Autouzupełnianie w Chrome - nie moje dane


(anik00) #1

Hej,

Skąd Chrome bierze dane do autouzupełniania formularzy?
Dzisiaj przy wypełnianiu formularza i podawaniu miasta zaproponował mi zapisane 3 - nie moje - miejscowości. Parę dni temu też mi proponował podczas wpisywania adresu email dwa nie moje adresy (z domeny smith.pl).
Ktoś się zalogował na moje konto Googla? Czy jest jakieś inne wytłumaczenie?


(lordjahu) #2

Ktoś jeszcze korzysta z twojego komputera ?


(anik00) #3

Nie.


(lordjahu) #4

Przeczyść w przeglądarce ciasteczka i spróbuj ponownie. Być może jakieś dane formularzy się zapodziały w Twojej przeglądarce.


(synaptyk) #5

Możliwe że gdzieś się nie wylogowałeś z chrome i synchronizacja zaciągnęła dane które ktoś inny wpisywał na tym komputerze z zalogowanym twoim kontem


(anik00) #6

Parę minut temu uzupełniałam dane do wysyłki przedmiotu z ebay, i tam właśnie autouzupełnienie proponowało mi te nie-moje miejscowości - i przed chwilą dostałam maila od ebay, że zresetowali mi hasło, bo mają podejrzenie, że była próba nieautoryzowanego logowania się na moje konto…
Od kilku dni śledzę, z jakich urządzeń są logowania na moje konto googla, bo dwa tygodnie temu była tam przeglądarka Explorer z niezidentyfikowanego miejsca w Polsce (a ja nie używam Explorera), od razu wtedy zmieniłam hasło i od tamtej pory nie widziałam tam nic podejrzanego.

Hasło konta google zmienione przed chwilą znowu zmieniłam, zaraz zmienię hasła we wszelkich innych ważnych miejscach.

Tak jak pisałam wyżej, logowań na google nie widziałam od jakiś 2 tygodni, ale pewnie warto przeskanować czymś komputer, co? Używam standardowego Windows Defendera. Ktoś poleci coś innego?

I jakie jeszcze inne czynności do podjęcia?


(synaptyk) #7

Najlepiej jakby google, miało włączone logowanie dwuetapowe.

Tutaj sprawdź jakie urządzenia mają dostęp do konta i usuń te których nie znasz
https://myaccount.google.com/security?utm_source=OGB&utm_medium=act&pli=1#activity

Do zwykłego skanowania polecam malwarebytes antimalware.


(anik00) #8

Tak, mam już włączone logowanie dwuetapowe - włączyłam dopiero po tym epizodzie z nierozpoznanym urządzeniem, z którego było logowanie…

Ok, przeskanuję też malwarebytes antimalware. Kiedyś go faktycznie używałam.

Jakieś jeszcze rady?


(krystian3w) #9

Może ebay ma to u siebie, że próbuje zgadywać?


(anik00) #10

Windows Defender nic nie znalazł, Avast też nie, a Malwyrebytes Antimalware przyczepił się do RelevantKnowledge - ktoś wie, co to jest?


(synaptyk) #11

I jaką etykietę mu przypiął?


(anik00) #12

Przeniósł do kwarantanny mnóstwo plików z Sys związanych z RelevantKnowledge i zablokował strony WWW (połączenia wychodzące) jako zagrożenie wykorzystujące lukę w oprogramowaniu - też związane z plikami RelevantKnowledge.

-Szczegóły zablokowanego złośliwego oprogramowania-
Plik: 1
PUP.Optional.RelevantKnowledge, C:\WINDOWS\SysWOW64\rlls.dll, Dodano do kwarantanny, [1233], [296186],1.0.5540

(end)

-Szczegóły zablokowanej strony WWW-
Złośliwa strona WWW: 1
, , Zablokowano, [-1], [-1],0.0.0

-Dane strony WWW-
Kategoria: Zagrożenie wykorzystujące lukę w oprogramowaniu
Domena: oss-content.securestudies.com/cidpost
Adres IP:
Port: [80]
Typ: Wychodzące
Plik: C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe

(end)

-Szczegóły zablokowanej strony WWW-
Złośliwa strona WWW: 1
, , Zablokowano, [-1], [-1],0.0.0

-Dane strony WWW-
Kategoria: Nie określono
Domena: rules.securestudies.com/oss/rule42.asp?brand=RelevantKnowledge&bid=$SMwR09MQTcUguj5OO$i38&exe=rlvknlg.exe&locale=1045&country=PL&platform=windows&os=10&osminor=0&ossp=0&bits=64&numdays=2&cur=1.3.
Adres IP:
Port: [80]
Typ: Wychodzące
Plik: C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe

(end)


(anik00) #13

Zmieniałam właśnie hasło na FB - zobaczyłam, że ktoś jest ‘active now’ na moim koncie i ten ktoś łączy się z innego miasta niż ja i miasto to pokrywało się z jednym z ukazanych w moim autouzupełnianiu. Możliwe, że zagadka rozwiązana… Dziwne, hasło do FB zmieniałam kilka miesięcy temu i nie przypominam sobie, abym logowała się na innym urządzeniu na moim koncie FB od tamtego czasu, więc nie zostawiłam niechcący zalogowanego konta.


(synaptyk) #14

Radziłbym zrobić skan FRST z działy bezpieczeństwo(Raport obowiązkowy - Farbar Recovery Scan Tool), ponieważ możliwe że RelevantKnowledge wykradał twoje dane


(D35CART35) #15

Może i masz rację bo przy próbie połączenia z domeną następuje pobranie jakiegoś pliku,
pod nazwą rule42.asp.


(anik00) #16

Właśnie się do tego zabieram.
A z FB to coś dziwnego, bo mimo zmiany hasła i wylogowania wszystkich urządzeń - wciąż mam ‘active now’ z tego miasta. Nie kumam, może to jestem ja - tylko lokalizacja jest niepoprawna. Na liście aktualnych logged in jest w sumie tylko ta jedna pozycja.

Ok, zabieram się za logi.

Dzięki.