Zagrożenie z maila?

[mikmar]

 

Dobry wieczór.

 

Dzisiaj zrobiłem coś, co zwykło mi się nie zdarzać.

Z rozpędu przypadkowo kliknąłem w obrazek we wiadomości e-mail (na Gmailu) pochodzącej na pierwszy rzut oka z TAURONU.

Przeniosło mnie na ich stronę logowania. Ponieważ nie planowałem się logować, zamknąłem ją. Wtedy dostrzegłem podejrzany wygląd nagłówka klikniętej wiadomości: TAURON tauron(at)tauron.pl przez freshmail.mx, co wskazuje, że wiadomość nie została wysłana przez Taurona, ale z jakiejś meksykańskiej(?) domeny. Po najechaniu na obrazek wyświetla mi się link o składni (dodatkowa spacja intencjonalna): ht tps://link.freshmail.mx/część złożona z losowej kombinacji liter, cyfr i ukośników . Poszukując w wyszukiwarce Google'a informacji na ten temat nie znalazłem w sumie niczego konkretnego. Ktoś na Wykopie też miał podobne wątpliwości dotyczące wiadomości z giełdy Bitbay, ale podobno w tamtym wypadku wszystko było OK. Ja natomiast na infolinii Taurona dowiedziałem się, że oni z tym podejrzanym e-mailem nie maja nic wspólnego. Zasugerowali prewencyjna zmianę hasła logowaniu do serwisu i wysłanie wiadomości z opisaną sytuacją.

 

Ponadto Google wypluł trochę różnych wyników, zawierających odnośniki z tego typu adresami. Witryny je zawierające nie wyglądają na podejrzane, np. strona miasta Miechów.: https://www.miechow.eu/  Link tego typu znalazłem np. pod koniec wiadomości z tej podstrony:

https://www.miechow.eu/miasto-i-gmina/komunikaty-i-ogloszenia/wazny-komunikat-o-zamknieciu-bok/  Przyznam, że jestem tym na tyle skołowany, że zacząłem się nawet zastanawiać, czy te dziwne linki tam faktycznie są, czy wyświetlają się tylko mnie (na telefonie z Androidem też je widzę).

Nie zauważyłem jakiejś zmiany w pracy komputera, wszystko działa tak, jak wcześniej. Ogólnie bez zastrzeżeń. Programy uruchamiają się  w sumie praktycznie od razu. Internet też działa bez problemu. Skanowanie F-Secure SAFE niczego nie wykryło. Ale pewne obawy w tej kwestii mam.

Nie wiem, co mam o tym myśleć...

 

Dla pewności załączam logi z FRST (przy okazji proszę o sprawdzenie także innych kwestii, bo podejrzewam, że na pewno coś tam się znajdzie)

Mam Windows 10 HOME, ochronę F-Secure SAFE, korzystam z przeglądarki Firefox.

 

Proszę o pomoc i pozdrawiam serdecznie

Shortcut.txt FRST.txt Addition.txt

[jessica]

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\Admin\Desktop\Skróty\F-Secure SAFE.lnk
C:\Users\Admin\Desktop\Skróty\Google Earth.lnk
Task: {945FEE73-9E3D-4995-8256-BFA5246D1C16} - System32\Tasks\{E3036699-599A-46EE-A95E-E9FFDAFFE601} => C:\Windows\system32\pcalua.exe -a E:\lge.exe -d E:\
Task: {A025A9FE-FA11-4374-B19C-2CBDC3A94D88} - System32\Tasks\{5E341DD0-7A34-4ACC-9AED-4F0BA11804C0} => C:\Windows\system32\pcalua.exe -a C:\Users\Admin\Downloads\lide60vst6411111a_64en\SetupSG.exe -d C:\Users\Admin\Downloads\lide60vst6411111a_64en
Task: {E99C0D4F-EED2-4CD1-8EF5-637ED0375F14} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
FirewallRules: [{D6FFBC73-E167-4AA1-BA4D-B28FBD360598}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [{43A6517A-62BC-4708-9616-C89380AA48F9}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\Zoom.exe => Brak pliku
FirewallRules: [TCP Query User{818ADDC0-C32F-46F9-AAD9-D3CDADD02515}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe => Brak pliku
FirewallRules: [UDP Query User{E192D11D-B00B-4FF9-87F6-8D5D7AF7A024}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe => Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Cytat

rekord MX lub rekord wymiany poczty (ang. mail exchange record) mapuje nazwę domeny DNS na nazwę serwera poczty oraz jego priorytet, który określa kolejność wraz ze wzrostem wartości.

Być może w tym przypadku chodzi o ten powyższy "mx".

Nie znam się na tym, więc to tylko moje rozważanie.

 

jessi

[mikmar]

Dziękuję za szybką odpowiedź. :)

Zalecenia wykonałem.

Poniżej log kontrolny.

Fixlog.txt