Przejęte konto Steam, wirus, Key Logger?

[Adrian92]

Witam. Dzisiaj doznałem niemiłej niespodzianki. Podczas grania w pewną grę, nagle mnie wyrzuciło do pulpitu. Steam mnie poprosił o podanie hasła, co było dla mnie bardzo dziwne. Wpisałem hasło i steam mnie poinformował, że hasło jest błędne i uwierzytelnienie nie powiodło się. To zaniepokojony od razu wszedłem na swoją skrzynkę pocztową. Tu udało mi się zalogować ale.. niestety, zostały ślady po włamaniu. Hasło i adres email do konta na steam zostało zmienione. Domniemany haker nie do końca zatarł ślady bo otrzymane emaile ze steam gdy próbował się zalogować z nowej lokalizacji, usunął ale nie opróżnił kosza. Jest wyraźnie email i że dany osobnik z danego adresu IP poprosił o zmianę adresu email do konta. Ku mojemu zdziwieniu, nie zmienił hasła do emaila. Dziwne. Ale nie to jest najważniejsze.

 

Obecnie staram się odzyskać stracone konto, ale chciałbym wiedzieć czy na moim komputerze są jakieś wirusy, key loggery i tego typu programy, bo co mi z tego jak odzyskam konto jak zaraz je znowu stracę albo stracę konta na innych portalach.

 

W czasie rzeczywistym non stop mam włączona zaporę Comodo. Mam też ESET NOD32 a także program Key Scrambler.

Dodam, że zaraz po całym zajściu robiłem skan Adw Cleaner, Malwarebytes, ESET32 także TDSS KILLER.

W żadnym z tych programów nic nie wykryłem.. Wydaje mi się, że w tej kwestii jest to mało ważne, ale robiłem tez zupełnie amatorsko skan ComboFix, ale to przynajmniej kilka dni temu. Nie za bardzo wiedziałem co to za program, usłyszałem, ze dobry i się skusiłem Oczywiście teraz już wiem, że to program dla zaawansowanych.

 

Podsyłam logi.

FRST.txt

Shortcut.txt

Addition.txt

GMER.txt

[Miszel03]

Wydaje mi się, że w tej kwestii jest to mało ważne, ale robiłem tez zupełnie amatorsko skan ComboFix, ale to przynajmniej kilka dni temu. Nie za bardzo wiedziałem co to za program, usłyszałem, ze dobry i się skusiłem Oczywiście teraz już wiem, że to program dla zaawansowanych.

 

Wszystkie informacje dot. podejmowanym działań są ważne. Na temat używania ComboFix poczytaj: KLIK.

 

---

 

Raporty nie wykazują oznak infekcji, a skan tyloma rekomendowanymi programami tylko ten wynik potwierdza. Wydaję mi się, że padłeś ofiarą sławnego, klasycznego ataku na użytkowników platformy Steam - KLIK.

Żyjemy w takich czasach, że sam login oraz dobre hasło już nie wystarczają. 

 

Z danym adresem IP możesz śmiało zgłosić się na Policje, bo doszło do popełnienia przestępstwa (lub wykroczenia, - zależy jakiej wartości było konto).

Sugeruję zmianę haseł we wszystkich serwisach logowania powiązanych z platformą Steam oraz uruchomienie weryfikacji dwuetapowej (+ oczywiście jeśli jest to możliwe globalne wylogowanie się ze wszystkich urządzeń, Google np. posiada taką możliwość). 

 

W spoilerze zadaję działania poboczne, bez związku z problemem. Zwykła kosmetyka systemowa. 

 

 

Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint: 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1195799040-1513517072-2440341013-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
U3 a8hstkwb; C:\Windows\system32\Drivers\a8hstkwb.sys [0 ] (Advanced Micro Devices) 
S3 catchme; \??\C:\Users\Adrian\AppData\Local\Temp\catchme.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
U3 awrdypog; \??\C:\Users\Adrian\AppData\Local\Temp\awrdypog.sys [X]
C:\Users\Administrator\Desktop\SopCast.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AVG PC TuneUp.lnk
C:\Users\Adrian\Desktop\GRY\Total War ROME II Emperor Edition.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AVG PC TuneUp.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Nie musisz dostarczać nowych raportów, ani loga wynikowego (pliku Fixlog.txt).

Od tej strony to tyle.

 

[Adrian92]

Tak, tak już na forum czytałem na temat tego programu. Coś mi zżerało pamięć a w procesach nic takiego nie było, na dodatek filmy na yopu tube sie długo ładowały, czasami nawet 30-60 sekund trzeba było czekać aż zacznie się filmik odtwarzać. Wydawał mi się to błahy powód by zakładać tutaj temat z tego oto powodu, więc poszedłem na własną rękę i użyłem ComboFix'a, nawet nie wiem czy coś zostało usunięte, jakby pamięci zżerało mniej ale problem na you tube dalej był.

Nie wiem czy nie było to winą karty dźwiękowej bądź sterowników, jak zamykam system też muszę chwilę czekać i pojawia się komunikat na zasadzie, ze trzeba czekać na dźwięk wylogowywania się czy coś takiego. Combo Fix'a na własną rękę już używał nie będę, przydałoby się go jeszcze usunąć z komputera.

 

Teraz wchodzę na you tube i już wszystko gra, zrobiłem to jak napisałeś więc może to efekt właśnie tego

Skoro nie trzeba to loga już z tej naprawy nie wstawiam, ale na szybko przejrzałem to wszystko pomyślnie usunięto lub przeniesiono.

 

Wracając jeszcze do tematu. Konto STEAM dzisiaj odzyskałem, samo konto nie jest wiele warte bo jest tam 6 gier+ kilka dodatków. Na policję szedł nie bedę ponieważ sądzę, ze nic nie zrobią. Nie jestem ekspertem ale przejrzałem na szybko ten adres IP w google, stoi na jakiejś domenie która ma adresy IP rozrzucone po całym świecie, w tym dwa z Polski.

 

Zresztą sam sobie możesz zobaczyć : 188.72.108.135 

 

A nazwa domeny to jakaś : purevpn.com

 

Tak więc gość pewnie się dobrze zabezpieczył, jedyne co mnie dziwi, że nie zmienił mi hasła do poczty i nawet zapomniał opróżnić kosza.

 

No nic, dzięki za pomoc i mam nadzieje, ze sytuacja się nie powtórzy ani ze steam ani z innymi kontami Odnośnie steam już sobie zapisałem system guard na telefon, nie na maila więc już tak łatwo miał nie będzie.

 

Dzięki raz jeszcze i pozdrawiam.

[Miszel03]

Więcej informacji o tym adresie: KLIK. Tak, atak był pewnie wykonany za pośrednictwem VPN, więc możliwość wykrycia jest minimalna. 

 

Teraz pozostało Ci wejść na serwisy typu allegro, olx i poszukać czy Twoje konto nie jest sprzedawane w ofercie za "złotówkę". To często widziany sposób przestępców. 

 

Jeśli takowe zauważysz najszybciej jak to możliwe zgłoś sprzedawce administracji. 

[Adrian92]

Tak własnie myślałem, jak już zobaczyłem VPN.

Jestem tylko ciekawy w jaki sposób tego dokonał, keylogger raczej odpada. Zawsze logowałem sie do steama automatycznie wraz ze startem programu, nie wpisywałem hasła za pomocą klawiatury. W żadne linki nie klikałem. Dziwna sprawa, no ale czas pokaże czy na komputerze będą się działy jakieś złe rzeczy czy nie.

Co do allegro, jak już odzyskałem konto, nie ma już do Niego dostępu to nawet jak ktoś od Niego to konto kupi na aukcji to nie dostanie się do Niego. Więc to już będzie problem kupującego.

 

Pozdrawiam.

[Miszel03]

Mimo wszystko spróbuj poszukać i wytępić sprzedawce, czyli potencjalnego włamywacza. Nie wszystkim udaje się odzyskać konto po ataku.

Sposoby są różne, losowe włamy lub sprecyzowane strony phishing, czasem sami nie wiemy gdzie mogło dojść do wyłudzenia danych. 

 

Zamykam.