Skocz do zawartości
arekk

Udany atak phishing - Facebook

Rekomendowane odpowiedzi

Witam.

Zapytano mnie o opinie w sprawie przejęcia konta.... Napiszę co udało mi się ustalić oraz jaki kroki zostały poczynione....

Koleżanka, dostała na messenger prośbę o polubienie zdjęcia, po kliknięciu została przekierowana na "fałszywą" stronę logowania gdzie podała swoje dane do konta na Facebook.

Kiedy zaczęła dostawać powiadomienia o logowaniu z innego kraju, zorientowała się, że ktoś przejął je dane do logowania  zmieniła hasła...

Ale pozostało pytanie czy tylko zostały przejęte chwilowo dane do Facebook czy coś jeszcze...

 

W załączniku logi ze skanowania malwarebytes oraz obowiązkowe logi.

 

Z góry dziękuje za pomoc. 

Raport Malwarebytes.txt

 

 

 

Edytowane przez Miszel03
Kasuję niepoprawne raporty. //Miszel03

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów. 

 

Instrukcje dot. poprawnego wykonania raportów:

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Raporty nie wykazują, by w systemie była aktywna infekcja.

 

Możesz wykonać poboczne działania polegające na doczyszczeniu szczątkowych wpisów po malware i odinstalowanych programach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-290078031-2182304185-614061559-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
HKU\S-1-5-21-290078031-2182304185-614061559-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08092018191829374\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
SearchScopes: HKU\S-1-5-21-290078031-2182304185-614061559-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM-x32\...\Run: [] => [X]
Task: {0F2EB741-331C-4226-AC26-DA208A01D808} - System32\Tasks\{F6F2AB38-77F4-4A82-9020-3A89D073DE19} => C:\Windows\system32\pcalua.exe -a F:\HTCDrivers\HTCDriverInstaller.exe -d F:\HTCDrivers
Task: {5415B4D5-4552-49B0-BA32-C86FBBC6E041} - System32\Tasks\{1E55891B-B67B-3FAD-4842-2944A9A9A645} => C:\Users\Angela\AppData\Roaming\{1E558~1\Sync.exe <==== UWAGA
Task: {5F8004A0-DE79-4BFD-89E1-F764B5ADCF9C} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe
Task: {D95A4504-08A5-4E71-AD9D-61D0793C08ED} - System32\Tasks\{C983BCBA-9876-4938-814C-4638FCFA1FC4} => C:\Windows\system32\pcalua.exe -a "C:\Users\Angela\Downloads\HP Deskjet Ink Advantage 3545 e-All-in-One - sterownik.exe" -d C:\Users\Angela\Downloads
Task: {F5AE2441-70F1-40E5-B459-EB8B45021950} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\{1E55891B-B67B-3FAD-4842-2944A9A9A645}.job => C:\Users\Angela\AppData\Roaming\{1E558~1\Sync.exe <==== UWAGA
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Brak pliku
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Angela\AppData\Local\Mozilla
C:\Users\Angela\AppData\LocalLow\Mozilla
C:\Users\Angela\AppData\Roaming\Mozilla
C:\Users\Angela\Desktop\Programy\Notepad++.lnk
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikato wy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...