Witajcie,
ostatnio miałem dużo na głowie i nie korzystałem z komputera. Dziś próbując się zalogować na steam, okazało się, że hasło jest nieprawidłowe. Sprawdzam konto przez przeglądarkę i okazuje się, że ktoś zmienił nazwę i wszystko jest po rosyjsku. Okazało się, że dany osobnik uzyskał w jakiś sposób dostęp do mojego maila na interii(tu nie zmienił hasła) i na wszystkich kontach, które były powiązane z tym mailem, hasła są inne. Sprawdziłem mail na stronie haveibeenpwnd i niestety wyciekły dane, ale wydaje mi się, że od czasu wycieków hasło zmieniałem. Tydzień temu za to szukałem pewnego serialu na różnych stronach, które dość mocno spamowały reklamami(ale miałem adblocka) i możliwe, że w ten sposób jakoś uzyskał dostęp, ale sprawdziłem inne skrzynki pocztowe i konta i są nienaruszone. Korzystałem po prostu z windows defendera, który podczas skanowania nic nie wykazywał(czytałem opinie, że WD w zupełności wystarcza na win10, jak się okazało nie wystarcza). Malwarebytes wykryło sporo zagrożeń, tak samo ADW Cleaner wykrył ich parę i poddałem wszystko kwarantannie. Potem trafiłem na to forum i wykonałem skan przy pomocy FRST.
Teraz męczę się z odzyskiwaniem kont, lecz dalej nie mam pewności czy jestem bezpieczny(tak gdzie mogłem hasła pozmieniałem, lecz mail używałem od lat i nie wiem, czy gdzieś nie miałem np. podpiętych informacji o płatnościach). Mam nadzieję, że tylko do tego maila miał dostęp, jeśli jest jakaś możliwość zweryfikowania tego to byłbym wdzięczny.
Dorzucam logi:
MB: http://wklejto.pl/775547
ADW: http://wklejto.pl/775546
FRST: http://wklejto.pl/775587 http://wklejto.pl/775593 haslo 1337
Z góry dzięki za pomoc
A i dodam przy okazji, nie wiem czy typek, mimo zmiany hasła, dalej nie ma dostępu w jakiś sposób do poczty, bo kiedyś dostałem powiadomienie od interii, że z mojego konta jest wysyłany spam i po tym zmieniłem hasło, dziś jak się logowałem znowu się to pojawiło i mam logi ip, które zapewne nic nie dają bo pewnie korzysta z jakiegoś VPN, ale tu ip z 23.10 92.24.204.25, tu z 25.10 183.252.96.217
EDIT: I nie wiem czy dalej nie siedzi mi na koncie, bo mam wrażenie, że jest wyświetlona wiadomość, której ja nie wyświetlałem, lecz nie wiem czy to możliwe, bo zmieniałem hasło

Jeśli zmieniasz hasło, a mimo to “haker” nadal ma dostęp do Twojej skrzynki, to możliwe, że masz jakiś keylogger w systemie i chwilę po zmianie hasła “haker” już je zna.

Sugeruję zaoranie całego systemu operacyjnego, postawienie go od nowa i dopiero wtedy zmianę hasła. Ewentualnie możesz zmienić hasło z innego urządzenia, o którym wiesz, że jest czyste. Najlepiej z innego łącza internetowego (np. smartfon z łączem mobilnym). Ale system i tak bym zaorał.

Sprawdziłem sobie dokładniej te IP, , jedno z Chin a drugie z UK, tego pierwszego nie ruszysz, ale drugie możesz w teorii załaczyc do pisma (wydruk kto jest dostawcą). Jeżeli miałeś na emailach dane typu płatności, faktury, firmowe dokumenty, to warto zgłosić sprawę na policji. Nie łudź się, że z radością przyjmą i będą ochoczo szukali, ale potraktowałbym to jako zabezpieczenie. Kto wie co wykombinują a papierek może się przydać.

Oczywiście dysk instalacyjny przygotować najlepiej na innym zdrowym PC, watpliweby dodał coś do obrazu, ale jak stawiac na gołym fundamencie to od absolutnego zera. Ogólnie tez bym nie leczył, a zaorał.

Hasła, jeżeli możesz, zmień z KOMÓRKI, nie komputera zainfekowanego i nie zapomnij o…pytaniach bezpieczeństwa, skojarzonych emailach etc.

To było przypuszczanie, możliwe, że pod wpływem paniki i zmęczenia, bo od 19 do 4 wszystko starałem się odzyskiwać i możliwe po prostu, że na interii jak się wejdzie, to ostatnia wiadomość sama się odczytuje. Jeśli to keylogger, to nie wiem czy to możliwe, ale musiałby być wtedy w jakiś sposób jedynie na mailu, bo inne konta i maile (w tym jedno najważniejsze), są nietknięte, bądź wydają się być takie (nie usunął maili, nie pozmieniał haseł, nic nie jest odczytane).
A z logów nie da rady nic wyczytać? Bo mam sporo danych, których nie chciałbym stracić, a ponowne zainstalowanie i przywrócenie wszystkiego zajęłoby mi naprawdę sporo czasu

Tylko to nie da 100% gwarancji po oczyszczeniu, choćby dlatego, że żaden skaner nie ma 100% skuteczności. Zwykle koło 99%, musiałbyś więc ze 2-3 kolejno po sobie uzyć i to jednak bez gwarancji, że nie znajdziesz się w pechowym 0,01% niewykrywanych. Jeżeli chodzi o jakieś dokumenty możesz je zgrać, pliki word/xls raczej nie sa zainfekowane. Ewentualnie idąc po bandzie wgraj czysty system na nowy dysk, a by wyciągnąć co ze starego podmieniaj dyski.

Mnie tak ciągle spam po wycieku morele ktoś chyba otwiera, pewnie w mailu zdjęcie 1x1px i wysyłają dalej…

Witaj @Prodigy90
Sporo tego w logach, aż brakło miejsca we wklejkach
Wygląda na to, że zainfekowany został Chrome.
Przez pewien czas używaj Opery/FireFox/Edge.
Zaloguj się do poczty Interia i sprawdź czy “ktoś” nie dodał przekierowania.
W prawym górnym rogu kliknij w swój Email, wybierz Ustawienia Poczty
W lewym menu pod Poczta wybierz Ogólne, zjedź na dół ekranu i sprawdź okienko

Jeśli nie jest puste, skasuj zawartość i kliknij Zapisz.
Następnie:

1. Uruchom Chrome, wyeksportuj Zakładki/Ulubione, odinstaluj Chrome, resztę dodam w pliku naprawczym
2. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\kamil\Downloads
   fixlist.txt (3,6 KB)
   “Plik naprawczy, tylko dla Ciebie, został wykonany w FiRST Editor 1.09b © ijuliusz.pl”
3. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
4. Po restarcie wklej plik wynikowy.
5. Zrób powtórnie skan MBAM i wklej plik wynikowy.

Sprawdź tutaj czy figurujesz:
https://haveibeenpwned.com/

Wielkie dzięki za odzew. Niestety dopiero dziś odczytałem wiadomość, bo wczoraj pozostawiłem komputer do skanowania przy opcji “Niestandardowe skanowanie” w MBAM, które zajęło ok 10h. Dziś odpaliłem plik naprawczy i przeskanowałem MBAM’em wybierając “Pełne skanowanie”, gdyż zajmuje ono raptem 20 minut. Jeśli jednak wymagane jest niestandardowe skanowanie, to przy okazji odpalę je i wieczorem dorzucę dodatkowe logi, jeśli będzie potrzeba.
FRST: http://wklejto.pl/775863
MBAM(niestandardowe z wczoraj): http://wklejto.pl/775864
MBAM(pełne z dzisiaj): http://wklejto.pl/775865
Hasło 123
Dzięki jeszcze raz za pomoc

Przy okazji odzyskałem konto na steam i wydaje mi się, że znalazłem osobę odpowiedzialną za włamanie: https://steamcommunity.com/id/9ramirez Miałem go dodanego do znajomych, a oprócz tego prawdopodobnie jego dziewczynę. Po przetłumaczeniu rozmawiali coś o znajomych z miasta, przedstawiał się, jako ramirez, itp

@m4s Już pisałem nawet chyba, mój mail figuruje na haveibeenpwnd i to całkiem sporo wycieków, gdyż był używany do wszystkiego, od 2006 roku

Logi MBAM czyste.
Zrób jeszcze skanowanie

• Pobierz ESET Online Scanner
• Uruchom z Uprawnieniami Administratora
• Naciśnij Skanowanie komputera
• Naciśnij Pełne skanowanie
• Wybierz Włącz wykrywanie …
• Rozpocznij skanowanie
• Gdy wykryje jakiekolwiek zagrożenia zapisz raport
• Program zapyta o Skanowanie okresowe odznacz i wyłącz
• Udostępnij plik raportu

Przeskanowałem esetem i nic nie wykryło. Teraz na spokojnie będę obserwował czy nic podejrzanego na mailu się nie dzieje i ewentualnie zrobię wtedy formata. Jeszcze raz dzięki wielkie za pomoc

Obserwuj
a “obserwowałeś” pocztę Interia, tak jak opisałem wcześniej?

Tak, sprawdzałem już i nic nie było. Dzwoniłem do interii i niestety nie chcą przywrócić usuniętych maili i nigdy nie dowiem się, co mi dokładnie pozmieniał, ale mówi się trudno