Podejżany e-mail od Google na gmail-u


(Pharun) #1

Witam!


(Longhorn2009) #2

Link jest prawidłowy, z resztą nie widać tutaj żadnej próby wyłudzenia hasła itp. Co do tego problemu, to być może ktoś wkradł się na twoje konto, po zalogowaniu na gmaila kliknij z prawej strony na Szczegóły, tam masz info kto ostatnio logował się na pocztę, z jakiego IP, kraju, jakiej przeglądarki. Dla pewności zmieniłbym hasło na twoim miejscu.


(Pharun) #3

Właśnie też to sprawdziłem i ku mojemu zdziwieniu stwierdzam że faktycznie miałem próbę wbicia się na moje konto :confused: kurza twarz :confused: zmieniam hasło i muszę sprawdzić wszystkie kompy czy nie mam keyloggera itd. Jakieś pomysły skąd i jak to mogło się wydarzyć?


(Longhorn2009) #4

Najpewniej z jakiejś infekcji wirusem, może używałeś jakiś cracków, które zostawiły sobie tylne furtki (backdoory) i teraz buszuje po twoim systemie.


(Pharun) #5

Właśnie nie i to mnie zastanawia. Gram tylko w Diablo 3 i Hearthstone od dłuższego czasu, wszystko mam oryginały… jedyne co mi podpada to jeszcze komputer w pracy, ale też staram się uważać… kurcze muszę jakieś skanowanie na keyloggery zrobić - jakiś dobry polecany program? Czy logi z OTLa itd coś pomogą?


(Longhorn2009) #6

Zacznij od antywirusa, możesz też przeskanować Malwarebytes Anti-Malware. Jak coś wykryłoby, wrzuć logi.


(Pharun) #7

Antyvirus i AdAware nic nie znalazły, ale Malwarebytes znalazł nastepującego gnojka: Trojan.Zbot.FVS . Nic innego nie zostało znalezione (póki co sprawdziłem tylko komputer w pracy). Dałem go pod kwarantannę. Jakie logi wstawić żeby zobaczyć czy coś nie zostało?


(Longhorn2009) #8

Tutaj instrukcja http://forum.dobreprogramy.pl/analiza-i-dezynfekcja-zestaw-narz%C4%99dzi-nieingerencyjnych-t402063/


(Pharun) #9

LOGi

OTL: http://www.wklej.org/id/1313805/

EXTRAS: http://www.wklej.org/id/1313806/

 

jak by ktoś rzucił okiem i dał fachową opinię to było by super. W domu czeka mnie powtórka skanowania zapewne… :confused:


(roobal) #10

Jesteś trochę przewrażliwiony i nie zauważasz składni adresu. Po pierwsze jaka jest różnica między noreply, a no-reply? Dla mnie taka, że noreply to błąd ortograficzny, ale w adresie ma prawo taki wystąpić. Po drugie, wiadomość przyszła z domeny google. com, a dokładniej z subdomeny accounts.google.com, stąd accounts jest za małpą, a nie przed, bo jak to sobie wyobrażałeś no-reply.accounts@google.com? Oczywiście adres e-mail można spoofować, więc wystarczy zajrzeć do nagłówka i sprawdzić od kogo naprawdę przyszła wiadomość, tam będzie podany adres IP i tym podobne informacje, na podstawie których można zweryfikować nadawcę. Poza tym nikt nie żąda od Ciebie podawania hasła.

Co do logowania z Chin, nie korzystałeś czasem z jakiegoś proxy lub VPN? Z wiadomości za bardzo nie wynika czy ktoś się zalogował, czy nie, piszą o wykorzystaniu hasła i próbie logowania, więc nie wiadomo czy wykorzystali hasło czy tylko próbowali się za logować.

Jeśli korzystasz z tego samego hasła w innych usługach, mogło ono po prostu wypłynąć, po włamaniu na serwery i kradzieży bazy danych, usługodawcy nie zawsze informują o takich incydentach usługobiorców.


(Pharun) #11

 

ponieważ najpierw drążyłem temat w internecie i google przesyła powiadomienia z maili o składni np. account-recovery-noreply@google.com . Poza tym znalazłem na kilku stronach zapytania o adres z którego do mnie napisano i niektórzy mówili że to pic na wodę a inni że to prawdziwy mail, więc postanowiłem to zweryfikować. Nikt nie żąda ode mnie hasła ale jest opcja zmiany go bezpośrednio spod wysłanej do mnie wiadomości więc uznałem że to może być przekręt - kto się nie zorientuje to wpadnie. Postanowiłem zapytać tutaj żeby poznać opinie innych osób i ewentualnie sprawdzić logi.

 

Z proxy i VPNów nie korzystałem a o godzinie kiedy rzekomo była próba zalogowania byłem w łóżku i spałem.

 

Ponawiam prośbę o rzucenie okiem w LOGi bo nie wiem czy kompa w pracy już ze wszystkiego wyczyściłem i czy mogę spokojnie zmieniać hasło.


(Acorus) #12

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O4:64bit: - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-2031643113-379231895-2666900776-1000..\Run: [AshSnap] C:\Program Files (x86)\Ashampoo\Ashampoo Snap 6\ashsnap.exe File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Po restarcie uruchom OTL i użyj opcji Sprzątanie.


(roobal) #13

Jeśli subdomena pochodzi z domeny google.com, to jest ona od Google, adres owszem można spoofować, ale jak pisałem, nadawcę można zweryfikować zaglądając w nagłówek, patrzysz z jakiego IP przyszło i sprawdzasz czy należy do Google, jeśli nie, to należy podejrzewać próbę wyłudzenia danych. Gdyby to był adres typu accounts.gogle.com albo accounts.g00gle.com no to już w oczy się rzuca, że coś jest nie tak, o ile ktoś jest spotrzegawczy :wink:

Jeśli chodzi o logi, to musisz czekać na pomoc speców od logów OTL, akurat na tym ja się nie znam.


(Pharun) #14

 

Bardzo dziękuję!

 

http://www.wklej.org/id/1313844/

 

link do logu z OTL po wykonaniu skryptu. Zostały jeszcze jakieś niepokojące ślady podejrzanej aktywności, ewentualnie ślady po tym cholernym trojanie?


(Acorus) #15

Nic.To wszystko.


(Drag) #16

Taka ciekawostka,

 


(Pharun) #17

Dzięki wielkie!

 

 

 

Sytuacja jest o tyle ciekawa że po zalogowaniu na gmaila dostałem tez systemową informację o takiej próbie włamania i w liście połączeń faktycznie było połączenie z chinami… hasło zmieniłem, w domu sprawdzę domowego kompa czym tylko się da. Trojana z kompa w pracy usunąłem. Mam nadzieję że w domu żadnego paskudztwa nie mam i całą winę za tą sytuację ponosi komputer służbowy.

 

Dziękuję wszystkim za pomoc!


(Drag) #18

Tak czy inaczej temat jest dość ciekawy, niewiele wiadomo i trzeba polegać na informacji od Google. Od tamtej pory nie miałem więcej takich powiadomień. Skoro udało im się raz, mają hasło, w Google Wallet leżą $$$ to na co czekają?

 

@Pharunhttps://www.google.com/settings/security - tu masz jeszcze możliwość ustawienia 2-stopniowej weryfikacji konta.


(Witamy G) #19

Mi się kiedyś z Lincoln, USA włamali i nawet trochę spamu wysłali :smiley:


(Pharun) #20

Panowie chciałem tylko poinformować że komputer domowy jest czysty jak łza więc wygląda na to że to jednak wina trojana na komputerze w pracy :slight_smile: jest to o tyle uspokajające że jednak z domowego człowiek robi więcej rzeczy niż w pracy więc z dwojga złego lepiej tamten :slight_smile: