Pomoc so spyware

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
somvkeli
Nový používateľ
Nový používateľ
Príspevky: 4
Dátum registrácie: Po 06. Aug, 2018, 22:48

Pomoc so spyware

Príspevok od užívateľa somvkeli » Po 06. Aug, 2018, 23:19

Prosím Vás o pomoc.
Stiahol som náhodou(ako inak) spyware. A áno, môžem si za to sám.
Stalo sa to v piatok a všimol som si to dnes(pondelok).
Všimol som si to po tom ako mi z účtu zmizlo 700€.
Hneď nasledoval hovor do banky na zablokovanie karty a náročná zmena hesiel.
Peniaze odišli cez môj paypal čo som neregistroval.
Človek čo mal nad spyware kontrolu potvrdzovacie paypal maily presunul v mojom gmaily do koša.
Dal som odhlásiť všetky zariadenia prihlásené cez google.
Takže veľký problém so zabezpečením, malwarebytes mi našiel Spyware.Arkei . Default mám avast free, ten nič.
Hneď šiel PC mimo net a asi urobím presun na nové disky a fresh win install.

Čo by som ešte mohol urobiť v takejto situácií ?
Niekto mal prístup komplet do gmailu a aj na neuložené paypal heslo ktoré sa v tej dobe ani nezadávalo.
Prosím o hive mind a ďakujem za rady

Užívateľov profilový obrázok
newmi
Moderátor
Moderátor
Príspevky: 7511
Dátum registrácie: Ut 23. Jan, 2007, 08:00
Bydlisko: Trnava
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa newmi » Ut 07. Aug, 2018, 13:41

tie hesla si pomen v dakom inom pc alebo mobile ako su tvoje. Aby si si bol istejsi. Co ked mas v PC este stale daky keylogger ;-)
myPC CPU:i5 3350P, MB:Gigabyte B75M D3H, RAM:8GB Kingston 1600MHz cl9, VGA:MSI R9 270 Gaming DVD-RW:LG H12NR, HDD:Toshiba 1TB, SSD:Toshiba HG2 256GB, LCD:LG W2220P-BF, Case: SilentiumPC Gladius M35,PSU:Seasonic M12II 520W, Router: Netgear JNR3210 myPhone Xiaomi Mi A1 myStation Playstation 3 myHeadphones: JBL 450

Užívateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 1798
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (34)
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa zoom » Pi 10. Aug, 2018, 00:54

Ako si napisal, mozes si za to hlavne sam. Co sa tyka pocitaca, tak skus nejaky normalny antivirus a preskenuj ho. Napriklad trial/online verzia akehokolvek ESET produktu, TDSSkiller od Kasperskeho (proti rootkitom), adwCleaner na bordel v browseroch.
Nasledne urob zoznam systemovych veci cez Autoruns a pozri, ci tam nie je nieco podozrive. Ak to nevies skontrolovat, tak uloz log (do *.arn formatu) a niekde ho vyzdielaj.

Co sa tyka veci ako platobna karta, PayPal a Google ucet, tak nechapem, preco nemas dvojfaktorovu autorizaciu na vsetko. Je to asi to najlepsie zabezpecenie, co si moze bezny clovek nastavit (ked sa bavime a beznych domacich podmienkach). Takze pri platbe kartou by si mal mat nejake to 3D Secure overovanie, ci ako sa to vola (proste ti pride SMS). Pri PayPale to iste (link - posielanie SMS) a do Google uctu detto (link - mozes pouzit Google Authenticator alebo posielanie SMS). Kebyze mas 2FA nastavene od zaciatku, tak aj ked ti niekto ukradne meno/heslo, tak nic nemoze zaplatit.

No a samozrejme si vsade zmen hesla. Idealne nie rovnake na kazdej stranke.

A zareportuj PayPalu neautorizovanu transakciu - tu. Mozno sa aj nejako dostanes nazad k peniazom, neviem, neskusal som.

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8140
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Pomoc so spyware

Príspevok od užívateľa HellAngel » Pi 10. Aug, 2018, 07:28

idealne je rovno ten disk preformatovat. Prvy format by som riesil cez LIVE system. Potom bz som disk vytiahol, vlozil ho do dalsieho PC a zformatoval cez program, napriklad minitool particion wizard, easeU.

Okrem zmeny hesiel, ktore urcite urob hned, ale na inom PC, si nastav limit na karte pre platby cez internet na minimum. Ja mam 5 eur a ked potrebujem zaplatit nieco drahsie, zmenim na tu transakciu limit a po zaplateni ju znova stiahnem na 5 eur.
Windows by som necistil, rovno by som formatoval.
NB: Dell Latitude 5480

Užívateľov profilový obrázok
wingo
Používateľ
Používateľ
Príspevky: 1860
Dátum registrácie: St 01. Sep, 2010, 20:36
Bydlisko: Podbrezová

Re: Pomoc so spyware

Príspevok od užívateľa wingo » Pi 10. Aug, 2018, 08:10

Ja mám v mBank druhý účet eMax s kartou na platby cez net kde je len pár drobných a keď potrebujem dačo zaplatiť tak tam predtým prevediem peniaze, kartu hlavného účtu nepoužívam na net nikdy. Samozrejme PayPal je pripojený na tú eMax kartu, takže prinajhoršom prídem o 1-2€, dakedy tam ani toľko nie je. A samozrejme všade kde sa dá dvojfaktorová autentifikácia cez SMS/Appku v mobile. Inšpirácia do budúcna.

Taktiež si ihneď over či sa nedá dačo vybaviť s bankou a Paypalom, možno máš v balíčku (alebo banka/Paypal budú ochotní) ochranu/poistenie proti odcudzeniu údajov a peniaze alebo ich časť ešte teoreticky môžeš získať späť.
STEAM: http://steamcommunity.com/id/X-w1n9/

i7 6700K, Noctua NH-D14, GIGABYTE GA-Z270 GAMING K3, 16GB DDR4 Corsair Vengeance 3200MHz, Gainward GTX 1080 Phoenix GS, Toshiba XG3 1TB M.2 NVMe, 1TB Samsung SpinPoint F3 3RZ + Silentmaxx HD-Silencer, Corsair TX650 + Enermax T.B. Silence UCTB12A, Fractal Design Define R3 (outtake: Noiseblocker NB-eLoop Fan B12-P, intake: Enermax T.B. Silence UCTB14B bottom), Acer HN274 (TN, 27", FullHD, 120Hz, 3D Vision), Logitech K200, Logitech G400, Superlux HD-330 + Brainwavz memory foam sheep skin round earpads

Užívateľov profilový obrázok
stiv
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5855
Dátum registrácie: Pi 16. Nov, 2012, 21:30
Bydlisko: Košice

Re: Pomoc so spyware

Príspevok od užívateľa stiv » Pi 10. Aug, 2018, 08:11

Dobra pomoc do buducna je nestahovat spyware. Potom clovek nemusi mat ani 3FA ucty, dalsie karty a pod.

Užívateľov profilový obrázok
wingo
Používateľ
Používateľ
Príspevky: 1860
Dátum registrácie: St 01. Sep, 2010, 20:36
Bydlisko: Podbrezová

Re: Pomoc so spyware

Príspevok od užívateľa wingo » Pi 10. Aug, 2018, 08:32

Aj keby nesťahoval spyware, nikdy nevieš kde a ako ti môžu uniknúť heslá, v kuse chodia správy ako rôznym službám unikli heslá a málokto má pre každú službu iné heslo (aj keď minimálne pre mail a banking by mal človek mať :) ). Jednoducho prevencia je vždy ľahšia a lacnejšia.
STEAM: http://steamcommunity.com/id/X-w1n9/

i7 6700K, Noctua NH-D14, GIGABYTE GA-Z270 GAMING K3, 16GB DDR4 Corsair Vengeance 3200MHz, Gainward GTX 1080 Phoenix GS, Toshiba XG3 1TB M.2 NVMe, 1TB Samsung SpinPoint F3 3RZ + Silentmaxx HD-Silencer, Corsair TX650 + Enermax T.B. Silence UCTB12A, Fractal Design Define R3 (outtake: Noiseblocker NB-eLoop Fan B12-P, intake: Enermax T.B. Silence UCTB14B bottom), Acer HN274 (TN, 27", FullHD, 120Hz, 3D Vision), Logitech K200, Logitech G400, Superlux HD-330 + Brainwavz memory foam sheep skin round earpads

Užívateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 1798
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (34)
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa zoom » Pi 10. Aug, 2018, 19:12

A este by som doplnil, aspon obcas si skontrolovat, ci tvoj e-mail (aj stary, nepouzivany s rovnakym heslom) neskoncil niekde v nejakom leaku -- napriklad https://haveibeenpwned.com/

somvkeli
Nový používateľ
Nový používateľ
Príspevky: 4
Dátum registrácie: Po 06. Aug, 2018, 22:48

Re: Pomoc so spyware

Príspevok od užívateľa somvkeli » Ut 14. Aug, 2018, 14:28

Ahojte, po týždni v nervoch sa vraciam.

Minulý týždeň som bol psychicky komplet mimo z toho a nebolo mi vôbec dobre tak som aspoň robil research okolo.
Podarilo sa mi nájsť daný arkei stealer ktorý som mal na rôznych stránkach na predaj, napr na www nulled bodka to (je tam komplet popis)
Čo sa stalo: útočník mal k dispozícií môj profil z chrome, každý deň vytvorené win assets(program data/assets) a na pozadí to bežalo cez proxy.
Čiže úplne jednoducho len otvoril paypal, obnovenie hesla a vytvoril si nové.
Potvrdenia o zmene paypal hesla spolu s invoices z nákupov som si našiel v koši gmailu.
Používal som malwarebytes free ktorý mi ten arkei našiel a zmazal, no až po manuálnej kontrole po tom čo som to zistil.
Čiže idem brať jednu multilicenciu malwarebytes pre celú famíliu asi. Ak viete o niečom lepšom tak poraďte :)
Heslá sú pomenené a pc je odvtedy offline.
Našťastie som v dobe stiahnutia a zistenia mal nb aj drahej pc vypnuté takže aspoň sa to nedostalo dalej cez smb.
Prebehol som to ešte avastom, frst, roguekiller, rkill, adw cleaner, mcafee stinger a všetko čo ma napadlo. +kontrola súborov cez autopsy.
Logy windowsu boli v danom období odstránené.
Už to bolo čisté.
Softy som tam dostal cez microsd karty, ešte že ich máme toľko :D
Skúsil som jednu aj preformátovať v ex-infikovanom pc a následne kuknúť cez live partition manager priamo jej data v hex a bolo to čisté, takže by to už malo byť preč.

Dáta som si potriedil, stiahol na ssd. Aspoň som mal dôvod si urobiť poriadok v junku za posledných pár rokov.
Staré disky som dal premazať na 0 a dnes to idem obnoviť a dúfam aj inštalovať win.
Btw, v dobe keď prišlo k infekcií si jeden soft žiadal o update VC++ libs ktorý si win vykonal po mojom schválení cez fondue.


Čiže by to už malo byť za mnou :)
Aký spoľahlivý AV/antimalware do budúcnosti ?

Ešte by som dodal, že 2FA mám samozrejme.
Daný spyware to svojim postupom obchádza

Užívateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 1798
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (34)
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa zoom » St 15. Aug, 2018, 23:09

Neviem presne technicke fungovanie toho Arkei stealera, ale nemas nahodou doma v browseri ulozene heslo, pripadne zapamatany pocitac ako doveryhodny v cookies pre Paypal a ine stranky? Ak ano, tak to je celkom bezpecnostna chyba. Ja sa stale logujem do takychto veci, nikdy si nic nezapamatavam, vzdy to odo mna pyta heslo a pri prihlaseni (tj. aj pre zmenu hesla, nielen pri plateni) si Paypal ziada 2FA. Neverim nikomu a sebe len z polovice.

Malwarebytes pozna Arkei stealer uz nejaky ten mesiac, takze asi si nemal rezidentnu ochranu zapnutu (alebo moznu vo free verzii). Takze ak zhanas antivirus, tak asi uz nechces Avast :). Za mna kludne odporucam ESET. Ale inak take znacky, s ktorymi nemam skusenost, ale myslim si, ze by mohli byt OK su aj Bitdefender, Kaspersky, mozno Avira. AVG a Avast (teraz uz jedna firma) osobne nemusim. A samozrejme by som si na tvojom mieste zobral nie cisto antivirus, alebo cely balik aj s firewallom (cize napriklad Internet/Smart Security namiesto NOD32 Antivirus). Jednak ti vyskoci hlaska na novu aplikaciu, ktora sa snazi pristupovat do internetu a jednak je to dalsi layer ochrany - takze napriklad ESET (a urcite aj ine programy) rozoznava a blokuje exploity namierene cez siet proti tebe, pripadne rozoznava komunikaciu, ktoru pouzivaju napriklad botnety a identifikuje proces, ktory ju posiela.

Inak k antivirusu uz len zdravy rozum potom. Aj ked teda podla popisu toto nevyzera byt ten klasicky pripad, ze stahuje sa mi Video.exe, tak ho spustim, aby som si pozrel ten novy film na internete. Inak si veci (ovladace, programy a tak) aktualizujem sam manualne. Ziadne automaticke updatovanie kniznic. Ked nieco chce VC++ Redist, ktory nemam, stiahnem zo stranok Microsoftu a nainstalujem.

Ale myslim si, ze vsetky opatrenia, co si vykonal, by mali byt dostatocne. Opatrnejsi by som bol len s tymi ulozenymi heslami na PC, pripadne zapamatanim doveryhodneho PC.

shajek
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 4130
Dátum registrácie: Ut 12. Aug, 2008, 12:16
Bydlisko: Pravenec
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa shajek » St 15. Aug, 2018, 23:19

Pisal si teda na PayPal?
CPU: AMD Phenom X3 720 BE 2,8 GHz @ 3,9 GHz 1,45V @@@ Phenom x4 3,6Ghz 1,375V (batch no. 0905 FPMW)CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 790XTA-UD4 RAM: 2x4GB ADATA Xtreme Series 2000 Mhz 8-7-6-15 tRC 11 CR 1T GPU: Asus EAH5850 DirectCU (985@5200MHz(1300MHz)) Monitory: 2x 24" LCD shit CRT HDD: WD 10EALS, ST Barracuda ST1000DM003 PSU:Seasonic M12II 620W 80Plus OS: Windows 7 Ultimate SP1 x64, Myš: nejaká Canyon Klávesnica : Microsoft Natural Elite, 3DMark Vantage : P16326 3DMark 06 : 21345

Užívateľov profilový obrázok
shiro
najsilnejší, najkrajší, najmúdrejší BOSS
najsilnejší, najkrajší, najmúdrejší BOSS
Príspevky: 6642
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa shiro » Št 16. Aug, 2018, 08:02

zoom napísal:
St 15. Aug, 2018, 23:09
Neviem presne technicke fungovanie toho Arkei stealera, ale nemas nahodou doma v browseri ulozene heslo, pripadne zapamatany pocitac ako doveryhodny v cookies pre Paypal a ine stranky? Ak ano, tak to je celkom bezpecnostna chyba. Ja sa stale logujem do takychto veci, nikdy si nic nezapamatavam, vzdy to odo mna pyta heslo a pri prihlaseni (tj. aj pre zmenu hesla, nielen pri plateni) si Paypal ziada 2FA. Neverim nikomu a sebe len z polovice.
Pri 2FA nevadi mat ulozene heslo ci cookies.
Cookies su len na to, aby dany web vedel ci si tam uz bol. Ulozene heslo v prehliadaci sa ti maximalne automaticky predvyplni - hned mas v polickach login/psw a stejne musis kliknut na Login a potom potvrdit SMSku ci e-mail pri 2FA overeni.
Navyse tym, ze neklepes login/psw rucne sa vyhybas keyloggerom.
Xeon E3-1231v3, 16GB DDR3, Gigabyte Z97-D3H, Samsung 840evo 120GB, Crucial MX300 525GB, 2x WD 1TB, Gainward GTX1060 6GB, Corsair RM550x, 24" BenQ GW2470H
iPad Air 16GB, iPhone SE 32GB

somvkeli
Nový používateľ
Nový používateľ
Príspevky: 4
Dátum registrácie: Po 06. Aug, 2018, 22:48

Re: Pomoc so spyware

Príspevok od užívateľa somvkeli » Ut 21. Aug, 2018, 11:23

Paypal a svoju banku som kontaktoval hneď, do 3 dní som mal peniaze na účte.
Našiel som v pc jeden priečinok v applocal. Boli tam súbory obsahujúce sql kód na vytváranie databáz cookies, passwords, history a pod.
Všetko to zbieralo do jedného priečinka, ktorý je prázdny a ani viacerými softami na data recovery som odtiaľ nič nevytiahol.
Pravdepodobne si všetky generované súbory priebežne premazával, ináč si to vysvetliť neviem.
Rovnako premazal aj .etl logy windowsu. Všimol som si aj nezvyčajnú aktivitu v podpriečinku Nvidia Ansel ktorá začala v čas infekcie.
Priečinok Ansel obsahoval rôzne logy, no nič zaujímavé som nevyčítal.
Mne to vyšlo tak, že presne v dobe keď som sa hral prebehol reset paypal hesla a následne nákupy.

Začínam sa učiť C++, python a assembler. Chcem sa tejto téme povenovat trocha hlbšie.
Vyskočil mi offer na online školenie "Certified Ethical Hacking Training za cenu 45usd.
Čo si o tom myslíte ?
Chcem sa niečo nové naučiť v tejto tematike, a zároveň mi to príde aj ako dobré hobby na pomaly sa blížiacu jeseň zimu.

Užívateľov profilový obrázok
shiro
najsilnejší, najkrajší, najmúdrejší BOSS
najsilnejší, najkrajší, najmúdrejší BOSS
Príspevky: 6642
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica
Kontaktovať užívateľa:

Re: Pomoc so spyware

Príspevok od užívateľa shiro » Ut 21. Aug, 2018, 13:49

vies vobec co je nvidia ansel? ficura nvidie na robenie screenov z hier, pricom si mozes v hernej scene lubovolne nastavovat kameru, efekty, atd.
samozrejme ze to robilo logy v dobe, ked si sa hral, ved to s tym suvisi.

Na nejake skolenia kasli, pride ti akasi reklama a? nezabudni im poslat tie $$ samozrejme vopred :-)
Ohladom virov, spywaru a ineho bordelu mas kopu infa aj v CZ/SK...prestuduj si napr. forum.viry.cz, su tam aj ludia co sa vyznaju.

Ziadne c++ vediet nemusis, ucil by si sa to mozno rok, aby si sa dostal na uroven aby to bolo nejak relevantne - reverse engineering zdrojaku, debugging, atd.
Xeon E3-1231v3, 16GB DDR3, Gigabyte Z97-D3H, Samsung 840evo 120GB, Crucial MX300 525GB, 2x WD 1TB, Gainward GTX1060 6GB, Corsair RM550x, 24" BenQ GW2470H
iPad Air 16GB, iPhone SE 32GB

Napísať odpoveď

Návrat na "Bezpečnost a zabezpečenie PC"