Witam. Ostatnio dwukrotnie przytrafiła mi się sytuacja na poczcie o2 (inne skrzynki których używam działają normalnie) z komunikatem o przechwyceniu hasła: “Dotychczasowe hasło zostało przechwycone najprawdopodobniej przez wirusa, który może znajdować się na Twoim komputerze, laptopie, tablecie”. Za pierwszym razem, ok. 2 tygodnie temu przeskanowałem komputer Esetem, ADW, MBAM i nie wykryły niczego podejrzanego. Profilaktycznie zmieniłem hasła. Wczoraj sytuacja się powtórzyła. Nie przypominam sobie aby w ostatnim czasie na komputerze było instalowane nowe oprogramowanie, ESET milczy. Niżej załączam raporty z FRST. Forumowych speców proszę o zerknięcie i sprawdzenie czy poczta niepotrzebnie panikuje czy rzeczywiście coś jest na rzeczy.

Addition.txt (68,0 KB) FRST.txt (55,8 KB) Shortcut.txt (74,9 KB)

Jak dokładnie wyglądała ta informacja o przechwyceniu hasła? I gdzie się ona pojawiła?

“Dotychczasowe hasło zostało przechwycone najprawdopodobniej przez wirusa, który może znajdować się na Twoim komputerze, laptopie, tablecie, smartfonie lub innym urządzeniu.
Aby korzystać dalej ze swojej skrzynki użyj programu antywirusowego, a następnie zmień hasło.”

Podczas próby zalogowania przez stronę o2. Wcześniej outlook nie był w stanie odświeżyć poczty, przez przeglądarkę pojawił się taki komunikat.

Czy ten komunikat jest poprzedzony logiem poczty o2.pl?

Szczerze, nie pamiętam na 100% dokładnie ale wydaje mi się że nad komunikatem, w lewym górnym rogu było widoczne logo. Spojrzałem na adres strony i na pewno była to poczta.o2.pl. Po zmianie hasła wszystko działa póki co OK, od wczorajszego wieczora.

Ja unikam WP, o2 (to to samo co WP), Onet i Interia. Bo to jeden wielki SPAM to raz, a dwa takie maile sa najczęściej atakowane.

OK, wiem. Nie mogę się pozbyć tej skrzynki, jest to jedna z moich kilku. Chodzi mi o rzucenie okiem przez kogoś na logi, czy wszystko z nimi OK.

Możesz opcjonalnie założy weryfikacje 2fa jak sie da… może po za komputerem masz telefon zainfekowany z którego też sie logujesz na pocztę lub jeszcze inne miejsce…?!

Kto normalny jeszcze korzysta z tych poczt tu masz normalną alternatywę
https://protonmail.com/pl/ lub https://tutanota.com/pl/
A tu aplikacja 2fa https://authy.com/

Przerejestruj sie z stron na których masz to konto założone na nową bo pewnie i tak trafiła już do listy spam botów na darknecie… https://haveibeenpwned.com/

Kolejna sprawa nie masz przypisanego hasła odzyskiwania do innej zainfekowanej poczty może, podałeś dane na fejkową stronę poczty (phishing)… oraz sekretne pytanie do resetowania hasła je też by sie przydało zmienić…

Zainstaluj SpyShelter niech ci klawisze szyfruje.

Jak napisałem, korzystam również z innych skrzynek i reszta jest OK. Tej nie mogę się pozbyć. Proszę tylko kogoś o zerknięcie czy te logi są czyste.

Witaj @zd3nek

W logach nie widać żadnej infekcji.
Mam na myśli aktualnie.
Są za to wykryte próby uruchomienia aktywatora Windows i/lub Office.
Ale co mogło się stać od tamtej pory (Date: 2020-01-03 12:39), nie jestem w stanie stwierdzić.

Proponuję więc wykonać oczyszczanie programem FRST i ADWCleaner.

1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. D:
   fixlist.txt (5,9 KB)
   “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
3. Po restarcie wklej plik wynikowy.
4. Pobierz ADWCleaner, uruchom z Uprawnieniami Administratora, uruchom skanowanie.
   Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść, wklej plik wynikowy.

Dzięki.
Fixlog.txt (15,0 KB)
Adw niczego nie wykrył
AdwCleaner[S01].txt (1,5 KB)