Fałszywy e-mail od PayPala


(MagdaL) #1

Dzień dobry,
postaram się opisać swój problem w miarę wyczerpująco. Otóż naprawdę nie wiem, co mnie wczoraj podkusiło, żeby kliknąć w odnośnik w mailu dotyczącym nadchodzących kwietniowych aktualizacji zasad w tzw. Umowach prawnych, który dostałam na główną skrzynkę odbiorczą na swoim koncie Gmail. Już programie pocztowym zobaczyłam, że adres przycisku i loga to domena “https://epl.paypal-communication.com…” (zaraz poczytałam też na ten temat na Reddicie, poza tym pod wiadomością była wypisana drobnym druczkiem informacja o tym, na jaki adres należy zgłaszać PayPalowi fałszywe e-maile. Moje nazwisko zaś było napisane poprawnie, tyle że drobnym, pogrubionym drukiem i znajdowało się dokładnie w lewym górnym rogu treści maila. Na szczęście sam mailu nie zawierał żadnych załączników. Mimo to jednak kliknęłam w owo hiperłącze w mailu, tzn. “Zobacz Aktualizacje zasad”, i trafiłam na stronę tych aktualizacji. Nie pamiętam, jaki dokładnie “paypalowy” (może oficjalny, czyli www.paypal.com?) adres pojawił się wtedy w przeglądarce, ale na pewno nie zostałam poproszona o żadne dane osobowe ani nie byłam nawet zalogowana na swoim koncie. Ani COMODO Internet Security Premium, ani Firefox nie wszczął alarmu, że strona jest podejrzana. Niestety, nie potrafię powiedzieć nic więcej na temat tego e-maila, bo go już po prostu wyrzuciłam (jeszcze wczoraj).
Zagłębiłam się w lekturze aktualizacji, a jednocześnie przeczytałam też resztę komentarzy na ww. stronie na Reddicie. Coś mnie jednak tknęło po jakimś czasie (30-45 minut (!) od kliknięcia w mailowy link), żeby otworzyć nową kartę, ręcznie wpisać oficjalny adres PayPala i zalogować się na swoje konto (dobrze, że już od dawna miałam ustawione dodatkowe zabezpieczenie przy logowaniu). Na szczęście nie zaobserwowałam żadnych nowych transakcji. Żeby było śmiesznie, na tym samym koncie znalazłam dokładnie te same aktualizacje zasad Ustaw prawnych, do których trafiłam z wiadomości e-mail. Następnie wylogowałam się i skorzystałam z opcji resetowania hasła.
Później zamknęłam Firefoksa i włączyłam go ponownie, żeby zalogować się na swoje konto w banku. Tam również nie pojawiło się nic nowego, ale zmieniłam hasło na wszelki wypadek.
Kiedy skończyłam już zabezpieczać konta, usunęłam zbędne pliki i wpisy z rejestru EusingCleanerem i zrobiłam pełne skanowanie systemu antywirusem COMODO Internet Security Premium, który nie wykrył żadnych zagrożeń.
OK, to wszystko zrobiłam wczoraj. Dzisiaj natomiast między 9.40 a 10.00 zauważyłam, że na dysku C:\ znajdują się jakieś dziwne foldery, np. ~lsetup196 albo ~8euser107 każdy z nich zawiera jakieś pliki w formacie mdb, pem, sql, jpeg, pliki Microsoft Word, Excel itd. Sprawdzałam, że obrazków nie da się otworzyć, pozostałych nawet nie próbowałam. Te dwa wymienione foldery już usunęłam EusingCleanerem, ale teraz, dosłownie teraz odkryłam, że jest też takie coś: ~lselect87 (http://wstaw.org/h/1de3117fbc0/) i 8logs187 (http://wstaw.org/h/f97593b9abb/)(obydwa z godz. 10:12). Jestem naprawdę przerażona. Jak mam się pozbyć tego wirusa, trojana czy czegokolwiek?

Przesyłam logi z AdwCleanera (zrobione ok. godz. 10:09-10:10):
http://wklej.org/hash/89c6d1b497c/
http://wklej.org/hash/4fdfd8a369b/

FRST: http://wklej.org/hash/d6f01c25dfa/
Addition: http://wklej.org/hash/5b6b0ba9e3a/
Shortcut: http://wklej.org/hash/53d4d9e9b98/

Proszę, błagam o szybką pomoc! :frowning:


(kowgli) #2

Ale jaką pomoc? Przecież sam powiedziałeś, że nie podawałeś żadnych danych. Jak wejście na jakąkolwiek stronę ma ci zaszkodzić? Chyba, że używasz IE6.


(Acorus) #3

Otwórz notatnik systemowy i wklej:

Task: {128FC251-0906-4B75-9EC3-44E607B791BF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {241B29C7-F3CC-42AB-B0FC-0129CDB4C988} - \WPD\SqmUpload_S-1-5-21-4172860837-2675729220-3554594558-1001 -> Brak pliku <==== UWAGA
Task: {30BD9492-1F45-4384-8E57-BAC78D5E1A0C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {3A08FE68-9BC5-459D-88BA-16CF890D6DA1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {42058FE6-A5C7-4234-A4F7-6635EEF0ED1D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {54066A64-C8B0-4D15-BDA5-4351ED9B0109} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {577755F1-DC0B-4998-AC60-833D17ABB471} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {62E3CCBD-6EBC-4D76-AFF9-FC33E2DC4B1A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {7549E719-B00E-420B-95A7-70FE59CE19C8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {761C587B-8922-4524-BAFC-5BB40CDC2C34} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {A4043F62-3654-4007-9BE3-2F93D9B672AB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {E5D62470-DA70-45C7-824C-12677E165D7E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
CHR HKLM…\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32…\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
S2 RichVideo; “C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe” [X]
2017-02-07 10:07 - 2017-02-07 10:10 - 00000000 ____D C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.


(MagdaL) #4

Wklejam raport z usuwania (fixlog):
http://wklej.org/hash/b84e63222e4/

Jeżeli zaś chodzi o te foldery, którymi się tak martwiłam, to chyba znalazłam odpowiedź - i to na DP, a konkretnie tu: http://www.dobreprogramy.pl/RansomFree,Program,Windows,78048.html (komentarz nr 56) :slight_smile: Są one po prostu, jak rozumiem, rodzajem mechanizmu ochronnego, który stosowany jest w programie RansomFree. Szkodniki ransomware wpadają w pułapkę zastawioną przez te niby-groźne foldery/pliki i dzięki temu szybciej i łatwiej się je blokuje.


(Acorus) #5

Możesz je usunąć jak Ci przeszkadzają.Nie są szkodliwe.Pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
Zaznacz opcje:
Remove disinfection tools
Kliknij przycisk Run.


(MagdaL) #6

Dziękuję bardzo za pomoc :slight_smile:


(MagdaL) #7

Chciałam się tylko upewnić, że nie padłam ofiarą phishingu. Na ogół korzystam z Firefoksa.


(kowgli) #8

Żeby “paść ofiarą” musiałabyś podać jakieś dane.


#9

MagdaL podaje że w mailu było jej prawdziwe nazwisko więc jej obawa była uzasadniona, ja też dostałem tego dnia wiadomość z PayPala, ale jak to mam w zwyczaju niezamówione wiadomości kasuję bez czytania.