Malware - dziwna aktywność na youtube, krytyczny alert bezpieczeństwa google

Cześć.
Od kilku dni zauważyłem nietypową aktywność na moim koncie youtube. Zostają dodawane komentarze do filmów, których nigdy nie oglądałem a na moim profilu pojawił się jeden z filmów podobnych do tych komentowanych. Ponadto, parę godzin temu dostałem maila o krytycznym alercie bezpieczeństwa - zarejestrowano podejrzaną aktywność na moim koncie i wylogowano mnie z Gmail na komputerze.

Poniżej screeny z aktywności na youtube.


Na dniach miałem robić format komputera, więc uczyniłem to czym prędzej. Niestety to nie poskutkowało. Przeczesałem też komputer za pomocą programu RogueKiller, ale to również nie przyniosło efektu.
Komputer zeskanowałem również programem FRST. Oto co przedstawiają pliki:
FRST
Addition
Shortcut

Jest to mój pierwszy post na forum, przeczytałem instrukcję zakładania tematu, jeśli jednak zrobiłem coś nie tak jak trzeba, to proszę o nieusuwanie tematu i pokierowanie mnie. Jestem laikiem jeśli chodzi o informatykę, umiem tylko takie podstawy jak zainstalowanie systemu, nie znam się na bezpieczeństwie i grzebaniu w systemie. Z góry przepraszam za problemy i proszę o pomoc.

Witaj @Atam93

Czy w RogueKillerze przed skanowaniem włączyłeś bezsygnaturowy „moduł MaIPE (BETA)?

Najprawdopodobniej to złośliwe rozszerzenie dodane do przeglądarki.
Zastosuj się do poradnika → Podstawowa konfiguracja Chrome | Przybornik #soo

Rozważ używanie menadżera haseł, np. BitWarden i zmianę swoich haseł na unikalne, w tym wszędzie gdzie to możliwe ustawienie weryfikacji dwuetapowej.


Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1045534855-2304149372-3194914225-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Adam\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-1045534855-2304149372-3194914225-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Adam\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-1045534855-2304149372-3194914225-1001\...\RunOnce: [Uninstall 17.3.6381.0405\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Adam\AppData\Local\Microsoft\OneDrive\17.3.6381.0405\amd64" (Brak pliku)
HKU\S-1-5-21-1045534855-2304149372-3194914225-1001\...\RunOnce: [Uninstall 17.3.6381.0405] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Adam\AppData\Local\Microsoft\OneDrive\17.3.6381.0405" (Brak pliku)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {759E236F-9481-48B4-8B7D-90A05701FED6} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [2332088 2023-02-21] (AVG Technologies USA, LLC -> AVG Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{cba30c3a-5e1c-4825-a617-c31d2e5732d9}: [DhcpNameServer] 192.168.0.1
C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Extensions\eppiocemhmnlbhjplcgkofciiegomcon
C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebbhagfogifgggkldgodflihgfeippi
C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
2023-02-20 18:36 - 2023-02-21 08:23 - 000000008 _____ C:\ProgramData\xausulog.rwa
2023-02-20 18:36 - 2023-02-21 08:23 - 000000008 _____ C:\ProgramData\sdsewqtn.ekv
2023-02-20 18:36 - 2023-02-21 08:23 - 000000008 _____ C:\ProgramData\ryxifikb.tyg
2023-02-20 18:36 - 2023-02-21 08:23 - 000000008 _____ C:\ProgramData\qpywmfea.yxv
2023-02-20 18:36 - 2023-02-21 08:23 - 000000008 _____ C:\ProgramData\ertmqggw.lii
2023-02-20 18:36 - 2023-02-21 08:23 - 000000008 _____ C:\ProgramData\bdsrykpr.lkn
Shortcut: C:\Users\Adam\Desktop\bankomat.lnk -> C:\Users\Adam\Dysk Google\bankomat.gdoc (Brak pliku)
Shortcut: C:\Users\Adam\Desktop\trening.lnk -> C:\Users\Adam\Dysk Google\workout.gsheet (Brak pliku)
Shortcut: C:\Users\Adam\Desktop\wszystko.lnk -> C:\Users\Adam\Dysk Google\wszystko.gdoc (Brak pliku)
Shortcut: C:\Users\Adam\Desktop\poker\PokerStrategy.com Equilab.lnk -> C:\Program Files (x86)\PokerStrategy.com\PokerStrategy.com Equilab\Equilab.exe (Brak pliku)
EmptyEventLogs:
EmptyTemp: 

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

PS: Wysłałem także wiadomość na PW. :slight_smile:

W RogueKillerze nie włączyłem tego trybu za pierwszym razem. Teraz powtórzyłem tę czynność, już z włączonym modułem bezsygnaturowym, ale wciąż niczego nie wyszukało. Zastosowałem się do tej konfiguracji Chrome, ustawiłem serwer DNS na Quad9. Po tym, jak to zrobiłem i po działaniu w FRST musiałem ponownie uruchomić komputer. Po ponownym uruchomieniu miałem problem z zalogowaniem się na forum, chociaż po odświeżeniu strony było już wszystko w porządku.
Korzystam też z weryfikacji dwuetapowej tam, gdzie to możliwe. Później zajmę się menedżerem haseł.

Wykonałem to działanie w FRST, oto Fixlog.txt

Włącz 2FA na Koncie Google
Włączanie weryfikacji dwuetapowej - Komputer - Konto Google - Pomoc

Potem zmień hasło do Gmail’a.

Weryfikację dwuetapową mam tam włączoną od dawna (przychodzi mi powiadomienie na telefon z zapytaniem czy to ja się loguję na komputerze), natomiast hasło zmieniłem wczoraj po tym, jak zauważyłem, że format nie pomógł.

Jednak poza tym, że na youtube są dziwne aktywności, ani razu nie dostałem powiadomienia o próbie logowania się na konto google, która nie byłaby moją próbą.

Na koncie Google masz wciąż widoczne powiadomienia o podejrzanej aktywności? Wskazuje konkretnie na jakiś problem?

Wszystkie rozszerzenia wyłącz (z wyjątkiem uBlocka Origin) i obserwuj historię wyświetlanych video oraz aktywność na YouTube.

Dostałem tylko jedno powiadomienie o podejrzanej aktywności, to z wczoraj:

Nie dostałem żadnego powiadomienia o próbie zalogowania się na konto i prośby o potwierdzenie, że ja to ja.

Wyłączyłem rozszerzenia, został tylko uBlock. Zainstalowałem też „I don’t care about cookies”, które było polecane w tej konfiguracji Chrome, ale na tę chwilę wyłączyłem i tę tę wtyczkę.

Skonfigurowałem i zaktualizowałem mks_vir, teraz robię pełny skan.

1 polubienie

Dziwna sprawa, bo po pełnym skanie mks_vir niczego nie wykrył, jednak w międzyczasie zareagował Windows Defender i znalazł jakiś podejrzany plik.

Po pierwsze: można go bez obaw usunąć?
Po drugie: aktywność na youtube jest dzisiaj zerowa. Codziennie od 15 lutego z mojego konta było umieszczanych po kilkanaście komentarzy pod różnymi filmami, ale dziś nie było ani jednego komentarza i ani jednej dziwnej pozycji w wyszukiwarce.

Rozważ uaktualnienie Windows 10 do 22H2, 1607 jak nie jest to prawdziwe LTSB/LTSC - to jest odcięty od wsparcia.

Zakładam że FRST wykrywa poprawnie Enterprise a nie jako edycję Pro do domu i małej firmy.

Windows 10 2016 LTSB - Microsoft Lifecycle | Microsoft Learn (13 Paź 2026)

Windows 10 Enterprise LTSC 2021 - Microsoft Lifecycle | Microsoft Learn (12 Sty 2027)

Co do mks_vir to może nie zeskanował partycji/dysku E:… (Co by wskazywało na ułomność trybu pełnego a potem dziury w sygnaturach i heurystyce).

Wykryty plik podszywa się pod „wygaszacz ekranu”.

I skoro go nie wykrył mks_vir to na razie tylko kwarantanna Defendera jakby @ThetaETX chciał go wysłać do labu mks_vir lub FRST-em na virus total (może tryb agresywny mks_vir już rozpoznaje plik).

Dysk E to przenośny HDD. Jest na nim kopia zapasowa programu do ustawiania animacji na tapecie pulpitu, może to o to chodzi? Mam ją od dawna, nigdy nie powodowała problemów. Z drugiej strony, wg ścieżki podanej w Defenderze, plik powinien znajdować się w folderze głównym dysku, jednak takowego pliku nie ma na całym dysku, również wśród ukrytych plików.

mks_vir działał dwa razy. Za pierwszym razem był podpięty dysk i wtedy zareagował Defender - antywirus nic nie pokazał. Za drugim razem dysk odpiąłem, bo to prawie jednak 2 TB danych i rzeczywiście Defender nie miał z czego wyłapać problemu.

Nie wiem o co chodzi z tym systemem, ale po reinstalacji systemu miałem duży problem z kartą WIFI. Gdy ją kupiłem, ściągnęła sobie je automatycznie, bo byłem podłączony do starego routera. Teraz jednak nie mam routera, nie miałem jak pobrać sterowników. Do karty była dołączona płyta, ale nie mam napędu. W telefonie wpisałem nazwę urządzenia i szukałem sterowników na oślep. W końcu któreś zareagowały, ale zauważyłem, że przy wielu stronach pojawiają się jakieś błędy ładowania itp. Zastanawiam się czy to przez to, że może zainstalowałem złe sterowniki, czy może źle skonfigurowałem DNS.

Pytanie brzmi - skoro tego programu do ustawiania animacji na pulpicie używam od dobrych 3 lat, nigdy nie wyłączałem Defendera, a jednak zareagował dopiero teraz, to czy jest możliwość, że teraz został zainfekowany przez zewnętrzne oprogramowanie?

Bo jest już w kwarantannie Defendera - kolumna z wykonaną akcją.

Nazwa pliku też wygląda na dziwną jak nie z aplikacji do animacji na pulpicie?

Na źle dopasowanym sterowniku może być, że karta źle działa lub to wersja z bombą zegarową (ktoś zmodyfikował na tyle by był to wektor ataku innego niż AdWare w przeglądarce).

Być może to jakiś plik co się odpala z autorun.inf na komputerach gdzie to nie jest zablokowane (czyli słusznie blokowany jako malware).

1 polubienie

Skany wskazują na zwykłą edycję Pro w bardzo starej wersji 1607, ale jeśli miałby to być edycja Enterprise (LTSB/LTSC), to w ogóle zastanowiłbym się skąd jest na niego licencja… Tu też może być problem. Zwłaszcza, że system mówi, że nie można znaleźć ważnej licencji do aktywacji systemu Windows na Twoim komputerze.

Co do oprogramowania AV, to ja widzę AVG, a nie mks_vir, czyli nienajlepszy program antywirusowy.

Dla pewności wykonaj szybki skan dysku E z poziomu mks_vira. :slight_smile:

Wykryty element przez Defendera został przeniesiony do kwarantanny i nie jest powiązany z wątkiem.
Dodatkowo warto iść za radą kolegów i wykonać uaktualnienie systemu Windows.

Co do sterownika sieciowego - pobierz program do automatycznego wyszukiwania i instalacji sterowników firmy Intel. Podczas instalacji zaznacz tylko pierwszą zgodę, drugą odrzuć (zgoda na dołączenie do programu zbierania opinii). Pobierz oraz zainstaluj odnalezione sterowniki.

Dzisiaj nie miałem czasu, żeby się tym wszystkim zająć, jutro to zrobię. Jednak zauważyłem, że od dnia, w którym skorzystałem z pliku naprawczego nie pojawiła się zupełnie żadna aktywność na koncie. Zero dziwnych wyszukiwań filmów, zero odtworzeń i zero nietypowych komentarzy. Czy jest możliwe, żeby za pomocą samego tylko pliku naprawczego problem został rozwiązany, czy to tylko chwilowy brak aktywności?

1 polubienie

Ten wpis został oflagowany przez społeczność i został tymczasowo ukryty.

Znowu komuś zaczyna odbijać i próbuje teksty ukrywać. :laughing:

@Yakii Oflagowano, bo zawiera wulgaryzm.

Ten wylgaryzm to kopia fragmentu zamieszczonego logu FRST.

A to ja nie wiem… Popytaj moderacji.

To mój tekst plus cytat czyjegoś FRST.
Włączyć myslenie a wyłączyć nadaktywność. To zawsze na dobre wychodzi.