)
C: \\ Users \\ Izaac \\ AppData \\ Roaming \\ Microsoft \\ svchost.exe

Więc jedynym sposobem jest usuniecie tych plików albo kluczy z rejestru - lub gdy będzie to niemożliwe nadanie im wartości "0" gdyż pliki mogą być nie widoczne lub niemożliwe do usunięcia ponieważ system może uważać że są one zbyt ważne dla systemu i najprawdopodobniej tak będzie bo keylogger integruje z plikami i procesami podczas uruchamiania systemu.
Dostep do rejestru: START > URUCHOM > CMD > gpedit.msc >ENTER
Pozdrawiam
 
You must log in or register to reply here.
Do góry Bottom