Skocz do zawartości

Podejrzenie keyloggera na dwóch komputerach


Rekomendowane odpowiedzi

1,5 roku temu ktoś zmienił mi hasło do maila i steama, myślałem, że z maila nie wylogowałem się w szkole.

 

Zrobiłem format, założyłem nowego maila i pozmieniałem hasła na dużo silniejsze.

 

Wszystko to miało miejsce na komputerze stacjonarnym.

 

Kilka dni temu ktoś zmienił hasła do dwóch kont na fb - mojego i domownika. O tyle dziwne, że do mojego konta podpięty jest mail z weryfikacją dwuetapową, która nie obejmuje tylko mojego laptopa. A na obu mailach nie znalazłem informacji, żeby ktoś te hasła zmienił, widocznie ktoś musiał usunąć te wiadomości.

 

Zaczynam obawiać się o bezpieczeństwo, przede wszystkim mojego konta bankowego.

 

Dostęp do stacjonarnego komputera będę miał w piątek, tutaj zostawiam logi z laptopa.

 

Niestety podczas skanowania GMERem wywala Windowsa 10, kod z kodem błędu driver irql not less or equal.

 

Błagam, poradźcie. Powoli siada mi to na łeb, podejrzewam nawet, że mogę jakiś syf mieć na telefonie, którego wpinałem w ten 1 komputer.

 

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach brak oznak infekcji, co oznacza, że system na laptopie jest czysty. Zresztą chroni Cię też porządny antywirus ESET.

 

Na wszelki wypadek jednak przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

1,5 roku temu ktoś zmienił mi hasło do maila i steama, myślałem, że z maila nie wylogowałem się w szkole.

 

W szkołach systemy powinny być skonfigurowane protekcyjnie, tak, aby po zamknięciu przeglądarki bądź komputera, a nawet upływie danego czasu wylogowywanie nastąpiło automatycznie. Jeśli tak nie jest to...szkoda gadać.

 

Kilka dni temu ktoś zmienił hasła do dwóch kont na fb - mojego i domownika. O tyle dziwne, że do mojego konta podpięty jest mail z weryfikacją dwuetapową, która nie obejmuje tylko mojego laptopa. A na obu mailach nie znalazłem informacji, żeby ktoś te hasła zmienił, widocznie ktoś musiał usunąć te wiadomości.

 

Proszę wykonać poniższe kroki zabezpieczające na obu kontach Facebook. 

 

1. Przejdź do ustawień dot. aplikacji mających dostęp do Twojego konta, a następnie usuń wszystkie, te których nie znasz lub nie korzystasz. Zaznaczę jeszcze, że nawet jeśli korzystasz to zweryfikuj ich popularność. 

 

2. Opuść wszystkie nieznane Ci grupy, do których należysz i przy opuszczaniu zaznacz opcję Zablokuj użytkownikom dodanie mnie do tej grupy. 

 

3. Jeszcze raz zmień hasła do portalu na trudne do złamania. Uwzględnij małe, wielkie litery, cyfry, a nawet znaki specjalnie.

  • Przykładowo, jeśli lubisz lody to hasło możesz ustawić: Mich@lLubiL()dy.
  • Schemat jest prosty ze znaków specjalnych tworzysz litery, a każdy wyraz jest z wielkie litery na początku.
4. Aktywuj etap weryfikacji dwuetapowej, procedurę znasz, bo na jednym koncie już masz. Zamiast tego możesz również obczaić opcję Zatwierdzanie logowania. 

 

5. Zaloguj się do konta Facebook i kompleksowo wyloguj się ze wszystkich urządzeń, na których sesja jest aktywna.

  • Na Stronie głównej obok opcji Szybka pomoc kliknij strzałkę w dół, a następnie kliknij zakładkę Ustawienia.
  • W Ustawieniach wybierz zakładkę Bezpieczeństwo, w której przejdź do sekcji Miejsca logowania, z której usuń wszystkie sesje logowania. Ten proces wyloguję Cię ze wszystkich urządzeń globalnie. 
Jeśli chodzi zaś o email to wyloguj się ze wszystkich aktywnych sesji (podobnie jak na Facebooku), nie wiem czy masz taką opcję, ale ja na GMailu taką mam. Zmień również hasła. Jeśli nie będzie to dla Ciebie uciążliwe to włącz również weryfikację dwuetapową jeśli Twoja poczta takową oferuję.

 

Zaczynam obawiać się o bezpieczeństwo, przede wszystkim mojego konta bankowego.

 

Jeśli masz ubezpieczone konto w banku (a raczej masz, bo banki teraz nawet tego powoli zaczynają wymagać) to dramatu nie ma, bo zgłosisz popełnienie przestępstwa na policji* i bank zwróci Ci pieniądze. 

 

* - moja mam często pada kradzieżą (skimery w bankomatach) i za każdym razem, aby odzyskać pieniądze musi zgłosić sprawę na policji. Taki warunek stawia większość banków. Włącz w logowaniu funkcję tzw. maskowanego hasła i SMSKodu przy przelewie jeśli Twój bank nie ma tego w standardach. A jeśli w ogóle nie ma to zastanowiłbym się nad zmianą banku.

Odnośnik do komentarza

Akurat ESETa zainstalowałem kilka dni temu, nic nie znajdował. Wcześniej miałem półroczną wersje Bitdefendera i bezpłatnego avasta.

 

Wykonałem skan wskazanym programem - nic nie wykrył, w razie czego załączam.

 

W takim razie mam dwa pytania:

 

Możliwe jest, że taki keylogger siedzi gdzieś głębiej?

To normalne, że GMER wywala mi tego Windowsa? (kwndaaoc.sys)

 

Gdy będę miał dostęp do stacjonarnego PC, niezwołcznie dostarczę logi.

HitmanPro_20170422_1830.txt

Odnośnik do komentarza

Do kasacji tylko ciasteczka. Detekcja FRST to fałszywy alarm.

 

Czekam na raporty z drugiego komputera, a co do GMER'a to czasem zdarzają się z nim kolizje. Jeszcze jedno pytanie: czy zostawiałeś urządzenie bez opieki z obcą osobą, nawet kolegą (musiał fizycznie mieć dostęp do urządzenia)? Jest możliwość, że ktoś zainstalował oprogramowanie szpiegowskie, kupione w specjalistycznym sklepie. Tego typu oprogramowania bez bardzo szerokiego dostępu nie wykryje i antywirusy też mogą mieć z tym problem. Co do pytania o KeyLoggera to tak, może być w MBR lub zainstalowany sprzętowo (np. w klawiaturze dołączony) ale to bardzo mało prawdopodobne.

Odnośnik do komentarza

Możliwość, że ktoś z otoczenia grzebał przy komputerze - wątpliwe. Do stacjonarnego jedynie dostęp miał człowiek, który instalował system, sterowniki i odpowiednie programy, to było ze cztery lata temu. Co do laptopa - nikt, ufam znajomym z internatu.

 

Można jakoś zweryfikować, czy w MBR siedzi jakieś dziadostwo?

Odnośnik do komentarza

Próba przeskanowania MBR za pomocą tego programu kończy się podobnie jak to się miało w przypadku GMER'a - wywala Windowsa z tym samym kodem błędu, czepia się o aswMBR.sys.

 

Spróbuję poszukać jakiegoś rozwiązania i dostarczyć ten raport

 

Edit 1: Spróbowałem ponownie wykonać skan za pomocą GMER, pełny skan nadal nie jest możliwy (BSOD), ale tym razem preskan wykazuje jakieś dziadostwo. Log z tego wstępnego skanowania załączam w załączniku

gmer_preskan.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...