Dzień dobry
28 lipca dostałem alerty z konta google o podejrzanej aktywności na lapku i wylogowało mnie na nim. Zmieniłem jedynie hasła i bezmyślnie temat zbagatelizowałem.

Nad ranem 29 lipca ktoś przechwycił moje konto na facebooku, które miało aktywną sesję na wspomnianym laptopie, zmienił mail oraz hasło. Konto po 24 godzinach udało mi się odzyskać, aktywności na nim nie zauważono. Zmieniłem hasła. Prewencyjnie nie logowałem się już na fb z mojego laptopa. Zajrzałem na konto google sprawdzić urządzenia na których jestem zalogowany. Zobaczyłem obce urządzenie Apple (nie mam nic tej marki) z lokalizacją z Rosji, logowanie było 22 lipca. Wylogowałem je, zmieniłem hasło do google, ale pozostałem z częścią moich kont google aktywnych na moim laptopie.

Dziś 31 lipca z tych właśnie moich kont gmail rozesłano spam na dziwne skrzynki pocztowe z linkami. Spam rozesłano tylko z kont, które pozostały zalogowane na laptopie, który 28 lipca dostał alerty. Na kontach, które były zalogowane wyłącznie na telefonie nic się nie stało. Ponownie sprawdziłem urządzenia, które są zalogowane na moje konta google. Widzę na nich telefon (lokalizacja prawidłowa) oraz mojego aktywnego laptopa, ale ze zmienionymi lokalizacjami, na jednym koncie pokazuje go z Turcji, na innym z Hiszpanii.

Wylogowałem się tym razem już ze wszystkiego na podejrzanym laptopie i usunąłem ciasteczka. Zrobiłem na nim scan FRST oraz RogueKiller antimalware (ten drugi wykrył dwa zagrożenia: instalator „virtualize_this_key.exe” oraz jakiś nowy plik utworzony w plikach przeglądarki Chrome 27 lipca gdzie pozostałe w folderze są datowane na kilka lat wcześniej).

Przesyłam pliki z raportów z prośbą o sprawdzenie i wskazówki jak pozbyć się tego syfu.

raport Rogue Killer.txt (6,8 KB)
Addition.txt (78,6 KB)
FRST.txt (110,4 KB)
Shortcut.txt (75,3 KB)

Poczekaj na reakcję @iJuliusz Tym czasem na swoim koncie Google, Microsoft, Facebook. Discorda, jak masz i innych włącz weryfikację dwyeyapiwą 2FA. No chyba, że masz to aktywowane.

Masz wersje systemu Win 10 z 2019 r. Aktualna to 22H2.
Ta wersja nie jest przez Microsoft aktualizowana od 2021 r. pod względem bezpieczenśtwa systemu.
Co to oznacza?
Tylko to ze system moze byc zainfekowany ale nie ma zadnej gwarancji że aktualny program AV to wykryje.
Masz wprawdzie oprócz Avasta, Windows defender, który powinien działać w tle ale niestety nie działa.
Przyczyna?

Produkt Program antywirusowy Microsoft Defender napotkał błąd podczas próby aktualizacji analizy zabezpieczeń.
Nowa wersja analizy zabezpieczeń:
Poprzednia wersja analizy zabezpieczeń: 1.393.737.0
Źródło aktualizacji: Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem
Typ analizy zabezpieczeń: Oprogramowanie antyszpiegowskie
Typ aktualizacji: Pełne
Użytkownik: ZARZĄDZANIE NT\SYSTEM
Bieżąca wersja aparatu:
Poprzednia wersja aparatu: 1.1.23060.1005
Kod błędu: 0x80070070
Opis błędu: Za mało miejsca na dysku.

P.S.
Plik naprawczy sie przyda ale po nim aktualizacja systemu.
Bez niej bedziesz miał co chwilę problemy i zero bezpieczeństwa.

Witaj @GLIF

W logach masz ogromną ilość Zaplanowanych Zadań
Tu przydałaby się optymalizacja

Na początek zrób skanowanie MBAM według instrukcji, następnie zrób świeży skan FRST i wstaw logi

MBAM

• Pobierz MalwareBytes MBAM 4

• Zamknij wszystkie aktywne programy i przeglądarki.

• Zainstaluj MBAM w wersji na Komputer Osobisty

• Pierwsze kroki - Wybierz wersję - darmowe Premium na 14 dni lub kontynuacja wersji podstawowej

• Wejdź w Ustawienia w Prawym górnym rogu

• Zakładka Bezpieczeństwo

• Wyłącz Autouruchamianie, jeśli nie zamierzasz zostawiać programu w systemie

• W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych

• Skanuj w poszukiwaniu Rootkitów

• Skanuj archiwa

• Użyj sztucznej inteligencji …

• Wróć do Głównego Menu

• Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

Pozdrawiam serdecznie
Juliusz

Dziękuję Wam za tak szybki odzew blumberplumber @Yakii oraz @iJuliusz

Zaktualizowałem Windowsa.

Wrzucam plik ze skanowania MBAM
raportMBAM4.txt (2,6 KB)

Avast zaczął krzyczeć, że frst.exe jest zakażony „idp.alexa53”, więc dałem na kwarantannę i pobrałem go jeszcze raz już bezpośrednio z linków na tym forum.
Wrzucam pliki z ponownego skanu FRST
Addition.txt (71,7 KB)
FRST.txt (130,7 KB)
Shortcut.txt (65,7 KB)

Avast jest ‘przewrażliwiony’ na niektóre spakowane pliki, w tym FRST
Bez obaw

Na dysku systemowym masz bardzo mało wolnego miejsca,
należałoby pozbyć się niepotrzebnych plików

W katalogu ProgramData pojawiły się numerowane pliki, wskażę kilka, bo jest ich więcej

2023-07-27 20:09 - 2023-07-27 20:08 - 000032768 _____ C:\ProgramData\87781406179496332986218781
2023-07-27 20:09 - 2023-07-27 20:08 - 000032768 _____ C:\ProgramData\71231702831608262132095001
2023-07-27 20:09 - 2023-07-22 09:02 - 000688128 _____ C:\ProgramData\10659932761026593720328988

Na początek usunę niepotrzebne wpisy, które pojawiły się w FRST
Nie uda się zapewne zrobić Punktu przywracania, ale opcję taką zostawię w pliku naprawczym

1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Dream Machines
   fixlist.txt (7,2 KB)
   „Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
3. Po restarcie wklej plik wynikowy.
4. Pobierz ADWCleaner
5. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
   Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść
6. Wklej plik wynikowy.

Kolejne polecenia po przejrzeniu plików wynikowych

Pozdrawiam serdecznie
Juliusz

Dziękuję raz jeszcze @iJuliusz
Usunąłem wszystkie numerowane pliki z ProgramData, przejrzałem systemowy i dałem trochę oddechu.

Plik wynikowy z FRST
Fixlog.txt (17,9 KB)

ADWCleaner niczego nie wykazał, poniżej plik
AdwCleaner[S00].txt (1,4 KB)

Pozdrawiam serdecznie
Filip

Dziękuję

Zrób skan ESET Online według instrukcji, następnie zrób nowy skan FRST

• Pobierz ESET Online Scanner
• Uruchom z Uprawnieniami Administratora
• Wybierz język polski
• Kliknij Pierwsze kroki
• Potwierdź warunki
• Kliknij Pierwsze kroki
• Na ekranie Zanim zaczniemy zaznacz opcje według własnego wyboru
• Wybierz Skanowanie komputera
• Wybierz Pełne skanowanie
• Wybierz „Włącz wykrywanie i przenoszenie…”
• Rozpocznij skanowanie
• Gdy wykryje jakiekolwiek zagrożenia zapisz raport
• Program zapyta o Wersję próbną odznacz i wyłącz
• Udostępnij plik raportu

@iJuliusz „nie wykryto zagrożeń a jedynie potencjalnie niepożądane aplikacje”, dokładnie jedną - ccleaner’a. Poniżej plik z wynikami
raportESET.txt (818 bajtów)
a tutaj nowy skan FRST
Addition.txt (69,4 KB)
FRST.txt (217,7 KB)
Shortcut.txt (66,2 KB)
Dzięki

Dziękuje

W logach nie ma już nic niepokojącego

Pozostaje utworzyć dwustopniowe zabezpieczenia - jeśli jeszcze tego nie zrobiłeś - na stronach, gdzie masz konta

Niepewne adresy stron, na które chcesz zajrzeć, lub pobrane pliki, co do których nie masz pewności, możesz przeskanować na virustotal.com

Usuń pozostałe programy naprawcze stosując narzędzie KpRm

Uruchom i zaznacz opcje: Delete Tools, Registry Backup, Create Restore Point, Delete now.

Kliknij Run.
Wstaw plik wynikowy.

Zaznacz post, który rozwiązał Twój problem. Wystarczy jeden

W razie kolejnych kłopotów z komputerem, pisz

Pozdrawiam serdecznie
Juliusz

Oto plik wynikowy
kprm-20230808213552.txt (2,3 KB)

Dwustopniowa weryfikacja ustawiona. Utworzyłem też jedno nowe konto na gmailu jako „przynętę” i zostawię je do obserwacji przez pewien okres, jak coś mnie zaniepokoi to się odezwę. No i od teraz będę już dbał o porządek oraz aktualizacje.

Na koniec dziękuję raz jeszcze wszystkim a zwłaszcza Tobie @iJuliusz za nieocenioną pomoc.

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.