Zabezpieczenie przed przechwyceniem danych

Rqzor · 19 Sierpień 2014 08:45

Witam

Wczoraj zadzwonił do mnie jakiś miły Pan z mojego banku żeby poinformować mnie, że ostatnie logowanie do mojego konta bankowego odbyło się z zainfekowanego koniem trojańskim komputera. Zalecił zmianę wszystkich haseł. Na 100% jest to mój komputer. Moim zdaniem, gdyby dane do logowania były już przechwycone to zapewne nie byłoby nic na koncie. Skanowanie ESET Nod32 Antivirus 5 nic nie wykazało. I tu moje pytanie, czym dobrze przeskanować komputer? Jak się na przyszłość zabezpieczyć przed tego typu akcjami?

Pozdrawiam serdecznie !

mrFreeze · 19 Sierpień 2014 09:00

Wrzuć logi z FRST. Jakoś nie wierze w prawdziwość tego telefonu

http://forum.dobreprogramy.pl/nowy-log-obowi%C4%85zkowy-farbar-recovery-scan-tool-t478727/

scripter1 · 19 Sierpień 2014 09:02

A nie pytał cię przypadkiem o jakieś dane osobowe lub hasła? Nie podał ci przypadkiem jakiegoś adresu na którym masz zmienić hasła? Albo może zalecił ci zainstalowanie jakiegoś programu z podanej przez siebie strony?

Pierwszy raz słyszę aby bank w ten sposób informował swoich klientów o takich logowaniach (ciekawe jak to niby wykryli że komputer jest zainfekowany).

Za to podszywanie się pod pracownika banku jest typową metoda fishingu w celu wykradania danych osobowych (kradzieży tożsamości) i haseł do kont.

Czy sprawdziłeś w banku czy ta osoba faktycznie tam pracuje i czy faktycznie zajmuje się takimi sprawami?

mrFreeze · 19 Sierpień 2014 09:06

Dokładnie mogę się założyć, że właśnie tak było. Teraz był szybko dzwonił do banku i blokował dostęp jak podałeś jakieś dane. Mam nadzieję, że masz przelewy zabezpieczone kodem jednorazowym i go czasem nie podałeś do niby weryfikacji?

Rqzor · 19 Sierpień 2014 09:53

Nie sprawdzałem, ponieważ ta osoba nie wyłudzała zupełnie żadnych informacji ani nie namawiała do instalacji jakichś aplikacji itp…

EDIT@

Nic nie podawałem… Sam doskonale wiem, że to mogła być próba wyłudzenia danych. Mam tam konto biznesowe, może dlatego ten telefon…

Oczywiście korzystam z kodów jednorazowych

A tutaj logi:

FRST:

http://www.wklej.org/id/1443968/

Addition:

http://www.wklej.org/id/1443969/

Podawanie publicznie tych logów w niczym mi nie zaszkodzi, tak? Pytam ponieważ nigdy wcześniej tego nie robiłem

system · 19 Sierpień 2014 10:05

Skoro masz tam konto biznesowe i po takim myku nie kontaktujesz się z bankiem ?

Ściemniasz albo ktoś zrobił Ci kawał.

Człowiek interesu który na forach szuka pomocy… omg

bez obrazy.

Rqzor · 19 Sierpień 2014 10:18

Interes siostry, która ostatnio korzystała tylko z mojego komputera. Zadowolony? Na własną rękę chce prześwietlić komputer. Jeśli nadal nie masz zamiaru nic wnieść do tematu to do widzenia

Atis · 19 Sierpień 2014 10:59

Nie widać infekcji tylko śmieci związane z programami adware.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1171060160-2323531195-2308025903-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1171060160-2323531195-2308025903-1000\...\Policies\Explorer: [] 
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://searchab.com/?aff=7&uid=11ef9d45-526d-11e2-9510-902b34983e5f&q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://searchab.com/?aff=7&uid=11ef9d45-526d-11e2-9510-902b34983e5f&q={searchTerms}
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml [2014-01-03]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S0 vmci; system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
Task: {105857DC-FE7F-4EEE-B29E-64DBE8924A56} - \QtraxPlayer No Task File <==== ATTENTION
Task: {4134E2EF-CFAC-4ECE-9F36-92532156A2E5} - \DSite No Task File <==== ATTENTION
Task: {F5ABC025-417F-4B7E-88FF-E28E40EA0A69} - System32\Tasks\{60A3116A-5085-4EDB-9B06-13CEEDAE16A6} => D:\START.EXE
CMD: del /f /s /q %TEMP%\*.*

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Rqzor · 19 Sierpień 2014 14:30

Proszę bardzo

Fixlog:

http://wklej.org/id/1444121/

Atis · 19 Sierpień 2014 17:09

Skasuj folder C:\FRST

Odinstaluj:

Adobe Flash Player 11 Plugin

Adobe Shockwave Player 12.0

Adobe Reader XI

Java 7 Update 65

Microsoft Silverlight

Zainstaluj:

Java 7 Update 67

Adobe Reader XI 11.0.8

Flash Player 14.0.0.179 Plugin-based browsers

Silverlight 5.1.30514.0

Internet Explorer 11

Rqzor · 19 Sierpień 2014 17:47

Ok już to robię, a mógłbyś mi wyjaśnić co jest nie tak?

Atis · 19 Sierpień 2014 18:22

Co ma być nie tak?

Napisałem, że nie widać infekcji, a usuniętych zostało tylko trochę śmieci związanych z adware.

Rqzor · 19 Sierpień 2014 19:15

Czyli mój komputer jest czysty?