Hacknutý PayPal - problém v PC ?

[kpaitanmorgan]

Ahoj,

Nemilá věc se mi asi před měsícem stala - okolo jedné hod. ráno mi začaly chodit notif. emaily, že si někdo z mého PayPalu posílá peníze na nějaký ruský účet (jednalo se o několik menších částek od 5 do 10 USD).

Vrtá mi hlavou jak se to mohlo stát - heslo na PayPal mělo 11 znaků vč. českých a bylo to něco co se dalo prolomit jen bruteforce útokem, v žádném slovníku to na 99% být nemohlo.

K PayPalu se připojuji pouze přes PC kde mám vše legální (a přiznávám, že jsem si po letech stáhnul cracknutou hru, ale asi měsíc předtím a z ověřeného zdroje a pak jsem si ji koupil) a z pracovního laptopu, ale ten je tak zabezpečený až mně to někdy se*e, tam určitě problém být nemohl... Na log z RSIT jsem koukal ale nic mně tam do očí nepraštilo, ale i přesto bych vás poprosil o prověření.

Jinak nic nestandardního nepozoruji...

Předem děkuji.

Log z RSIT nešel vložit z důvodu omezení počtu znaků, tak posílám odkaz na stažení: http://leteckaposta.cz/722854801

[Rudy]

Zdravím!
Spusťte tuto utilitu:

Stáhněte AdwCleaner https://toolslib.net/downloads/viewdown ... dwcleaner/
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan<(hledání) a pak na >Clean< (mazání).
Proběhne skenováni a pak se objeví log, který sem vložte.

[kpaitanmorgan]

Díky. Zde je log:

# AdwCleaner 7.0.6.0 - Logfile created on Sun Dec 24 11:27:48 2017
# Updated on 2017/21/12 by Malwarebytes
# Running on Windows 10 Pro (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

No malicious folders deleted.

***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

No malicious registry entries deleted.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [944 B] - [2017/12/24 11:26:52]


########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########

[Rudy]

Toto je OK. Teď dejte log FRST: https://forum.viry.cz/viewtopic.php?f=13&t=152707 .

[kpaitanmorgan]

FRST.txt

http://leteckaposta.cz/330944403

[Rudy]

Otevřte poznámkový blok a zkopírujte do něj:

Start
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-09-05] (Oracle Corporation)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction <==== ATTENTION
U3 idsvc; no ImagePath
C:\Users\admin\AppData\Local\Temp

EmptyTemp:
End

Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

[kpaitanmorgan]

Před tímto krokem by se hodilo upozornění, že zruší všechny záložky v Chrome, ještěže používám TabCloud...

Fix result of Farbar Recovery Scan Tool (x64) Version: 23-12-2017 01
Ran by admin (25-12-2017 23:09:23) Run:1
Running from C:\Users\admin\Desktop
Loaded Profiles: admin (Available Profiles: admin)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-09-05] (Oracle Corporation)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction <==== ATTENTION
U3 idsvc; no ImagePath
C:\Users\admin\AppData\Local\Temp

EmptyTemp:
End
*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched => value removed successfully
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => key could not remove, key could be protected
C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully
C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully
"HKLM\System\CurrentControlSet\Services\idsvc" => removed successfully
idsvc => service removed successfully

"C:\Users\admin\AppData\Local\Temp" folder move:

Could not move "C:\Users\admin\AppData\Local\Temp" => Scheduled to move on reboot.


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9429834 B
Java, Flash, Steam htmlcache => 16065522 B
Windows/system/drivers => 561178 B
Edge => 14886878 B
Chrome => 994745851 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 885990 B
admin => 117602495 B

RecycleBin => 110834952 B
EmptyTemp: => 1.2 GB temporary data Removed.

================================

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 25-12-2017 23:12:11)

C:\Users\admin\AppData\Local\Temp => moved successfully

Result of scheduled keys to remove after reboot:

"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => removed successfully

==== End of Fixlog 23:12:11 ====

[Rudy]

Díky za upozornění. Chrome nepoužívám, tekže to nevím. Smazáno, log je již OK. Nic zvláštního jsem nenalezl. Ještě bych doporučil kompletní sken MBAM: http://www.malwarebytes.org/mbam.php . Dejte log, předem nic nemažte.