Skocz do zawartości

Podejrzenie włamania - aktywności na koncie Gmail


Rekomendowane odpowiedzi

Dzień dobry,

 

jakiś czas temu dostałem komunikat o podejrzanej aktywności na koncie gmail. Od tamtego czasu zacząłem sprawdzać aktywności na moim koncie i co jakiś czas widzę informację, że ktoś loguje się z urządzenia, którego nie posiadam (na koncie loguję się tylko za pomocą komputera z przeglądarką FF), nie posiada go również żadna znana mi osoba.

Co dziwne, ta informacja nie pojawia, kiedy sprawdzam aktywności na koncie w innym miejscu:

2zyehvn.jpg

vy3ajq.jpg

Dodam, że używałem opcji wylogowania z innych sesji oraz zmieniałem hasło - nie pomogło.

Mam nadzieję, że mam do czynienia z błędem, mimo to zachodzi podejrzenie włamania. Dlatego uprzejmie proszę o przejrzenie logów pod kątem infekcji, obecności keyloggerów i innych rzeczy, które wskazywałyby na to, że ktoś włamał się na mój komputer i np. ma dostęp do zapisanych w przeglądarce haseł.

 

Nie jestem pewien jakie logi są potrzebne przy takiej diagnostyce, dlatego standardowo: FRST I GMER.

 

FRST:

http://wklej.to/HqH0b

http://wklej.to/NVIUZ

http://wklej.to/CNvU0

 

GMER:

http://wklej.to/5U7V0

 

Dziękuję i pozdrawiam,

B

Odnośnik do komentarza
  • 3 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/?do=findComment&comment=168911

Nie ma kto odpowiadać.

 

Ja w logach nie widzę niczego podejrzanego, oprócz tych dziwnych strumieni ADS:

AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm
AlternateDataStreams: C:\Users\Bartosz\Cookies:b02gglCsVz7SwBzN7Vo3XfEAmWNIP
AlternateDataStreams: C:\Users\Bartosz\Ustawienia lokalne:qRG1KPm9M2YkiMxS9wkt
AlternateDataStreams: C:\Users\Bartosz\AppData\Local:qRG1KPm9M2YkiMxS9wkt
AlternateDataStreams: C:\Users\Bartosz\AppData\Local\Dane aplikacji:qRG1KPm9M2YkiMxS9wkt
AlternateDataStreams: C:\Users\Bartosz\AppData\Local\Temporary Internet Files:oqfts0epkstBnkxcQKzWR44jRoKSX

Nie daję ich do usuwania, bo po prostu nie znam ich, nie wiem, czy są "dobre", czy "złe".

 

Kosmetyka:

Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-1061675351-2835192545-3130966363-1000\...\Run: [AdobeBridge] => [X]
HKLM-x32\...\Run: [] => [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

 

jessi
 

Odnośnik do komentarza
  • 5 tygodni później...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...