Podejrzenie wykradzenia haseł dostępu

Post16 gru 2012, 12:20

Witam
Wczoraj wieczorem otrzymałem na maila 2 wiadomości o tym że moje wszystkie hasła są ogólnie dostępne w internecie co ciekawe druga wiadomość przyszła ode mnie samego. Zauważyłem również że ktoś chyba grzebał mi przy koncie na chomikuj. Chciałem was się doradzić i spytać o co chodzi, czy rzeczywiście hasła mogły wyciec i jak się przed tym bronić.

Post16 gru 2012, 12:29

Najlepiej zmień hasła we wszystkich serwisach, z których korzystasz.

samel15 pisze:Chciałem was się doradzić i spytać o co chodzi, czy rzeczywiście hasła mogły wyciec i jak się przed tym bronić.

Nie pokazuj swoich haseł osobom trzecim, tym bardziej jeżeli ktoś Cię prosi o to na mailu podając się np. za właściciela danego serwisu itp.
Sprawdzaj czy nie trafiłeś na spreparowaną stronę danego serwisu. Łatwo to ocenisz po poprawności adresu strony na pasku adresu w przeglądarce.

Post16 gru 2012, 12:40

Hasła rzecz jasna wszystkie już zmieniłem.

Nie pokazuj swoich haseł osobom trzecim, tym bardziej jeżeli ktoś Cię prosi o to na mailu podając się np. za właściciela danego serwisu itp.

Co do tego to nie stosowałem nigdy takich praktyk nie jestem naiwny. Staram się dbać o tego typu rzeczy tym bardziej zdziwiła mnie ta wiadomość.

Post16 gru 2012, 12:53

samel15 pisze:bardziej zdziwiła mnie ta wiadomość.

Pewnie jakiś spam.
Jeżeli ktoś rzeczywiście miałby dostęp do Twoich haseł i chciałby je wykorzystać nie informowałby Cię o tym.
Zresztą po wejściu na Twoje konta zmieniłby hasła, abyś Ty nie miał już dostępu.

Kto był nadawcą tego maila ? Podaj adres e-mail.

Prewencyjnie możesz podać logi z:
=> OTL (OTL.txt i Extras.txt) => http://www.hotfix.pl/obsluga-programu-otl-a143.htm
=> TDSSKiller => http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm
Logi wklej na Dostępne tylko dla zarejestrowanych użytkowników

Post16 gru 2012, 13:16

Umieszczam treść oraz nadawców:
Do internetu wyciekły hasła wśród nich jest również twoje:
Tutaj była podana strona na której chyba maja być moje hasła

Zmień wszystkie hasła, ponieważ są dostępne publicznie zanim ktoś
narobi ci przykrości.

Nie dziękuj. BB.
Ten mail wysłałem sam do siebie :/

Tu drugi: Wczoraj wyciekły do internetu hasło Twojego konta, proszę zmień je.

Ta przyszła od tymda tyasi, a adresowana była do undisclosed-recipients

Też bym uznał to za SPAM gdyby nie to że zobaczyłem dziwnie wysłany mail ode mnie samego i zmiany na moim koncie na chomikuj

Logi:
TDSKiller: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post16 gru 2012, 18:29

DRV - [2003-12-01 16:20:52 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp01.sys -- (sfhlp01)

Odinstaluj to poprzez poprzez pobranie -> Dostępne tylko dla zarejestrowanych użytkowników -> wypakowanie -> uruchomienie pliku sfdrvrem.exe. Następnie usuń ewentualnie zbędne Ci oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.129\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.129\npGoogleUpdate3.dll (Google Inc.)
[2012-12-16 13:01:42 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Documents and Settings\Michał\Pulpit\tdsskiller.exe
[2012-12-16 12:42:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
[2012-12-16 12:07:41 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee
[2012-12-13 19:23:15 | 003,764,278 | ---- | C] (Auralog) -- C:\Documents and Settings\Michał\Pulpit\tmm.exe
@Alternate Data Stream - 153 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:07BF512B
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:587EB586

:Files
C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Michał\Dane aplikacji\ElevatedDiagnostics
C:\Documents and Settings\Michał\Dane aplikacji\EurekaLog

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post16 gru 2012, 22:39

Usuwanie: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników
Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

Skanowałem też Malwarbytes Anti Malware nic nie znalazł
Chomikbox jest odpalany przy starcie specjalnie gdyż i tak go zawsze włączam przy starcie.

Post17 gru 2012, 20:58

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RTHDCPL
SunJavaUpdateSched

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite
Google Update

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

BlueSoleil Hid Service
Freemake Improver
JavaQuickStarterService
MozillaMaintenance
odserv
WMPNetworkSvc

Logi.

Następnie podajesz nowe logi z OTL.

Post18 gru 2012, 15:07

OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników
Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

Post18 gru 2012, 20:07

samel15 pisze:OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników
Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

Nie usunięto wielu wpisów, które odznaczyłeś. Popraw to.

Post18 gru 2012, 20:52

Tych wpisów nie da się usunąć wyskakuje błąd z komunikatem nie znaleziono określonego pliku. Wszystkie które się dało odznaczyłem i usunąłem

Post18 gru 2012, 21:06

samel15 pisze:Tych wpisów nie da się usunąć wyskakuje błąd z komunikatem nie znaleziono określonego pliku. Wszystkie które się dało odznaczyłem i usunąłem

Stąd nie (a się da) -> HKLM\System\CurrentControlSet\Services.

Post19 gru 2012, 21:33

Sprawdziłem wszystko jeszcze raz od początku i wstawiam nowe logi choć wydaje mi się że co się dało to było usunięte tam przy tym HKLM\System\CurrentControlSet\Services to najpierw wyskakuje że nie znaleziono określonego pliku i za raz po tym drugi odmowa dostępu.

Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

Aha tak nawiasem mówiąc to miałem w końcu coś na tym komputerze co mi wydarło hasła do sieci ??? Czy nie?

Post19 gru 2012, 21:51

Aha tak nawiasem mówiąc to miałem w końcu coś na tym komputerze co mi wydarło hasła do sieci ??? Czy nie?

Nie.

Autoruns.

OK. Spróbuj jeszcze usunąć część tych odznaczonych wpisów w trybie awaryjnym, a następnie podaj nowe logi z OTL.

Post20 gru 2012, 14:25

OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników