Hej, zacznę od tego, że nie było mnie w domu cały dzień 10.02 a mam aktywność na swoim koncie Steam, tj. ktoś sprzedał mi przedmioty po zaniżonej cenie. Na koncie tego dnia mam aktywność logowania na jakieś 5 min od ~12:30. Do komputera nikt nie miał fizycznego dostępu na pewno. Na steamie mam włączoną autoryzacje dwuskładnikową, która wymaga potwierdzenia przez aplikacje mobilną Steam przy próbie nowego logowania. Konto jest na moim starym mailu o banalnym pw ale nie było na nim żadnej aktywności (ja sam nie wchodziłem na nie z 6 lat). Jest może ktoś kto ogarnia jak działa cały steam guard i może mi wytłumaczyć jak to jest możliwe, że ktoś mi się tam włamał? Odrazu wysyłam logi z FRST:
FRST: FRST - Pastebin.com
Addition: Addition - Pastebin.com
Shortcut: Shortcut - Pastebin.com
Witaj @r1d3rek
Trudno na tym etapie stwierdzić, czy umożliwienie obcego logowania pochodzi z infekcji PC, czy smartfona.
W pliku naprawczym m.in. będą usunięte odnośniki do nieistniejących plików.
Prawdopodobnie, zostały one wykryte i usunięte przez ADWCleaner lub MBAM
Jeśli to możliwe to wstaw pliki wynikowe, które zostały utworzone po skanowaniu przez te dwa programy
Oto plik naprawczy FRST
- Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\PC\Downloads
fixlist.txt (5,7 KB)
„Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze” - Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
- Po restarcie wklej plik wynikowy.
Pozdrawiam serdecznie
Juliusz
Dzięki za odpowiedź, na razie wysyłam logi ze skanowania:
ADW Scan - ADW Scan - Pastebin.com
ADW Clean - ADW Clean - Pastebin.com
Malwarebytes - Malwarebytes - Pastebin.com
Wkleiłem plik, który wysłałeś, zrobiłem ‘Fix’, restart PC i nie dostałem żadnego raportu. Czy wkleić jeszcze raz pliki FRST, Addidtion i shortcut?
Plik raportu powinien zapisać się w katalogu * C:\Users\PC\Downloads*
Czy zauważyłeś nowe ‘obce’ logowania na konto?
Sprawdzę serwisy
Pobierz i uruchom FSS , zaznacz wszystkie okienka (zaptaszkuj) i zrób skan.
Wstaw log do wglądu.
Nie zauważyłem dalszych zmian u siebie od wczoraj pozmieniałem hasła i poustawiałem dodatkowo sobie na maile 2FA, szkoda że dopiero teraz.
Raport z FFS - raport - Pastebin.com
Dziękuję
W skan FFS nic nie wykazał
Sprawdziłeś, czy Twój stary mail nie ma przypadkiem ustawień konta zastępczego lub przekierowania?
Jeśli podejrzewasz, że ktoś uzyskał dostęp do maila, mógł umieścić zapasowy mail
Zrób jeszcze skan ESET
- Pobierz ESET Online Scanner
- Uruchom z Uprawnieniami Administratora
- Wybierz język polski
- Kliknij Pierwsze kroki
- Potwierdź warunki
- Kliknij Pierwsze kroki
- Na ekranie Zanim zaczniemy zaznacz opcje według własnego wyboru
- Wybierz Skanowanie komputera
- Wybierz Pełne skanowanie
- Wybierz „Włącz wykrywanie i przenoszenie…”
- Rozpocznij skanowanie
- Gdy wykryje jakiekolwiek zagrożenia zapisz raport
- Program zapyta o Wersję próbną odznacz i wyłącz
- Udostępnij plik raportu
Na maila raczej nie było włamania bo i tak bym dostał powiadomienie do aplikacji przy próbie logowania na konto Steam albo ewentualnie usunął by mi 2FA z aplikacji moblinej, aby mieć dostęp. Nie mam też żadnych ostatnich logowań na maila w historii, a tego chyba nie można usunąć (napisałem do supportu interii o weryfikacje). Nie rozumiem zasady działania ale czy jest to możliwe, że zalogowanie na konto Steam i cała ta sytuacja działa się przez wirus/skrypt na moim pc podczas, gdy komputer był wyłączony? Bo nie widzę innej metody zalogowania się na konto Steam bez potwierdzenia tego w aplikacji moblinej. Zostaje jeszcze telefon, ale przeskanowałem go dwoma programami, które nic nie wykryły (chyba, że możesz polecić jakieś dobre na androida).
Po skanowaniu ESET Online Scanner, nie dostałem raportu (możliwe, że nie widziałem opcji do wygenerowania, bo nie wiem czemu ucieło mi fragmenty okienka programu😶). Jedynie mogę wkleić to co program kazał mi poddać kwarantannie, bo wykrył 30 zagrożeń.
Jest jakaś inna opcja do wygenerowania tego raportu?
Może da się kraść sesję Steam lub podpis, że urządzenie jest zaufane.
Rozważ usunięcie zaufanych urządzeń i/lub wygenerowanie nowego 2FA dla Steam.
Na razie usunąłem zabezpieczenie Steam Guard przez co mam blokade na rynek i wszystkie wymiany więc nic mi juz nie zginie. Kwestia tylko jak do tego doszło, support Steam dał mi tylko ogolne wytyczne jak postąpić w takiej sytuacji, a ja chce wiedzieć czy to przez pc, telefon albo jeszcze jakoś inaczej, żebym wiedzial na przyszłość czego ewetualnie uniakać. Oczywiscie zrobie format, pozmieniam na świeżym sofcie jeszcze raz hasła ale przedtym chciałbym sie dowiedzieć jak do tego doszło.
Przeskanowałem jeszcze raz pc programem ESET ale nie wykrył zagrożeń, zastanawiam się teraz na ile mój komputer jest bezpieczny? Czy zrobienie formata dysku systemowego na, którym mam zainstalowane wszystkie programy bez ruszania HDD na, na którym mam dane wystarczy? Czy jest szansa, że dalej mam jakieś szkodliwe oprogramowanie, które zacznie znowu działać za jakiś czas i wyczyści mi konta? W zasadzie byłem zdania, że w miarę z głową korzystam z komputera i sam Win Defender mi wystarczy, ale po tej sytuacji jestem pełen obaw skoro nawet 2FA nic nie dał. Dalej nie mam odpowiedzi jak doszło do shackowania mojego konta ale przypuszczam, że to jakiś skrypt bo straty jakie poniosłem oscylują gdzieś w granicach 50zł więc nie wygląda to chyba na spersonalizowany atak.