Szukaj
Opcje wyszukiwania

Szukaj na forum

Szukaj na Tibia.com

Usuwanie keyloggera Lord of Tibia

Co to Lord of Tibia?
To prawdopodobnie najlepszy obecnie dostępny keylogger do Tibii. Swoimi możliwościami przewyższa nawet OwnTibię. Testowałem go na kilku antywirusach, lecz żaden go jeszcze nie wykrył... Nawet próby wysłania passów... Sądzę więc, że jest się czego bać :| To nie jest kolejny keylogger pisany przez amatora, lecz wygląda na to, że ten koleś zna się na rzeczy...

O jego zabezpieczeniach
Zacznę może od początku. Są 2 wersje - darmowa (Free) i płatna (Pro). Free, jako że jest zubożała w opcjach, jest łatwa do zablokowania. Natomiast wersja Pro zdołała zdjąć wszelkie zabezpieczenia jakie zastosowałem... Narazie nie wiadomo jak się tego płatnego świństwa pozbyć. Jeżeli chcesz pomóc w tego odkryciu, przeczytaj koniec tematu.

A więc do dzieła!
Usunięcie z komputera
Wchodzimy w Start --> Uruchom i wpisujemy regedit. Naciskamy enter. Teraz korzystając z drzewa po lewej, przejdź do klucza:
Kod:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Po prawej stronie odnajdujemy nazwę wartośći 'SysCtrl'. Jeżeli jej nie ma, to znaczy, że nie masz keya Lord of Tibia na swoim komputerze. Zapisz sobie ścieżkę do pliku, która pisze na prawo od nazwy wartości. Nie usuwaj jej! Nic to nie da, keylogger w ciągu parenastu sekund ją przywróci.
Teraz uruchamiamy komputer w trybie awaryjnym (podczas włączania komputera naciskajcie F8 aż pojawi się okienko wyboru trybów). Zależnie od wersji keyloggera, będziesz miał zapisane na kartce samą nazwę pliku, lub ścieżkę do niego. W 2-gim przypadku poprostu usuń ten plik. W 1-szym natomiast przejdź do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc i usuń plik o nazwie którą odczytałeś wcześniej.
Teraz uruchom komputer normalnie, przejdź do wspomnianego wcześniej klucza w rejestrze, usuń wartość 'SysCtrl' i gotowe!

Zabezpieczenie na przyszłość
Aby zablokować wersję Free, wystarczy ustawić w naszym komputerze przekierowanie adresu ich strony na swój własny komputer (jego adres to '127.0.0.1'). Tak więc wchodzimy do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc. Teraz otwieramy znajdujący się tam plik hosts notatnikiem, i dodajemy następujące linijki:
Kod:
127.0.0.1       lordoftibia.pl
127.0.0.1       www.lordoftibia.pl
Plik zapisujemy i zamykamy. Od teraz darmowa wersja już nas nie ruszy


Jeżeli chcesz pomóc w wyszukiwaniu zabezpieczeń, to link do strony keyloggera gdzie możesz pobrać jego konfigurator masz w części 'Zabezpieczenie na przyszłość', a dokładniej to w tym co musisz dopisać do pliku 'hosts'. Gdy coś odkryjesz, wyślij mi tu prywatną wiadomość na forum opisując dokładnie ten sposób. Jeżeli okaże się poprawny, to zamieszczę go tutaj w temacie