Facebook logowanie - dziwne dane login
#1
Hej,

mam dziwny problem. Otóż na stronie logowania do Facebooka w polu "Adres e-mail lub numer telefonu" mam do wyboru kilka adresów e-mail w tym jakieś dziwne, w sensie nie moje...

Korzystam z przeglądarki Chrome, mam pełną synchronizację, więc te adresy widoczne są na każdym komputerze.

Sprawdziłem ustawienia bezpieczeństwa Google:
- Google Device Activity - mam tu tylko swoje komputery, 2 prywatne, 1 służbowy, telefon i stary komputer (już po formacie - usunięty),
- Google Permissions - aplikacje które mają dostęp do konta - tu wszystko OK,
- ostatnie logowania IP - jest OK.

Ze strony FB na PC korzystam rzadko, w większości przypadków odwiedzam ją w telefonie, gdzie jestem na stałę zalogowany i mam ikonę/skrót na ekranie. O tej sprawie zorientowałem się dopiero w tym tygodniu, logując się na stronie na kamputerze, patrzę a tam takie kwiatki... Zadnego z tych kont nie kojarzę, nie są to moje adresy. Nik nie korzysta z mojego profilu na Chrome, żona ma osobny i nikt obcy nie korzysta z naszych komputerów (służbowy też jest tylko mój). 
Nie tak dawno robiłem porządki w Chrome, usuwałem wszystkie ciasteczka i dodałem  rozszerzenie CookieAutoDelete. Na FB ciasteczka usuwają się po zamknięciu strony. Ponieważ adresy pochodzą z domeny o2 sprawdziłem jeszcze stronę poczty o2, ale tam w polu "adres e-mail" nie ma tych adresów.

Co mogę jeszcze sprawdzić na komputerze?
Wszystkie komputery to Windows (2x W7/ 1x W10), zabezpieczone raczej OK - "95% zdrowy rozsądek" (w kwestii softu służbowy kuleje, ale nic na to nie poradzę...).

Zabezpieczenia na prywatnym (tu opisane):
użytkownik zwykły,
MBAM Premium,
AppGuard,
NVTERP,
HostsMan,
Hard Configurator,
Chrome - uBlock Origin, Cookie AutoDelete.

Podjęte działania:
- skan MBAM,
- skan na żądanie HitManPro,
czysto.

Logi:
FRST - http://www.wklej.org/hash/388a098ed93/
Addition - http://www.wklej.org/id/3383286/
Shortcut - http://www.wklej.org/hash/7c2cf81a467/


Czy mieliście taki przypadek? Co robić?
Skasować loginy i zapomnieć?

Zakładam temat w Dziale "pomoc po zainfekowaniu" gdyż to chyba najbliżej tej tematyki... Jeżeli nie, to proszę przenieść temat do odpowiedniego Działu.


R.
Odpowiedz
#2
Zapomniałeś o jednym programie , który mógłby uchronić przed atakiem hakerskim - czyli o zaporze (ja mam od PC Tools)
Jeżeli problem by się znów pojawił - malware defender , on zapisuje wszystkie IP które przychodzą do kompa jak i wychodzą - więc po IP byś się domyślił który ...
Odpowiedz
#3
oraz kopia zapasowa Grin

Wracając do tematu to myślę że kluczowa myśl jest w tym e korzystasz z pełnej synchronizacji..
może ktoś korzystał z jednych kompów gdzie sam masz połączoną synchronizacje i stąd te adresy.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#4
(12.03.2018, 14:09)Quassar napisał(a): może ktoś korzystał z jednych kompów gdzie sam masz połączoną synchronizacje i stąd te adresy.

Podbijam, nie ma szansy, że ktoś po prostu 'pożyczył' Twoją maszynę i zalogował się na kilka minut, jak wyszedłeś na krótki spacer? To najprostsze rozwiązanie zagadki. Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#5
Przed wykonaniem wyłącz zabezpieczenia jakie posiadasz.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s
CMD: sc query Winmgmt
CMD: winmgmt /salvagerepository
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz
#6
(13.03.2018, 20:56)tachion napisał(a): Przed wykonaniem wyłącz zabezpieczenia jakie posiadasz.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s
CMD: sc query Winmgmt
CMD: winmgmt /salvagerepository
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Oto treść pliku fixlog.txt. Nie było restartu systemu na koniec.


Co do pozostałych propozycji:
- FireWall - korzystam z domyślnego FW na Windows 10,
- kopia zapasowa - dla systemu utworzony obraz narzędziem systemowym, zaraz po konfiguracji zabezpieczeń (obraz na innej partycji i płyta CD/DVD do rozruchu),
- kopia dokumentów - dwa osobne dyski jako NAS, dwa osobne dyski na USB, co około miesiąc synchronizacja wszystkiego FreeFileSync.

Problem jest taki, że nikt obcy nie ma dostępu do moich komputerów. A te loginy są zupełnie obce. Korzystam fizycznie tylko z 3 komputerów, na których mam swojego Chrome. Na razie chyba tylko usunę te wpisy i zobaczę, czy wrócą.
Odpowiedz
#7
Tak bez restartu bo nie był wymagany, chciałem sprawdzić tylko usługę WMI.

Tak poza tym jest wszystko ok.
Odpowiedz
#8
Bardzo dziękuje za pomoc.

Dziś sprawdziłem stronę FB, i o dziwo obce adresy zniknęły... :/
Dziwne.
Odpowiedz
#9
@rafi84tek Dla dodatkowego bezpieczeństwa możesz skorzystać z funkcji 2FA po przez aplikacje authy.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości