Pomoc so spyware

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
somvkeli
Nový používateľ
Nový používateľ
Príspevky: 4
Dátum registrácie: Po 06. Aug, 2018, 22:48

Pomoc so spyware

Príspevok od používateľa somvkeli »

Prosím Vás o pomoc.
Stiahol som náhodou(ako inak) spyware. A áno, môžem si za to sám.
Stalo sa to v piatok a všimol som si to dnes(pondelok).
Všimol som si to po tom ako mi z účtu zmizlo 700€.
Hneď nasledoval hovor do banky na zablokovanie karty a náročná zmena hesiel.
Peniaze odišli cez môj paypal čo som neregistroval.
Človek čo mal nad spyware kontrolu potvrdzovacie paypal maily presunul v mojom gmaily do koša.
Dal som odhlásiť všetky zariadenia prihlásené cez google.
Takže veľký problém so zabezpečením, malwarebytes mi našiel Spyware.Arkei . Default mám avast free, ten nič.
Hneď šiel PC mimo net a asi urobím presun na nové disky a fresh win install.

Čo by som ešte mohol urobiť v takejto situácií ?
Niekto mal prístup komplet do gmailu a aj na neuložené paypal heslo ktoré sa v tej dobe ani nezadávalo.
Prosím o hive mind a ďakujem za rady
Používateľov profilový obrázok
newmi
Moderátor
Moderátor
Príspevky: 7701
Dátum registrácie: Ut 23. Jan, 2007, 08:00
Bydlisko: Trnava

Re: Pomoc so spyware

Príspevok od používateľa newmi »

tie hesla si pomen v dakom inom pc alebo mobile ako su tvoje. Aby si si bol istejsi. Co ked mas v PC este stale daky keylogger ;-)
myPC CPU:i5 3350P, MB:Gigabyte B75M D3H, RAM:8GB Kingston 1600MHz cl9, VGA:MSI R9 270 Gaming DVD-RW:LG H12NR, HDD:Toshiba 1TB, SSD:Toshiba HG2 256GB, LCD:LG W2220P-BF, Case: SilentiumPC Gladius M35,PSU:Seasonic M12II 520W, Router: Mikrotik hAP ac2 myPhone: Google Pixel 4a myStation: Playstation 3 myHeadphones: Sennheiser HD 438
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2330
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Pomoc so spyware

Príspevok od používateľa zoom »

Ako si napisal, mozes si za to hlavne sam. Co sa tyka pocitaca, tak skus nejaky normalny antivirus a preskenuj ho. Napriklad trial/online verzia akehokolvek ESET produktu, TDSSkiller od Kasperskeho (proti rootkitom), adwCleaner na bordel v browseroch.
Nasledne urob zoznam systemovych veci cez Autoruns a pozri, ci tam nie je nieco podozrive. Ak to nevies skontrolovat, tak uloz log (do *.arn formatu) a niekde ho vyzdielaj.

Co sa tyka veci ako platobna karta, PayPal a Google ucet, tak nechapem, preco nemas dvojfaktorovu autorizaciu na vsetko. Je to asi to najlepsie zabezpecenie, co si moze bezny clovek nastavit (ked sa bavime a beznych domacich podmienkach). Takze pri platbe kartou by si mal mat nejake to 3D Secure overovanie, ci ako sa to vola (proste ti pride SMS). Pri PayPale to iste (link - posielanie SMS) a do Google uctu detto (link - mozes pouzit Google Authenticator alebo posielanie SMS). Kebyze mas 2FA nastavene od zaciatku, tak aj ked ti niekto ukradne meno/heslo, tak nic nemoze zaplatit.

No a samozrejme si vsade zmen hesla. Idealne nie rovnake na kazdej stranke.

A zareportuj PayPalu neautorizovanu transakciu - tu. Mozno sa aj nejako dostanes nazad k peniazom, neviem, neskusal som.
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12546
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Pomoc so spyware

Príspevok od používateľa HellAngel »

idealne je rovno ten disk preformatovat. Prvy format by som riesil cez LIVE system. Potom bz som disk vytiahol, vlozil ho do dalsieho PC a zformatoval cez program, napriklad minitool particion wizard, easeU.

Okrem zmeny hesiel, ktore urcite urob hned, ale na inom PC, si nastav limit na karte pre platby cez internet na minimum. Ja mam 5 eur a ked potrebujem zaplatit nieco drahsie, zmenim na tu transakciu limit a po zaplateni ju znova stiahnem na 5 eur.
Windows by som necistil, rovno by som formatoval.
NB: Asus ROG Strix G16 G614 + G Helper
Používateľov profilový obrázok
wingo
Moderátor
Moderátor
Príspevky: 6167
Dátum registrácie: St 01. Sep, 2010, 20:36
Bydlisko: Podbrezová

Re: Pomoc so spyware

Príspevok od používateľa wingo »

Ja mám v mBank druhý účet eMax s kartou na platby cez net kde je len pár drobných a keď potrebujem dačo zaplatiť tak tam predtým prevediem peniaze, kartu hlavného účtu nepoužívam na net nikdy. Samozrejme PayPal je pripojený na tú eMax kartu, takže prinajhoršom prídem o 1-2€, dakedy tam ani toľko nie je. A samozrejme všade kde sa dá dvojfaktorová autentifikácia cez SMS/Appku v mobile. Inšpirácia do budúcna.

Taktiež si ihneď over či sa nedá dačo vybaviť s bankou a Paypalom, možno máš v balíčku (alebo banka/Paypal budú ochotní) ochranu/poistenie proti odcudzeniu údajov a peniaze alebo ich časť ešte teoreticky môžeš získať späť.
Spoiler: ukázať
STEAM: http://steamcommunity.com/id/X-w1n9/

PC1:
Ryzen 5 7600X, Noctua NH-D14+Arctic P14 PWM PST, Gigabyte B650M Gaming X AX, 32GB DDR5 Kingston Fury Renegade RGB @ 6000/28/37/37/30, Gigabyte AORUS RX 6800XT Master 16GB, SSD Kingston Fury Renegade 1TB, Adata XPG Core Reactor 650W, BeQuiet Pure Base 500DX + 3x Arctic P14 PWM PST, LG 42OLEDC21, Gamdias Hermes P3 Brown, Logitech G400, Hifiman HE-4XX + Topping NX4DSD

PC2:
Ryzen 5 5600X, ASUS TUF Gaming B550M-PLUS WiFi, 32GB DDR4 Kingston Predator@3600/16/19/21/36, Sapphire Pulse RX6600 8GB, Toshiba XG3 1TB M.2 NVMe, Seasonic Platinum SS-660XP2, Riotoro Morpheus, ASUS VG279Q, Marvo K605, Rapture ASPIS, Superlux HD-330 + Brainwavz Sheepskin earpads, Edifier WN820NB Plus
Používateľov profilový obrázok
stiv
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 10130
Dátum registrácie: Pi 16. Nov, 2012, 21:30
Bydlisko: BT

Re: Pomoc so spyware

Príspevok od používateľa stiv »

Dobra pomoc do buducna je nestahovat spyware. Potom clovek nemusi mat ani 3FA ucty, dalsie karty a pod.
.
Používateľov profilový obrázok
wingo
Moderátor
Moderátor
Príspevky: 6167
Dátum registrácie: St 01. Sep, 2010, 20:36
Bydlisko: Podbrezová

Re: Pomoc so spyware

Príspevok od používateľa wingo »

Aj keby nesťahoval spyware, nikdy nevieš kde a ako ti môžu uniknúť heslá, v kuse chodia správy ako rôznym službám unikli heslá a málokto má pre každú službu iné heslo (aj keď minimálne pre mail a banking by mal človek mať :) ). Jednoducho prevencia je vždy ľahšia a lacnejšia.
Spoiler: ukázať
STEAM: http://steamcommunity.com/id/X-w1n9/

PC1:
Ryzen 5 7600X, Noctua NH-D14+Arctic P14 PWM PST, Gigabyte B650M Gaming X AX, 32GB DDR5 Kingston Fury Renegade RGB @ 6000/28/37/37/30, Gigabyte AORUS RX 6800XT Master 16GB, SSD Kingston Fury Renegade 1TB, Adata XPG Core Reactor 650W, BeQuiet Pure Base 500DX + 3x Arctic P14 PWM PST, LG 42OLEDC21, Gamdias Hermes P3 Brown, Logitech G400, Hifiman HE-4XX + Topping NX4DSD

PC2:
Ryzen 5 5600X, ASUS TUF Gaming B550M-PLUS WiFi, 32GB DDR4 Kingston Predator@3600/16/19/21/36, Sapphire Pulse RX6600 8GB, Toshiba XG3 1TB M.2 NVMe, Seasonic Platinum SS-660XP2, Riotoro Morpheus, ASUS VG279Q, Marvo K605, Rapture ASPIS, Superlux HD-330 + Brainwavz Sheepskin earpads, Edifier WN820NB Plus
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2330
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Pomoc so spyware

Príspevok od používateľa zoom »

A este by som doplnil, aspon obcas si skontrolovat, ci tvoj e-mail (aj stary, nepouzivany s rovnakym heslom) neskoncil niekde v nejakom leaku -- napriklad https://haveibeenpwned.com/
somvkeli
Nový používateľ
Nový používateľ
Príspevky: 4
Dátum registrácie: Po 06. Aug, 2018, 22:48

Re: Pomoc so spyware

Príspevok od používateľa somvkeli »

Ahojte, po týždni v nervoch sa vraciam.

Minulý týždeň som bol psychicky komplet mimo z toho a nebolo mi vôbec dobre tak som aspoň robil research okolo.
Podarilo sa mi nájsť daný arkei stealer ktorý som mal na rôznych stránkach na predaj, napr na www nulled bodka to (je tam komplet popis)
Čo sa stalo: útočník mal k dispozícií môj profil z chrome, každý deň vytvorené win assets(program data/assets) a na pozadí to bežalo cez proxy.
Čiže úplne jednoducho len otvoril paypal, obnovenie hesla a vytvoril si nové.
Potvrdenia o zmene paypal hesla spolu s invoices z nákupov som si našiel v koši gmailu.
Používal som malwarebytes free ktorý mi ten arkei našiel a zmazal, no až po manuálnej kontrole po tom čo som to zistil.
Čiže idem brať jednu multilicenciu malwarebytes pre celú famíliu asi. Ak viete o niečom lepšom tak poraďte :)
Heslá sú pomenené a pc je odvtedy offline.
Našťastie som v dobe stiahnutia a zistenia mal nb aj drahej pc vypnuté takže aspoň sa to nedostalo dalej cez smb.
Prebehol som to ešte avastom, frst, roguekiller, rkill, adw cleaner, mcafee stinger a všetko čo ma napadlo. +kontrola súborov cez autopsy.
Logy windowsu boli v danom období odstránené.
Už to bolo čisté.
Softy som tam dostal cez microsd karty, ešte že ich máme toľko :D
Skúsil som jednu aj preformátovať v ex-infikovanom pc a následne kuknúť cez live partition manager priamo jej data v hex a bolo to čisté, takže by to už malo byť preč.

Dáta som si potriedil, stiahol na ssd. Aspoň som mal dôvod si urobiť poriadok v junku za posledných pár rokov.
Staré disky som dal premazať na 0 a dnes to idem obnoviť a dúfam aj inštalovať win.
Btw, v dobe keď prišlo k infekcií si jeden soft žiadal o update VC++ libs ktorý si win vykonal po mojom schválení cez fondue.


Čiže by to už malo byť za mnou :)
Aký spoľahlivý AV/antimalware do budúcnosti ?

Ešte by som dodal, že 2FA mám samozrejme.
Daný spyware to svojim postupom obchádza
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2330
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Pomoc so spyware

Príspevok od používateľa zoom »

Neviem presne technicke fungovanie toho Arkei stealera, ale nemas nahodou doma v browseri ulozene heslo, pripadne zapamatany pocitac ako doveryhodny v cookies pre Paypal a ine stranky? Ak ano, tak to je celkom bezpecnostna chyba. Ja sa stale logujem do takychto veci, nikdy si nic nezapamatavam, vzdy to odo mna pyta heslo a pri prihlaseni (tj. aj pre zmenu hesla, nielen pri plateni) si Paypal ziada 2FA. Neverim nikomu a sebe len z polovice.

Malwarebytes pozna Arkei stealer uz nejaky ten mesiac, takze asi si nemal rezidentnu ochranu zapnutu (alebo moznu vo free verzii). Takze ak zhanas antivirus, tak asi uz nechces Avast :). Za mna kludne odporucam ESET. Ale inak take znacky, s ktorymi nemam skusenost, ale myslim si, ze by mohli byt OK su aj Bitdefender, Kaspersky, mozno Avira. AVG a Avast (teraz uz jedna firma) osobne nemusim. A samozrejme by som si na tvojom mieste zobral nie cisto antivirus, alebo cely balik aj s firewallom (cize napriklad Internet/Smart Security namiesto NOD32 Antivirus). Jednak ti vyskoci hlaska na novu aplikaciu, ktora sa snazi pristupovat do internetu a jednak je to dalsi layer ochrany - takze napriklad ESET (a urcite aj ine programy) rozoznava a blokuje exploity namierene cez siet proti tebe, pripadne rozoznava komunikaciu, ktoru pouzivaju napriklad botnety a identifikuje proces, ktory ju posiela.

Inak k antivirusu uz len zdravy rozum potom. Aj ked teda podla popisu toto nevyzera byt ten klasicky pripad, ze stahuje sa mi Video.exe, tak ho spustim, aby som si pozrel ten novy film na internete. Inak si veci (ovladace, programy a tak) aktualizujem sam manualne. Ziadne automaticke updatovanie kniznic. Ked nieco chce VC++ Redist, ktory nemam, stiahnem zo stranok Microsoftu a nainstalujem.

Ale myslim si, ze vsetky opatrenia, co si vykonal, by mali byt dostatocne. Opatrnejsi by som bol len s tymi ulozenymi heslami na PC, pripadne zapamatanim doveryhodneho PC.
shajek
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 4796
Dátum registrácie: Ut 12. Aug, 2008, 12:16
Bydlisko: Pravenec

Re: Pomoc so spyware

Príspevok od používateľa shajek »

Pisal si teda na PayPal?
CPU: AMD Phenom X3 720 BE 2,8 GHz @ 3,9 GHz 1,45V @@@ Phenom x4 3,6Ghz 1,375V (batch no. 0905 FPMW)CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 790XTA-UD4 RAM: 2x4GB ADATA Xtreme Series 2000 Mhz 8-7-6-15 tRC 11 CR 1T GPU: Asus EAH5850 DirectCU (985@5200MHz(1300MHz)) Monitory: 2x 24" LCD shit CRT HDD: WD 10EALS, ST Barracuda ST1000DM003 PSU:Seasonic M12II 620W 80Plus OS: Windows 7 Ultimate SP1 x64, Myš: nejaká Canyon Klávesnica : Microsoft Natural Elite, 3DMark Vantage : P16326 3DMark 06 : 21345
Používateľov profilový obrázok
shiro
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8743
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica

Re: Pomoc so spyware

Príspevok od používateľa shiro »

zoom napísal: St 15. Aug, 2018, 23:09 Neviem presne technicke fungovanie toho Arkei stealera, ale nemas nahodou doma v browseri ulozene heslo, pripadne zapamatany pocitac ako doveryhodny v cookies pre Paypal a ine stranky? Ak ano, tak to je celkom bezpecnostna chyba. Ja sa stale logujem do takychto veci, nikdy si nic nezapamatavam, vzdy to odo mna pyta heslo a pri prihlaseni (tj. aj pre zmenu hesla, nielen pri plateni) si Paypal ziada 2FA. Neverim nikomu a sebe len z polovice.
Pri 2FA nevadi mat ulozene heslo ci cookies.
Cookies su len na to, aby dany web vedel ci si tam uz bol. Ulozene heslo v prehliadaci sa ti maximalne automaticky predvyplni - hned mas v polickach login/psw a stejne musis kliknut na Login a potom potvrdit SMSku ci e-mail pri 2FA overeni.
Navyse tym, ze neklepes login/psw rucne sa vyhybas keyloggerom.
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB
somvkeli
Nový používateľ
Nový používateľ
Príspevky: 4
Dátum registrácie: Po 06. Aug, 2018, 22:48

Re: Pomoc so spyware

Príspevok od používateľa somvkeli »

Paypal a svoju banku som kontaktoval hneď, do 3 dní som mal peniaze na účte.
Našiel som v pc jeden priečinok v applocal. Boli tam súbory obsahujúce sql kód na vytváranie databáz cookies, passwords, history a pod.
Všetko to zbieralo do jedného priečinka, ktorý je prázdny a ani viacerými softami na data recovery som odtiaľ nič nevytiahol.
Pravdepodobne si všetky generované súbory priebežne premazával, ináč si to vysvetliť neviem.
Rovnako premazal aj .etl logy windowsu. Všimol som si aj nezvyčajnú aktivitu v podpriečinku Nvidia Ansel ktorá začala v čas infekcie.
Priečinok Ansel obsahoval rôzne logy, no nič zaujímavé som nevyčítal.
Mne to vyšlo tak, že presne v dobe keď som sa hral prebehol reset paypal hesla a následne nákupy.

Začínam sa učiť C++, python a assembler. Chcem sa tejto téme povenovat trocha hlbšie.
Vyskočil mi offer na online školenie "Certified Ethical Hacking Training za cenu 45usd.
Čo si o tom myslíte ?
Chcem sa niečo nové naučiť v tejto tematike, a zároveň mi to príde aj ako dobré hobby na pomaly sa blížiacu jeseň zimu.
Používateľov profilový obrázok
shiro
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8743
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica

Re: Pomoc so spyware

Príspevok od používateľa shiro »

vies vobec co je nvidia ansel? ficura nvidie na robenie screenov z hier, pricom si mozes v hernej scene lubovolne nastavovat kameru, efekty, atd.
samozrejme ze to robilo logy v dobe, ked si sa hral, ved to s tym suvisi.

Na nejake skolenia kasli, pride ti akasi reklama a? nezabudni im poslat tie $$ samozrejme vopred :-)
Ohladom virov, spywaru a ineho bordelu mas kopu infa aj v CZ/SK...prestuduj si napr. forum.viry.cz, su tam aj ludia co sa vyznaju.

Ziadne c++ vediet nemusis, ucil by si sa to mozno rok, aby si sa dostal na uroven aby to bolo nejak relevantne - reverse engineering zdrojaku, debugging, atd.
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB

Návrat na "Bezpečnost a zabezpečenie PC"