agBot > po skanowaniu....

[Koxman]

Witam.

 

Sciagłem agbota skanuje sobie go a tu zaskoczenie

Oto wyniki: http://www.virustotal.com/pl/analisis/c08c...45b897c6db6d7c0

 

Jestem mile zaskoczoy. Czy mozna go urzywac i nie dostac hacka?.... odp . plx

[D&G]

Witam.

 

Sciagłem agbota skanuje sobie go a tu zaskoczenie

Oto wyniki: http://www.virustotal.com/pl/analisis/c08c...45b897c6db6d7c0

 

Jestem mile zaskoczoy. Czy mozna go urzywac i nie dostac hacka?.... odp . plx

 

Mój wygląda normalnie.. http://www.virustotal.com/pl/analisis/3785...4f575d05829f869

[Kros24]

Nuconnector ma w sobie trojany, lepiej nie używaj jego bo hack to tylko kwestia czasu, lepiej użyj srproxy.

 

 

nie zgodze sie z tym ;] nigdy nie uzywalem srproxy, zawsze nuconnector i nigdy nie mialem hacka

[Koxman]

Ok urzywam tego srproxy juz kiedys urzywałem agbota przez nuconnectora i chyba to mnie doprowadziło do hacka a to było jakies 4 miechy od kiedy zaczołem bocic ....

[Przemczak]

przeskanowalem nuconnectora... http://www.virustotal.com/pl/analisis/7804...3738e38550d68b4

...

[D&G]

nie zgodze sie z tym ;] nigdy nie uzywalem srproxy, zawsze nuconnector i nigdy nie mialem hacka

 

Ja też nigdy nie miałem, ale teraz wyszedł nuconector z trojanami, jakiś kolega z forum opisywał że hasła i loginy są wysyłane na jakiś server to pzdr. Teraz hack to tylko kwestia czasu, może ktoś przysiądzie do tego jutro może za rok ale pewne jest to że ma loginy i hasła.

[lewos]

Dobrze że za jakiś tydzień robię formata . Backdoor = keylogger . D&G ma rację hacknięcie to tylko kwestia czasu . Przecież wyraźnie widać na skanach że są w tym key'e . Moim zdaniem loader także ma coś w sobie. Moich trzech kumpli zostało ostatnio hackniętych . Nie używali żadnych botów, tylko lodera .

[Skrzypco]

Pozwolę sobie zauważyć, że D&G'a skan jest tylko pliku agbot.exe a koxman'a agbot.rar to wyjaśnia czego skany są inne

[D&G]

Pozwolę sobie zauważyć, że D&G'a skan jest tylko pliku agbot.exe a koxman'a agbot.rar to wyjaśnia czego skany są inne

 

Masz racje lecz nie zmienia to postaci rzeczy że nuconnecter ma w sobie trojany i keyloggery.

[kilo_kartofli]

Jest to backdoor o rozmiarze 294 076 bajtów (kompresja Aspack). Powstał przy użyciu środowiska programistycznego Delphi.

 

Instalacja

 

Podczas instalacji backdoor kopiuje się do foldera systemowego z nazwą winreg.exe oraz notepod.exe i tworzy w rejestrze systemowym wpis zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"LoadWindowsFile" = "\winreg.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"LoadWindowsFile" = "\winreg.exe"

 

Szkodnik modyfikuje wpisy rejestru systemowego odpowiedzialne za uruchamianie plików wykonywalnych i tekstowych. Wraz z każdym uruchomieniem takiego pliku uaktywniony zostanie kod backdoora.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]

(Default) = "Notepod.exe "%1""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

(Default) = "\winreg.exe "%1" %*"

 

Funkcje dodatkowe

 

Backdoor otwiera port UDP 8310 oraz losowy port TCP i oczekuje na zdalne polecenia. Zdalny cyber-przestępca może wykonywać operacje plikowe, formatować dysk przechwytywać dane wprowadzane z klawiatury zainfekowanego komputera itp.

 

W kodzie backdoora zapisane są chińskie teksty.

 

Inne znane nazwy szkodnika

 

Backdoor.Hupigon.a (Kaspersky Lab), BackDoor-ALC (McAfee), Backdoor.Hupigeon (Symantec), BackDoor.Pigeon.3 (Doctor Web), Troj/Hupigon (Sophos), Backdoor:Win32/Hupigon (RAV), BKDR_HUPIGON.A (Trend Micro), BDS/Hupigon.a (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Hupigon.C (Grisoft), Backdoor.Hupigon.A (SOFTWIN), Backdoor Program (Panda), Win32/Hupigon.A (Eset)

Do góry

[Kros24]

o zal przeskanowalem teraz swojego nuconnectora i troche sie zdziwilem ;]

[D&G]

Gdy mam ten wpis:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]

 

To mam go ręcznie usunąć? Bo tego pierwszego niema, tego Run.

[GumczyK]

A teraz moze ktos powiedziec jak ten syf usunąc nie poprzez formata.

[Koxman]

Najlepiej formata zrobic. Tym sposobem najlepiej sie pozbyc wirow , keyow. BTW jak sciagacie agbota usuwac NuConnectora (shift+delete)

 

 

edit> zrobie szybkiego skana kasperskym zobaczymy co wykryje...

[D&G]

Najlepiej formata zrobic. Tym sposobem najlepiej sie pozbyc wirow , keyow. BTW jak sciagacie agbota usuwac NuConnectora (shift+delete)

 

Format to ostatnia rzecz która bym teraz pragnął robić. :> Da się innymi sposobami usunąć te świństwa.

[Koxman]

No ale przeciesz jak ja bd formatował partycje C to chyba nie usune programow skoro one sa na innej partycji , prawda?

[Baton16]

a skąd wiesz gdzie jest keylogger? może być wszedzie nie tylko w plikach systemowych...

[Koxman]

A jest sposob na jego wykrycie i go usunięcie? Chyba zebym dzis zeskanował kompa w nocy kasperem

[Baton16]

No dałem program.... zobacz sobie

[Koxman]

Jak chcecie ten syf usunac to sciagnijcie sobie ComboFix wpiscie w google napewno znajdzecie ale małą rada Kaspersky wykrywa w nim cos ale umnie usunął tego Hack Heya , btw wczesniej skanowałem programem SpyBot

 

combo fix usunął

 

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\DMTEeMoq.ini <---- key

c:\windows\system32\DMTEeMoq.ini2 <----- key

c:\windows\system32\hvhfkf.dll

c:\windows\system32\xvywrsdq.dll

 

ta reszta to jakies inne wiry polecam program gdyz po skanie zostawia na pulpicie tzw. logi czyli raporty co zrobił z wirusami.

 

 

Tutaj macie pełny moj log > http://www.wklej.eu/index.php?id=0f366ec3a0

[aaaaa]

Nuconnector ma w sobie trojany, lepiej nie używaj jego bo hack to tylko kwestia czasu, lepiej użyj srproxy.

debilu każdy taki program jak nuconnector czy inny! antywirusy będą tak traktować !! wcześniej nie pokazywał antywirus nic bo go nie miał w bazie danych ! teraz po update dostał i pokazał ze są wiry! za 2-3 miesiące w nowym nuconnectorze 8.1 czy tam srproxy będzie pokazywać już też ze są!!

[kemir71]

cos w tym agbocie musi byc bo mi i moim ziomom w ostanich tygodniach okradli konta tylko z itemow. Wczesniej uzywalem tylko SM i bylo ok a teraz sciagam sobie agbota z rev6 czyli niby z pewnego źródła i co po kilku tygodniach uzywania hack. Mój brat nigdy nie uzywal zadnych botow, zresztą nie gral w silka dlugo bo byl w holi a teraz jest na urlopie i zapodalem mu linki do agbota z rev6 i co? po 2 tyg. uzytkowania hack.

Ja grałem na Tibecie i wiem kto moje itemy sprzedawal koke20 i hieleu to chyba turki (choc tego hieleu na rev6 nie ma, a stalowali codziennie i mieli zawsze pelno itemow na rozne lev fullblue i duzo +). Jak im zwróciłem uwagę to mi na 2 dzien następne konto obrobili (stallchara) i lipa. To bylo z 3 tygodnie temu.

Wczoraj sprawdzlem swoje konto z charem na 85lev i mimo ze nie gralem na nim, zmienilem passy to znowu mi je okradli. Teraz gram na innym serwerze, bo tibet jest juz spalony.

Jezeli was jeszcze nie okradli to to zrobią napewno. Jeżeli to robią dla kasy to wiadomo ze itemy z okradzionego konta trzeba sprzedać na stallu a nie do npc i jest ich sporo bo kazdy ma cos extra szczególnie ja sie ma postac na d9.

A graczy jest tak duzo na kazdym servie ze wystarczy jak bedą okradac po 5-10 kont tygodniowo

Ja uzywam dalej Agbota i licze ze zanim mnie ponownie okradną na nowym koncie i serwerze to mi ta gra sie znudzi

[Corinarh]

Jedyna rada to wpisywac hasla i loginy z klawiatury ekranowej

[parowa]

Moze faktycznie kemir71 ma racje ja tez uzywalem ag i wczoraj w nocy okradli mi konto na 73 lv...

[Koxman]

agBot zawiera nuconnector , ktory jest zawirusowany... Zobaczcie sobie np. sciagnijcie najnowszego agbota wchodzicie na www.virustotal.pl skanujecie agbota. NP. jak macie kaspra to jak wypakujecie bota to automatycznie usuwa nuconnector ( jes w nim backdoor >http://www.viruslist.pl/find.html?search_mode=virus&words=backdoor< Radze o nich poczytać). Jak juz usunelismy nuconnector badz anty wir juz to zrobił to skompresujcie agbota i zeskanujcie go na www.virustotal.pl . Zobaczycie ze winny jest nuconnector ! ! ! ! ! !

 

Jezeli złapicie hacka to tez moze byc przyczyna JM gdyz ostatnio mieli przeciek danych na stronie wiec ci ktorzy sie logowi na stronie od joymaxa wpadli w pułapke hakerow....

 

Prosze adminow zeby przy instrukcji > instalacji < / >obsługi < uwzglednili ze należy usunać nuconnectora z agbota ! ! !