Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Złamanie haseł do kont - prośba o analizę logów FRST.

tompil 13 Sty 2016 20:44 741 7
  • #1 13 Sty 2016 20:44
    tompil
    Poziom 10  

    Proszę o pomoc przy sprawdzenie logów w FRST.
    Dziś w nocy ktoś przejął moje konto pocztowe na WP i konto na Allegro.
    Sprzedał w tym czasie produkt za prawie 4000 tys zł.
    Całe szczęście dziś rano zauważyłem co się stało i udało się odzyskać pieniądze przed pierwszą sesją.
    Boję się, żeby sytuacja się nie powtórzyła. Jak się ochronić przed kolejnym atakiem?
    Pozmieniałem wszystkie hasła.
    Skanowanie Avastem, którego miałem nic nie wykazało.
    Skanowanie Dr. Web Cureit - też nic nie pokazało.
    Skanowanie Malwarebytes Anti-Malware - wyrzuciło z 40 zagrożeń, większość pliki rejestru: HKLM/Software........i coś dalej. Wszystkie usunąłem.
    Przy powtórnym skanowaniu już ich nie pokazuje.
    Zrobiłem jeszcze skan FRST. Z góry dzięki za sprawdzenie.
    Co dalej robić, żeby zabezpieczyć się przed kolejnym przejęciem haseł?

    0 7
  • #2 13 Sty 2016 20:52
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    (© 2015 Microsoft Corporation) C:\Users\tompil\AppData\Local\Microsoft\BingSvc\BingSvc.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-3990154743-2004215790-3669966637-1000\...\Policies\Explorer: []
    HKU\S-1-5-21-3990154743-2004215790-3669966637-1000\...\MountPoints2: {56667c76-b7ef-11e2-8e3c-806e6f6e6963} - F:\SWSETUP\APPINSTL\hpsoftwaresetup.exe
    HKU\S-1-5-21-3990154743-2004215790-3669966637-1000\...\MountPoints2: {6a67c95f-b85d-11e2-b995-cc52af001dd4} - G:\Setup.exe
    HKU\S-1-5-21-3990154743-2004215790-3669966637-1000\...\MountPoints2: {a4e504a1-25eb-11e4-877f-cc52af001dd4} - G:\Setup.exe
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    CHR HKU\S-1-5-21-3990154743-2004215790-3669966637-1000\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    URLSearchHook: HKLM-x32 -> Domyślne = {FE69C007-C452-4d3e-86D2-1730DF8BC871}
    URLSearchHook: HKLM-x32 - SimilarSites - {FE69C007-C452-4d3e-86D2-1730DF8BC871} - C:\Program Files (x86)\SimilarSites\similarsites.dll Brak pliku
    BHO-x32: Brak nazwy -> {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} -> Brak pliku
    Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
    Toolbar: HKLM-x32 - SimilarSites - {FE69C007-C452-4d3e-86D2-1730DF8BC871} - C:\Program Files (x86)\SimilarSites\similarsites.dll Brak pliku
    Toolbar: HKU\S-1-5-21-3990154743-2004215790-3669966637-1000 -> Brak nazwy - {434D452D-5637-006A-76A7-7A786E7484D7} - Brak pliku
    CHR HKU\S-1-5-21-3990154743-2004215790-3669966637-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
    2016-01-13 20:19 - 2016-01-13 20:19 - 02370560 _____ (Farbar) C:\Users\tompil\Downloads\FRST64 (2).exe
    2016-01-13 20:19 - 2016-01-13 20:19 - 02370560 _____ (Farbar) C:\Users\tompil\Downloads\FRST64 (1).exe

    W logach niczego ciekawego nie widac.

    Moze miales slabe haslo, logowales sie z innego urzadzenia itp.

    0
  • #3 13 Sty 2016 21:09
    tompil
    Poziom 10  

    W załączeniu fixlog.txt z naprawy.
    Hasło było 9 cyfrowe, niestety takie same dla obu kont.
    Czasami loguje się z telefonu na androidzie. Chociaż w tym tygodniu się nie logowałem. Muszę jeszcze sprawdzić ten telefon.

    Wczoraj wieczorem miałem taką sytuację, że dostałem dwa bardzo podobne zapytania od dwóch różnych osób do jednego ogłoszenia z OLX, którym przez pół roku nikt się nie interesował. Odpowiedziałem na oba tak samo, przekierowując się z poczty na OLX. Żadna z osób nie odezwała się do teraz. Nie wiem czy można to jakoś łączyć.

    0
  • #4 13 Sty 2016 22:01
    krzychupar
    Poziom 40  

    Jeszcze wykonaj to:
    Odinstaluj
    SimilarSites
    Otwórz notatnik systemowy i wklej:
    Winlogon\Notify\ScCertProp: wlnotify.dll [X]
    SearchScopes: HKU\S-1-5-21-3990154743-2004215790-3669966637-1000 -> DefaultScope {3C4DFC16-4AD6-4407-8C94-8B798DE786B8} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3990154743-2004215790-3669966637-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3990154743-2004215790-3669966637-1000 -> {3C4DFC16-4AD6-4407-8C94-8B798DE786B8} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku
    BHO-x32: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku
    BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => Brak pliku
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Brak pliku]
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Brak pliku]
    CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #7 14 Sty 2016 12:48
    pitrala1
    Poziom 33  

    Widać sam nie przeczytałeś - nigdzie nie było widoczne hasło ani login, problem był jedynie w tokenach od autologowania. A tu sprzedaż tak czy siak nastąpiła poprzez allegro.

    0
  • #8 14 Sty 2016 13:00
    linuks
    Spec od komputerów

    Do takich wrażliwych logowań najlepiej używać linuksa live CD. Zdecydowanie większe bezpieczeństwo.
    Pozdrawiam

    0