SafeGroup
Facebook logowanie - dziwne dane login - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Facebook logowanie - dziwne dane login (/thread-11380.html)



Facebook logowanie - dziwne dane login - rafi84tek - 11.03.2018

Hej,

mam dziwny problem. Otóż na

[Aby zobaczyć linki, zarejestruj się tutaj]

w polu "Adres e-mail lub numer telefonu" mam do wyboru kilka adresów e-mail w tym jakieś dziwne, w sensie nie moje...

Korzystam z przeglądarki Chrome, mam pełną synchronizację, więc te adresy widoczne są na każdym komputerze.

Sprawdziłem ustawienia bezpieczeństwa Google:
-

[Aby zobaczyć linki, zarejestruj się tutaj]

- mam tu tylko swoje komputery, 2 prywatne, 1 służbowy, telefon i stary komputer (już po formacie - usunięty),
-

[Aby zobaczyć linki, zarejestruj się tutaj]

- aplikacje które mają dostęp do konta - tu wszystko OK,
- ostatnie logowania IP - jest OK.

Ze strony FB na PC korzystam rzadko, w większości przypadków odwiedzam ją w telefonie, gdzie jestem na stałę zalogowany i mam ikonę/skrót na ekranie. O tej sprawie zorientowałem się dopiero w tym tygodniu, logując się na stronie na kamputerze, patrzę a tam takie kwiatki... Zadnego z tych kont nie kojarzę, nie są to moje adresy. Nik nie korzysta z mojego profilu na Chrome, żona ma osobny i nikt obcy nie korzysta z naszych komputerów (służbowy też jest tylko mój). 
Nie tak dawno robiłem porządki w Chrome, usuwałem wszystkie ciasteczka i dodałem  rozszerzenie CookieAutoDelete. Na FB ciasteczka usuwają się po zamknięciu strony. Ponieważ adresy pochodzą z domeny o2 sprawdziłem jeszcze stronę poczty o2, ale tam w polu "adres e-mail" nie ma tych adresów.

Co mogę jeszcze sprawdzić na komputerze?
Wszystkie komputery to Windows (2x W7/ 1x W10), zabezpieczone raczej OK - "95% zdrowy rozsądek" (w kwestii softu służbowy kuleje, ale nic na to nie poradzę...).

Zabezpieczenia na prywatnym (

[Aby zobaczyć linki, zarejestruj się tutaj]

):

użytkownik zwykły,
MBAM Premium,
AppGuard,
NVTERP,
HostsMan,
Hard Configurator,
Chrome - uBlock Origin, Cookie AutoDelete.

Podjęte działania:
- skan MBAM,
- skan na żądanie HitManPro,
czysto.

Logi:
FRST -

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition -

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut -

[Aby zobaczyć linki, zarejestruj się tutaj]



Czy mieliście taki przypadek? Co robić?
Skasować loginy i zapomnieć?

Zakładam temat w Dziale "pomoc po zainfekowaniu" gdyż to chyba najbliżej tej tematyki... Jeżeli nie, to proszę przenieść temat do odpowiedniego Działu.


R.


RE: Facebook logowanie - dziwne dane login - Tibu 11 - 12.03.2018

Zapomniałeś o jednym programie , który mógłby uchronić przed atakiem hakerskim - czyli o zaporze (ja mam od PC Tools)
Jeżeli problem by się znów pojawił - malware defender , on zapisuje wszystkie IP które przychodzą do kompa jak i wychodzą - więc po IP byś się domyślił który ...


RE: Facebook logowanie - dziwne dane login - Quassar - 12.03.2018

oraz kopia zapasowa Grin

Wracając do tematu to myślę że kluczowa myśl jest w tym e korzystasz z pełnej synchronizacji..
może ktoś korzystał z jednych kompów gdzie sam masz połączoną synchronizacje i stąd te adresy.


RE: Facebook logowanie - dziwne dane login - M'cin - 13.03.2018

(12.03.2018, 14:09)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

może ktoś korzystał z jednych kompów gdzie sam masz połączoną synchronizacje i stąd te adresy.

Podbijam, nie ma szansy, że ktoś po prostu 'pożyczył' Twoją maszynę i zalogował się na kilka minut, jak wyszedłeś na krótki spacer? To najprostsze rozwiązanie zagadki. Smile


RE: Facebook logowanie - dziwne dane login - tachion - 13.03.2018

Przed wykonaniem wyłącz zabezpieczenia jakie posiadasz.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s
CMD: sc query Winmgmt
CMD: winmgmt /salvagerepository
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.


RE: Facebook logowanie - dziwne dane login - rafi84tek - 17.03.2018

(13.03.2018, 20:56)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Przed wykonaniem wyłącz zabezpieczenia jakie posiadasz.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s
CMD: sc query Winmgmt
CMD: winmgmt /salvagerepository
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Oto

[Aby zobaczyć linki, zarejestruj się tutaj]

. Nie było restartu systemu na koniec.


Co do pozostałych propozycji:
- FireWall - korzystam z domyślnego FW na Windows 10,
- kopia zapasowa - dla systemu utworzony obraz narzędziem systemowym, zaraz po konfiguracji zabezpieczeń (obraz na innej partycji i płyta CD/DVD do rozruchu),
- kopia dokumentów - dwa osobne dyski jako NAS, dwa osobne dyski na USB, co około miesiąc synchronizacja wszystkiego FreeFileSync.

Problem jest taki, że nikt obcy nie ma dostępu do moich komputerów. A te loginy są zupełnie obce. Korzystam fizycznie tylko z 3 komputerów, na których mam swojego Chrome. Na razie chyba tylko usunę te wpisy i zobaczę, czy wrócą.


RE: Facebook logowanie - dziwne dane login - tachion - 18.03.2018

Tak bez restartu bo nie był wymagany, chciałem sprawdzić tylko usługę WMI.

Tak poza tym jest wszystko ok.


RE: Facebook logowanie - dziwne dane login - rafi84tek - 03.04.2018

Bardzo dziękuje za pomoc.

Dziś sprawdziłem stronę FB, i o dziwo obce adresy zniknęły... :/
Dziwne.


RE: Facebook logowanie - dziwne dane login - Quassar - 03.04.2018

@rafi84tek Dla dodatkowego bezpieczeństwa możesz skorzystać z funkcji 2FA po przez aplikacje authy.