Proszę o sprawdzenie logów

kolobos Re: Proszę o sprawdzenie logów 05.02.17, 16:19

Jestes pewna, ze mail byl od allegro, a nie od oszustow, ktorzy chca poznac Twoje haslo?
Bo wyglada to na typowa probe wyludzenia hasla, niby zablokowali, ale w mailu jest link do resetowania hasla gdzie trzeba podac aktualne haslo oraz nowe, wszystko na specjalnie spreparowanej stronie udajacej allegro.

Oczywiscie, moze to tez byc mail od allegro ale w jaki sposob sprawdzili, ze ktos (obcy) zalogowal sie na konto skoro nie prowadza takiej weryfikacji? Mozna sie logowac z dowolnej ilosci urzadzen. O ile oczywiscie ktos nie wystawil z Twojego konta masy podejrzanych aukcji, wtedy faktycznie mogli zablokowac.

Na komputerze nie ma sladu infekcji. Logujesz sie na allegro tylko z jednego urzadzenia podlaczonego do jednego lacza? Czy gdzies w innych miejscach (publicznych) tez?
Haslo do allegro bylo trudne do zgadniecia? To samo dotyczy hasala do powiazanego z allegro maila?

Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
Task: {09C0ED89-8FAF-41CB-BAEC-83B380941F03} - System32\Tasks\{855180FE-0FB8-45B2-A9AE-087AC708B37D} => C:\Program Files (x86)\Giant\LEGO Star Wars Game\legostarwars.exe [2005-04-06] ()
Task: {18D40F5A-56AA-4B8C-BAC3-0F6CC2A396D9} - System32\Tasks\{22450CFB-7848-483D-B1A0-2AD98C6ED4E5} => C:\Program Files (x86)\Giant\LEGO Star Wars Game\legostarwars.exe [2005-04-06] ()
Task: {1AE395BE-4121-44B3-B581-C0E02ECDAB25} - System32\Tasks\{06F8DE42-1276-4A43-A723-A92F509113A3} => C:\Program Files (x86)\Giant\LEGO Star Wars Game\legostarwars.exe [2005-04-06] ()
Task: {28B8F6FA-8619-4335-BAC2-40CCF62C76B2} - System32\Tasks\{5C941A62-A856-4D90-9447-698F0B553BAA} => pcalua.exe -a "D:\Downloads\Ice Age 3\IA3_DVD\SETUP.EXE" -d "D:\Downloads\Ice Age 3\IA3_DVD"
Task: {8199CAEA-7163-4532-92F8-5951D52F354F} - System32\Tasks\{5A3C15DB-B4D7-4FBF-868D-827466F0C6E7} => pcalua.exe -a C:\Users\Agnieszka\Desktop\File_installer.exe -d C:\Users\Agnieszka\Desktop
Task: {B73988C3-8E6A-4F34-9BF8-D0A28EE99C99} - System32\Tasks\{B4F18A8E-E6E0-4129-A5FC-013C3CDE5F49} => pcalua.exe -a E:\SETUP.EXE -d E:\
Task: {BAEAD325-AA9B-4D4B-B6D8-B1EAB98D6A95} - System32\Tasks\{1DC5518E-B500-439D-9D8F-EAAC99A2DB33} => pcalua.exe -a "C:\Downloads\New folder\racer100_0\SETUP.EXE" -d "C:\Downloads\New folder\racer100_0"
Task: {C5DDE607-E080-406E-9385-752DA3816E15} - System32\Tasks\{822B40FB-B2BE-450C-9D78-ED14C4FCD460} => pcalua.exe -a "C:\Pluszaki Rozrabiaki\P_R_M_B.K_\SETUP.EXE" -d "C:\Pluszaki Rozrabiaki\P_R_M_B.K_"
Task: {CF1B8ECC-5A46-4C8E-8A42-F0E1E3E50FB3} - System32\Tasks\{5D0D27F3-7010-4440-8AEE-4DC45D56ECE5} => Firefox.exe hxxp://ui.skype.com/ui/0/7.23.85.105/pl/go/help.faq.installer?LastError=1618
Task: {DE52C0BC-8A3D-4491-9676-5C6124215095} - System32\Tasks\{53771714-B560-41DA-AA32-51AF4CAC9E73} => pcalua.exe -a C:\Users\AGNIES~1\AppData\Local\Temp\{243C04EE-71CC-49E4-9795-7B680C8E231A}\setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" <==== ATTENTION
Task: {EA187126-76E3-4134-BED3-0799BFFFF7D0} - System32\Tasks\{2CFC65E6-F4B0-42EF-88AA-4F57AF1A4CA2} => C:\Program Files (x86)\The LEGO Movie - Videogame\LEGOEMMET.exe [2014-02-09] (Warner Bros. Interactive Entertainment)
HKLM-x32\...\Run: [WSHelperSetup.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {1c4b505e-0d0c-11e5-b2ee-0026b9b39fd7} - G:\LaunchU3.exe -a
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {25153919-b782-11e3-aad8-0026b9b39fd7} - G:\setup.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {44075866-fc5f-11e4-8241-0026b9b39fd7} - H:\setup.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {60a71d66-0751-11e5-b17e-0026b9b39fd7} - I:\setup.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {62b4e492-829f-11e3-9567-0026b9b39fd7} - H:\LaunchU3.exe -a
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {b22394f6-e8a5-11e3-a420-0026b9b39fd7} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Start.hta
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {d933059b-b9bf-11e4-bb74-0026b9b39fd7} - F:\setup.exe
HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2014-01-12] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
CHR DefaultProfile: Default
CHR DefaultSearchURL: Default -> hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1421063043&from=cor&uid=SamsungXSSDX840XEVOX250GB_S1DBNSADB70745L&q={searchTerms}
CHR DefaultSearchKeyword: Default -> omiga-plus
S3 ALSysIO; \??\C:\Users\AGNIES~1\AppData\Local\Temp\ALSysIO64.sys [X]
2017-02-04 15:15 - 2017-02-04 15:22 - 00000000 ____D C:\AdwCleaner
2014-08-13 20:22 - 2014-08-13 20:22 - 0000268 ___RH () C:\ProgramData\Drums
2014-08-13 20:22 - 2014-08-13 20:22 - 0000268 ___RH () C:\ProgramData\Dynamic Library
2014-08-13 20:22 - 2014-08-13 20:22 - 0000268 ___RH () C:\ProgramData\Echo
2016-11-03 21:30 - 2016-11-03 21:30 - 0000016 _____ () C:\ProgramData\mntemp
2016-11-03 21:30 - 2016-11-03 21:30 - 0005085 _____ () C:\ProgramData\oqztiqep.adk
EmptyTemp:

W FRST wybierz Napraw.

Drzewko
Od najstarszego
Od najnowszego

kolobos Re: Proszę o sprawdzenie logów 05.02.17, 16:19

Jestes pewna, ze mail byl od allegro, a nie od oszustow, ktorzy chca poznac Twoje haslo?
Bo wyglada to na typowa probe wyludzenia hasla, niby zablokowali, ale w mailu jest link do resetowania hasla gdzie trzeba podac aktualne haslo oraz nowe, wszystko na specjalnie spreparowanej stronie udajacej allegro.

Oczywiscie, moze to tez byc mail od allegro ale w jaki sposob sprawdzili, ze ktos (obcy) zalogowal sie na konto skoro nie prowadza takiej weryfikacji? Mozna sie logowac z dowolnej ilosci urzadzen. O ile oczywiscie ktos nie wystawil z Twojego konta masy podejrzanych aukcji, wtedy faktycznie mogli zablokowac.

Na komputerze nie ma sladu infekcji. Logujesz sie na allegro tylko z jednego urzadzenia podlaczonego do jednego lacza? Czy gdzies w innych miejscach (publicznych) tez?
Haslo do allegro bylo trudne do zgadniecia? To samo dotyczy hasala do powiazanego z allegro maila?

Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
Task: {09C0ED89-8FAF-41CB-BAEC-83B380941F03} - System32\Tasks\{855180FE-0FB8-45B2-A9AE-087AC708B37D} => C:\Program Files (x86)\Giant\LEGO Star Wars Game\legostarwars.exe [2005-04-06] ()
Task: {18D40F5A-56AA-4B8C-BAC3-0F6CC2A396D9} - System32\Tasks\{22450CFB-7848-483D-B1A0-2AD98C6ED4E5} => C:\Program Files (x86)\Giant\LEGO Star Wars Game\legostarwars.exe [2005-04-06] ()
Task: {1AE395BE-4121-44B3-B581-C0E02ECDAB25} - System32\Tasks\{06F8DE42-1276-4A43-A723-A92F509113A3} => C:\Program Files (x86)\Giant\LEGO Star Wars Game\legostarwars.exe [2005-04-06] ()
Task: {28B8F6FA-8619-4335-BAC2-40CCF62C76B2} - System32\Tasks\{5C941A62-A856-4D90-9447-698F0B553BAA} => pcalua.exe -a "D:\Downloads\Ice Age 3\IA3_DVD\SETUP.EXE" -d "D:\Downloads\Ice Age 3\IA3_DVD"
Task: {8199CAEA-7163-4532-92F8-5951D52F354F} - System32\Tasks\{5A3C15DB-B4D7-4FBF-868D-827466F0C6E7} => pcalua.exe -a C:\Users\Agnieszka\Desktop\File_installer.exe -d C:\Users\Agnieszka\Desktop
Task: {B73988C3-8E6A-4F34-9BF8-D0A28EE99C99} - System32\Tasks\{B4F18A8E-E6E0-4129-A5FC-013C3CDE5F49} => pcalua.exe -a E:\SETUP.EXE -d E:\
Task: {BAEAD325-AA9B-4D4B-B6D8-B1EAB98D6A95} - System32\Tasks\{1DC5518E-B500-439D-9D8F-EAAC99A2DB33} => pcalua.exe -a "C:\Downloads\New folder\racer100_0\SETUP.EXE" -d "C:\Downloads\New folder\racer100_0"
Task: {C5DDE607-E080-406E-9385-752DA3816E15} - System32\Tasks\{822B40FB-B2BE-450C-9D78-ED14C4FCD460} => pcalua.exe -a "C:\Pluszaki Rozrabiaki\P_R_M_B.K_\SETUP.EXE" -d "C:\Pluszaki Rozrabiaki\P_R_M_B.K_"
Task: {CF1B8ECC-5A46-4C8E-8A42-F0E1E3E50FB3} - System32\Tasks\{5D0D27F3-7010-4440-8AEE-4DC45D56ECE5} => Firefox.exe hxxp://ui.skype.com/ui/0/7.23.85.105/pl/go/help.faq.installer?LastError=1618
Task: {DE52C0BC-8A3D-4491-9676-5C6124215095} - System32\Tasks\{53771714-B560-41DA-AA32-51AF4CAC9E73} => pcalua.exe -a C:\Users\AGNIES~1\AppData\Local\Temp\{243C04EE-71CC-49E4-9795-7B680C8E231A}\setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" <==== ATTENTION
Task: {EA187126-76E3-4134-BED3-0799BFFFF7D0} - System32\Tasks\{2CFC65E6-F4B0-42EF-88AA-4F57AF1A4CA2} => C:\Program Files (x86)\The LEGO Movie - Videogame\LEGOEMMET.exe [2014-02-09] (Warner Bros. Interactive Entertainment)
HKLM-x32\...\Run: [WSHelperSetup.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {1c4b505e-0d0c-11e5-b2ee-0026b9b39fd7} - G:\LaunchU3.exe -a
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {25153919-b782-11e3-aad8-0026b9b39fd7} - G:\setup.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {44075866-fc5f-11e4-8241-0026b9b39fd7} - H:\setup.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {60a71d66-0751-11e5-b17e-0026b9b39fd7} - I:\setup.exe
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {62b4e492-829f-11e3-9567-0026b9b39fd7} - H:\LaunchU3.exe -a
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {b22394f6-e8a5-11e3-a420-0026b9b39fd7} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Start.hta
HKU\S-1-5-21-2472316429-3755023338-3234764499-1000\...\MountPoints2: {d933059b-b9bf-11e4-bb74-0026b9b39fd7} - F:\setup.exe
HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2014-01-12] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
CHR DefaultProfile: Default
CHR DefaultSearchURL: Default -> hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1421063043&from=cor&uid=SamsungXSSDX840XEVOX250GB_S1DBNSADB70745L&q={searchTerms}
CHR DefaultSearchKeyword: Default -> omiga-plus
S3 ALSysIO; \??\C:\Users\AGNIES~1\AppData\Local\Temp\ALSysIO64.sys [X]
2017-02-04 15:15 - 2017-02-04 15:22 - 00000000 ____D C:\AdwCleaner
2014-08-13 20:22 - 2014-08-13 20:22 - 0000268 ___RH () C:\ProgramData\Drums
2014-08-13 20:22 - 2014-08-13 20:22 - 0000268 ___RH () C:\ProgramData\Dynamic Library
2014-08-13 20:22 - 2014-08-13 20:22 - 0000268 ___RH () C:\ProgramData\Echo
2016-11-03 21:30 - 2016-11-03 21:30 - 0000016 _____ () C:\ProgramData\mntemp
2016-11-03 21:30 - 2016-11-03 21:30 - 0005085 _____ () C:\ProgramData\oqztiqep.adk
EmptyTemp:

W FRST wybierz Napraw.
- novinka1 Re: Proszę o sprawdzenie logów 06.02.17, 19:15
  
  Dostałam potwierdzenie z Allegro:
  "Byliśmy zmuszeni zresetować hasło do Pani konta gdyż wykryliśmy podejrzane próby logowań na nim."
  
  Loguję się wyłącznie z laptopa lub komórki. W każdym razie hasło zmieniłam. Nie musiałam podawać starego.
  
  Dzięki.

Najnowsze z forum Wirusy, trojany, spyware

Zaloguj się