Rozesłanie podejrzanych maili - poczta onet

[Ignac]

Witam, problem jak w temacie - laptop po zalogowaniu się do poczty onet.pl rozesłał do wszystkich osób z książki adresowej podejrzane maile o wystawionej fakturze, wraz z adresem do strony gdzie można ją pobrać. W skrzynce nadawczej nie ma śladu po rozesłaniu tych maili.

 

Około miesiąca temu poczta onetu użytkowana za pomocą przeglądarki Firefox przestała działać - po wpisaniu prawidłowego hasła oraz loginu po około sekundzie wczytywania, pokazywała się pusta, biała strona bez żadnej informacji o błędzie, braku dostępu do strony itp. Z laptopem połączyłem się zdalnie (Team Viewer) i próbowałem sprawdzić co się stało. Identyczna sytuacja pojawiała się na przeglądarce Edge oraz świeżo zainstalowanej Operze. W tym samym czasie mogłem zalogować się na pocztę ze swojego laptopa, nie była więc to wina po stronie dostawcy poczty. Tymczasowym rozwiązaniem było zainstalowanie i skonfigurowanie poczty w Outlooku. Dodatkowo zainstalowałem i zeskanowałem laptopa programem Spybot - S&D, ale niestety nie wiem jaki był wynik bo nie miałem możliwości poczekania na niego, a sam użytkownik nie pamięta czy coś się znalazło.

Po około dwóch tygodniach poczta w przeglądarce zaczęła działać normalnie, niestety w zeszłym tygodniu - 7 marca po zalogowaniu się do poczty pojawił się tylko chaotyczny ciąg znaków i w tym momencie zostały też wysłane maile z informacją o fakturze. Od tamtego czasu użytkownik nie logował się więcej z tego komputera do poczty.

 

Laptop jest użytkowany w domu, praktycznie codziennie jest też podłączany do niego pendrive w celu przeniesienia dokumentów do laptopa użytkowanego w pracy. W związku z tym obawiam się, że złośliwe oprogramowanie mogło też przenieść się na drugiego laptopa oraz pendrive. W załączniku przestawiam logi zainfekowanego laptopa + również tego użytkowanego w pracy.

 

 

FRST.txt

Addition.txt

Shortcut.txt

FRST (laptop w pracy).txt

Addition (laptop w pracy).txt

Shortcut (laptop w pracy).txt

[jessica]

Laptop w pracy - nic do usuwania.

 

---------------------------------------

Laptop domowy:

1) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

2019-02-12 18:26 - 2019-02-12 18:26 - 000435200 ___RH () [Brak podpisu cyfrowego] C:\ProgramData\65C091FB\BCA472FE.dll
2019-02-12 18:26 - 2019-02-12 18:26 - 000544828 ___RH (EMSI) [Brak podpisu cyfrowego] C:\ProgramData\65C091FB\B275070B.dll
RemoveDirectory: C:\ProgramData\65C091FB
R2 65C091FB; C:\ProgramData\65C091FB\BCA472FE.dll [435200 2019-02-12] () [Brak podpisu cyfrowego]
2018-11-15 00:24 - 2018-11-15 00:24 - 000302592 _____ () C:\Users\Dom\AppData\Roaming\UIEhyYIs.dll
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Task: {3245A590-D7FF-45AE-8B61-DA26AEC35F6B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
FirewallRules: [{4E56360F-3986-47CF-8FDD-2AD86321DBB2}] => (Allow) C:\Users\Dom\AppData\Local\Temp\7zS29B4\EasyInst64.exe Brak pliku
FirewallRules: [{27EB4924-451B-4F4F-8511-D966B7A28327}] => (Allow) C:\Users\Dom\AppData\Local\Temp\7zS29B4\EasyInst64.exe Brak pliku
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-290778101-360912274-1806153026-1001\...\Run: [] => [X]
ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
ProxyServer: [.DEFAULT] => 127.0.0.1:8080
ProxyEnable: [S-1-5-19] => Proxy [funkcja włączona]
ProxyServer: [S-1-5-19] => 127.0.0.1:8080
ProxyEnable: [S-1-5-20] => Proxy [funkcja włączona]
ProxyServer: [S-1-5-20] => 127.0.0.1:8080
ProxyEnable: [S-1-5-21-290778101-360912274-1806153026-1001] => Proxy [funkcja włączona]
ProxyServer: [S-1-5-21-290778101-360912274-1806153026-1001] => 127.0.0.1:8080
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\SIOwrzesień 2011\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\SIO2\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\sio wrzesień 2013\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\sio wrzesień 2010\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\sio marzec 2013\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\sio marzec 2011\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\SIO 30 września2011\System Informacji Oświatowej.lnk
C:\Users\Dom\Desktop\mama\dokumenty szkolne do 2016\Pulpit\SIO\30 wrzesień\System Informacji Oświatowej.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

2) Przeskanuj ten laptop przy pomocy MBAM https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/

 

 

 

3) Spybot nie nadaje się do wykrywania nowocześniejszych infekcji.

Odinstaluj go.

 

jessi

[Ignac]

Dziękuję serdecznie za szybką odpowiedź :) W załączniku logi z wykonanego czyszczenia.

 

Tak z czystej ciekawości czy to była poważna infekcja? I jak najlepiej się przed podobnymi sytuacjami zabezpieczyć?

Fixlog.txt

MBAM.txt

[jessica]

Cytat

czy to była poważna infekcja?

Nie, to nie było zbyt groźne.

 

Cytat

I jak najlepiej się przed podobnymi sytuacjami zabezpieczyć?

Trzeba po prostu bardzo uważać, bo żadna ochrona nie jest w stanie ochronić przed wszystkimi niebezpieczeństwami.

 

jessi