Ciągła kradzież kont.

[Kryzix11]

Witam, 
z internetu korzystam od małego, ale pierwszy raz spotkałem się z taką sytuacją, poniżej opiszę dokładnie jaką.
Zaczynając ten rok oberwałem atakiem hakerskim pierw na konto Google, udało mi się szczęśliwie odzyskać, później to już leciało jedno za drugim Facebook, konta Gmail, instagram, netflix i wszystkie inne platformy, więc zrobiłem czystego formata PC po czym pozmieniałem hasła, rozłożyłem konta na parę innych e-maili. Zabezpieczyłem wszystkie maile i konta albo poprzez podanie nr telefonu albo kody zapasowe, albo google authenticator niektóre konta to nawet mają po parę zabezpieczeń naraz włączonych. Po paru dniach znowu, leciało to po kolei tylko teraz tylko Instagram, steam, facebook, a więc stwierdziłem że to będzie coś z mailem na którym mam te konta, napisałem do google to odpisali że nie było żadnego włamania ani naruszenia, napisałem więc do steam jak i również do fb, od nich też dostałem taką samą wiadomość, czyli wychodziło by na to że to coś na kompie mi nadal siedzi, ale przyszło mi do głowy by zrobić format telefonu w razie "W" , no i kolejny format kompa, zakupiłem antywirusa "NORTON" jak i również "avast" tak aby pierw jednym później drugim sprawdzić kompa i telefon, znowu zmieniłem hasła, loginy, maile , zabezpieczenia i dziś patrzę na maila a tam znowu że ktoś próbował się zalogować na twoje konto, po chwili ktoś próbował zresetować hasło, zaraz po tym dostaje powiadomienie z instagrama ze ktoś polubił moją relację której nie wstawiałem (jakaś o Elonie musku). Nie mam pojęcia co robić formatowałem już wszystko co ma styczność z moimi kontami, nawet z dostawcą internetu gadałem i zmienili mi IP jak i również sprawdzili sieć czy nie ma czegoś wadliwego.
Na koniec dodam, że nie, nie pobierałem niczego "piraconego" wszystkie gry kupuję jak i aplikacje (prócz winrara ale to raczej jak każdy). Screen dosłownie z przed chwili 
 

[Anawa]

Cześć.

 

Po sformatowaniu komputera nie instalujesz jakichś podejrzanych aplikacji... ? Po włamach na konta utworzyłeś nowe konta i jest ten sam problem, czy dalej korzystasz ze starych kont... ?

[Bromidum]

1) Wykonaj profilaktyczne skanowanie RogueKiller Anti Malware →  https://www.adlice.com/roguekiller/#alt_download

Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).    

 

2) Emsisoft Emergency KIT →  https://www.emsisoft.com/en/home/emergencykit/

Przed rozpoczęciem skanowania wykonaj aktualizację sygnatur, następnie wybierz „malware skan”. Upewnij się, że wykrywanie potencjalnie niechcianych programów (PNP) jest włączone. Raporty z pracy skanera znajdują się w lokacji C:\EEK\Reports.
Przenośny skaner Emsisoftu pozostaw do okresowych skanowań swojego urządzenia. 

 

3) Załącz logi FRST, które wygenerujesz w programie opcją „skanuj”. Powstałe pliki tekstowe "frst.txt" oraz "addition.txt" zamieść tutaj na forum.

 

PS: Wysłałem do Ciebie prywatną wiadomość. Odezwij się.  

Edytowane 26 marca 2023 przez Bromidum

[Kryzix11]

@Anawa
Jedyne aplikacje jakie zainstalowałem to : 
Steam, Google chrome, Avast, Logitech G HUB oraz wallpaper Engine.
Po włamaniach na konta utworzyłem nowe E-maile na które przerzuciłem te ważniejsze rzeczy bo myślałem, że po prostu jest to wina maila, oraz wszędzie zmieniłem hasła i nigdzie ich nie zapisywałem. 
Ze starego nadal korzystam, a dokładnie z jednego maila którego mam już paręnaście lat, ale przerzuciłem z niego wszystkie konta i aplikacje na nowe konta E-mail, a zaraz po tygodniu juz ktoś sobie korzystał z mojego konta steam które miałem na totalnie oddzielnym koncie E-mail, bez żadnego powiadomienia ani nic.

[Kryzix11]

@Bromidum FRST.txtEmsiSoft.txtAddition.txtrogueKiller.txt

[Bromidum]

W systemie jest folder  C:\Windows.old, co oznacza że formatowanie nie było prawidłowe.

Zainstalowałeś z pendrive system Windows 10 wybierając "nie zachowuj plików"? 

Aby usnąć folder Windows.old uruchom Oczyszczanie dysku i wybierz oczyść pliki systemowe, zaznaczając poprzednie instalacje systemu Windows.

Avasta odinstaluj z poziomu Panelu Sterowania i skorzystaj z dedykowanego narzędzia do usuwania pozostałości. 

 

Poradnik do Chrome → https://soo.bearblog.dev/chrome/

Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) 

 

W FRST wykonamy kosmetykę. Oznaczać to może, że stosujesz słabe, powtarzalne hasła lub haker przejął dostęp do Twojej skrzynki i odzyskuje z niej konta. Sprawdź czy nie masz włączonego przekazywania maili dalej oraz nieznanej aktywnej sesji. Włącz weryfikację dwuetapową. 
Zainteresuj się tematem menadżera haseł, np. BitWarden.

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2471227721-3579907255-1293996625-1001\...\Run: [MicrosoftEdgeAutoLaunch_F40FB92846BF6F1CFF09F18E9C252A8C] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4055952 2023-03-24] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-2471227721-3579907255-1293996625-1001\...\Run: [Overwolf] => D:\overwolf\OverwolfLauncher.exe [1784664 2023-03-14] (Overwolf Ltd -> Overwolf Ltd.)
Task: {26449D09-750B-4A78-9364-964363EA1E2C} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2638856 2023-03-14] (Overwolf Ltd -> Overwolf LTD)
Task: {317CEEE3-A20C-40AC-9BBC-13B80A4697A1} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2295192 2023-03-23] (Avast Software s.r.o. -> Avast Software)
Task: {D60C46E2-65F3-4BC1-91D9-5AE9B34386CC} - System32\Tasks\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe [3342376 2023-01-27] (Nvidia Corporation -> NVIDIA Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{d43e6237-8d38-46a4-a23d-a2360f1acacf}: [DhcpNameServer] 192.168.1.1
C:\Users\kryzi\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmeakgjggjdlcpncigglobpjbkabhmjl
C:\Users\kryzi\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
S1 epp; \??\C:\EEK\bin64\epp.sys [X]
R4 BHDrvx64; C:\Program Files\Norton Security\NortonData\22.23.1.21\Definitions\BASHDefs\20230322.001\BHDrvx64.sys [1696736 2023-03-22] (Microsoft Windows Hardware Compatibility Publisher -> Broadcom)
R4 IDSVia64; C:\Program Files\Norton Security\NortonData\22.23.1.21\Definitions\IPSDefs\20230324.061\IDSvia64.sys [1527816 2023-03-24] (Microsoft Windows Hardware Compatibility Publisher -> Broadcom)
2023-03-23 00:14 - 2023-03-23 00:15 - 000000000 ____D C:\AdwCleaner
2023-02-13 16:03 - 2023-03-10 13:55 - 000000000 _RSHD C:\360SANDBOX
2023-03-23 02:42 - 2023-03-24 00:16 - 000000000 ____D C:\Users\kryzi\AppData\Roaming\Opera Software
2023-03-23 02:42 - 2023-03-24 00:16 - 000000000 ____D C:\Users\kryzi\AppData\Local\Opera Software
2023-03-26 17:29 - 2023-03-26 17:58 - 000000000 ____D C:\Program Files\Norton Security
2023-03-26 17:28 - 2023-03-26 17:28 - 000000000 ____D C:\ProgramData\NortonInstaller
2023-03-26 17:28 - 2023-03-26 17:28 - 000000000 ____D C:\Program Files (x86)\NortonInstaller
2023-03-26 17:26 - 2023-03-26 17:59 - 000000000 ____D C:\ProgramData\Norton
2023-03-26 17:26 - 2023-03-26 17:26 - 000000000 ____D C:\Users\Public\Downloads\Norton
2023-03-26 22:46 - 2023-03-26 22:46 - 000003532 _____ C:\Users\kryzi\Desktop\rogueKiller.txt
2023-03-26 22:41 - 2023-03-26 22:45 - 000000000 ____D C:\ProgramData\RogueKiller
2023-03-26 22:41 - 2023-03-26 22:39 - 035136432 _____ C:\Users\kryzi\Desktop\RogueKiller_portable64.exe
2023-03-26 22:39 - 2023-03-26 22:39 - 035136432 _____ C:\Users\kryzi\Downloads\RogueKiller_portable64.exe
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
RemoveProxy:
CMD: netsh advfirewall reset
CMD: sfc /scannow 
EmptyEventLogs:
EmptyTemp: 

Plik naprawczy przeznaczony jest tylko dla autora wątku!


Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt  

Edytowane 26 marca 2023 przez Bromidum

[Kryzix11]

@Bromidum Fixlog.txt

[Kryzix11]

Temat zamknięty, pomogło.
Dzęki @Bromidum