Udany atak phishing - Facebook

[arekk]

Witam.

Zapytano mnie o opinie w sprawie przejęcia konta.... Napiszę co udało mi się ustalić oraz jaki kroki zostały poczynione....

Koleżanka, dostała na messenger prośbę o polubienie zdjęcia, po kliknięciu została przekierowana na "fałszywą" stronę logowania gdzie podała swoje dane do konta na Facebook.

Kiedy zaczęła dostawać powiadomienia o logowaniu z innego kraju, zorientowała się, że ktoś przejął je dane do logowania  zmieniła hasła...

Ale pozostało pytanie czy tylko zostały przejęte chwilowo dane do Facebook czy coś jeszcze...

 

W załączniku logi ze skanowania malwarebytes oraz obowiązkowe logi.

 

Z góry dziękuje za pomoc. 

Raport Malwarebytes.txt

 

 

 

Edytowane 10 Sierpnia 2018 przez Miszel03
Kasuję niepoprawne raporty. //Miszel03

[Miszel03]

Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów. 

 

Instrukcje dot. poprawnego wykonania raportów:

 

[arekk]

W załączniku jeszcze raz logi 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Raporty nie wykazują, by w systemie była aktywna infekcja.

 

Możesz wykonać poboczne działania polegające na doczyszczeniu szczątkowych wpisów po malware i odinstalowanych programach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-290078031-2182304185-614061559-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
HKU\S-1-5-21-290078031-2182304185-614061559-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08092018191829374\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
SearchScopes: HKU\S-1-5-21-290078031-2182304185-614061559-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM-x32\...\Run: [] => [X]
Task: {0F2EB741-331C-4226-AC26-DA208A01D808} - System32\Tasks\{F6F2AB38-77F4-4A82-9020-3A89D073DE19} => C:\Windows\system32\pcalua.exe -a F:\HTCDrivers\HTCDriverInstaller.exe -d F:\HTCDrivers
Task: {5415B4D5-4552-49B0-BA32-C86FBBC6E041} - System32\Tasks\{1E55891B-B67B-3FAD-4842-2944A9A9A645} => C:\Users\Angela\AppData\Roaming\{1E558~1\Sync.exe <==== UWAGA
Task: {5F8004A0-DE79-4BFD-89E1-F764B5ADCF9C} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe
Task: {D95A4504-08A5-4E71-AD9D-61D0793C08ED} - System32\Tasks\{C983BCBA-9876-4938-814C-4638FCFA1FC4} => C:\Windows\system32\pcalua.exe -a "C:\Users\Angela\Downloads\HP Deskjet Ink Advantage 3545 e-All-in-One - sterownik.exe" -d C:\Users\Angela\Downloads
Task: {F5AE2441-70F1-40E5-B459-EB8B45021950} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\{1E55891B-B67B-3FAD-4842-2944A9A9A645}.job => C:\Users\Angela\AppData\Roaming\{1E558~1\Sync.exe <==== UWAGA
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Brak pliku
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Angela\AppData\Local\Mozilla
C:\Users\Angela\AppData\LocalLow\Mozilla
C:\Users\Angela\AppData\Roaming\Mozilla
C:\Users\Angela\Desktop\Programy\Notepad++.lnk
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikato wy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.