Tentativas de Login no Email

[Synysterr160]

Bom , não sei se é a sessão certa, sintam-se a vontade para mover qualquer coisa.

Há umas 2 semanas baixei um programa de VPN para acessar a Steam Turquia, que eu me lembre foi a única coisa diferente que fiz. 

Nessas 2 semanas, estava tendo varios emails de tentativa de acesso, tenho 2 e-mails que uso para tudo que tenho relacionado a internet.

Me preocupou 1 semana atrás, quando vi pesquisas e vídeos vistos no youtube, coisas no histórico que não fui eu, relacionados a hacks de jogos , valorant etc. ( Eu não jogo isso ). 

Troquei a senha do youtube, dos 2 e-mails e ativei a autenticação de 2 fatores. Ainda assim venho recebendo que minha conta foi logada em tal lugar. 

Logava na minha steam via navegador, mesmo tendo autenticação em 2 fatores, alguém logou na minha conta sem ativar essa  autenticação, e roubou o dinheiro que eu tinha na carteira ( coisa de 80 reais). Mudei mais uma vez a senha de tudo que podia, logo em vão.

Hoje, fui logar numa conta de mmorpg que jogo desde 2009, e deu senha inválida, ela também possui autenticação 2 fatores. 

Tentei recuperar via e-mail e vi que o autor removeu o e-mail da conta, abri minha caixa de spam e vi que la tinha um pedido de remoção do autenticador as 7h da manhã, que não me notificou também. 

Estou um pouco desesperado, minha última cartada seria formatar o PC, criar um novo e-mail e trocar todas as contas que ainda tenho acesso para esse novo. Não sei mais o que fazer, estou perdendo conta por conta.

[Lusitano]

@Synysterr160 Olá, providencie o resultado das análises solicitadas nesse tópico:

 

[Synysterr160]

Addition.txtFRST.txtAdwCleaner[S00].txt

[Lusitano]

@Synysterr160 Tem de retirar todos os produtos ilegais e que violam a lei e as regras do clube:

Citação

1 - Qualquer conteúdo que viole o ordenamento jurídico da República Federativa do Brasil. Caso seja constatada a prática de qualquer conduta ilegal, os autores poderão ser identificados e denunciados às autoridades competentes.

 

2 - Conteúdos relacionados à pirataria ou que violem, de qualquer forma, direitos autorais, contratuais e/ou de propriedade intelectual/industrial. É expressamente proibida a discussão e/ou criação de tópicos relacionados a torrents, P2P e programas similares para o compartilhamento de arquivos ou streaming, independentemente da forma de expressão utilizada.

 

[Synysterr160]

Perdão! Assim que estiver em casa retiro tudo. Preciso refazer os testes e postar de novo?

[Synysterr160]

Estou re-anexando os logs pedidos. 

Retirei tudo que, no meu conhecimento era ilícito, se ainda conter algo do tipo, peço ajuda para identificar e retirar manualmente, obrigado!

FRST.txtAddition.txtAdwCleaner[S00].txt

[Lusitano]

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrição <==== ATENÇÃO
HKU\S-1-5-21-1334273653-507725005-2384971389-1001\...\Run: [ASRock A-Tuning] => [X]
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X]
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]
CustomCLSID: HKU\S-1-5-21-1334273653-507725005-2384971389-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Lucas\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-1334273653-507725005-2384971389-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Lucas\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-1334273653-507725005-2384971389-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Lucas\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Nenhum Arquivo
FirewallRules: [{E173B0C6-3B3F-488A-A2D1-95EC1616815A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Nenhum Arquivo
FirewallRules: [{5BC2A7EE-E11A-4873-AE5D-F194667F72E7}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Nenhum Arquivo
FirewallRules: [{AF69786D-A3DB-4C35-9890-4FBC5FEF9197}] => (Allow) D:\Steam\steamapps\common\ShadowOfMordor\x64\ShadowOfMordor.exe => Nenhum Arquivo
FirewallRules: [{5EEBB5A2-75AF-4331-B604-F34093A7E482}] => (Allow) D:\Steam\steamapps\common\ShadowOfMordor\x64\ShadowOfMordor.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{175F3F3E-B600-4AF5-B970-0AD6BC2A0C85}E:\dragon ball fighterz\red\binaries\win64\red-win64-shipping.exe] => (Allow) E:\dragon ball fighterz\red\binaries\win64\red-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{ED6D84C6-E8D3-4A76-94DB-20D04203C2B8}E:\dragon ball fighterz\red\binaries\win64\red-win64-shipping.exe] => (Allow) E:\dragon ball fighterz\red\binaries\win64\red-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{2423E374-12C4-42B9-A91D-A58A6D651F9E}E:\fifa 19\fifa19.exe] => (Allow) E:\fifa 19\fifa19.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{A2929CEA-F607-4DC4-8004-6F635A1F0915}E:\fifa 19\fifa19.exe] => (Allow) E:\fifa 19\fifa19.exe => Nenhum Arquivo
FirewallRules: [{6A44E63C-651C-4B55-B3DF-B5C66048B2BE}] => (Allow) C:\Windows\[email protected] => Nenhum Arquivo
FirewallRules: [{EE23D783-80B4-42BB-BF82-127C7934AD76}] => (Allow) C:\Windows\[email protected] => Nenhum Arquivo
FirewallRules: [TCP Query User{C937296A-E031-4E80-AF8E-17A743C2DD97}C:\program files (x86)\fifa19\fifa19.exe] => (Allow) C:\program files (x86)\fifa19\fifa19.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{53A0003D-5060-4A81-9778-E93418E0D0F5}C:\program files (x86)\fifa19\fifa19.exe] => (Allow) C:\program files (x86)\fifa19\fifa19.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{802E9133-59E2-446E-BBF8-18D37826BB4C}E:\nba 2k23\nba2k23.exe] => (Allow) E:\nba 2k23\nba2k23.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E5BC3257-72F5-4133-9891-08C17CD2817C}E:\nba 2k23\nba2k23.exe] => (Allow) E:\nba 2k23\nba2k23.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{47E7940B-F2F8-4453-8038-3745414C2122}E:\dragon ball fighterz\red\binaries\win64\dragonball fighter z.exe] => (Allow) E:\dragon ball fighterz\red\binaries\win64\dragonball fighter z.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{821B0296-5760-441F-88BF-880B32E84894}E:\dragon ball fighterz\red\binaries\win64\dragonball fighter z.exe] => (Allow) E:\dragon ball fighterz\red\binaries\win64\dragonball fighter z.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{F9ACEB62-25D3-4C9A-998F-AEBEA9E19FDC}G:\jogos\gang.beasts.v12.02.2020\gang beasts.exe] => (Allow) G:\jogos\gang.beasts.v12.02.2020\gang beasts.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{753C69AD-8045-45B0-9974-F6A32400BF5D}G:\jogos\gang.beasts.v12.02.2020\gang beasts.exe] => (Allow) G:\jogos\gang.beasts.v12.02.2020\gang beasts.exe => Nenhum Arquivo
FirewallRules: [{CB84A68A-E573-4C0C-8810-126F47E1D63E}] => (Block) G:\jogos\gang.beasts.v12.02.2020\gang beasts.exe => Nenhum Arquivo
FirewallRules: [{379D1230-09C5-43F7-8A16-0B2DA41461E3}] => (Block) G:\jogos\gang.beasts.v12.02.2020\gang beasts.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{C42AFF4C-EF05-4A30-8DD1-8B406AA7155D}E:\microsoft flight simulator 2020\flightsimulator.exe] => (Allow) E:\microsoft flight simulator 2020\flightsimulator.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{495CC64C-7EB2-488B-97DD-366C6D925432}E:\microsoft flight simulator 2020\flightsimulator.exe] => (Allow) E:\microsoft flight simulator 2020\flightsimulator.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{6948E493-BE3F-42BE-AF0A-4B7A04425D7A}C:\users\lucas\desktop\crackeadoprogramas.com_malwarebytes crackeado premium gratis download 2022 pt-br\licensemalwarebytes.exe] => (Allow) C:\users\lucas\desktop\crackeadoprogramas.com_malwarebytes crackeado premium gratis download 2022 pt-br\licensemalwarebytes.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{8DFC971B-276A-4D8C-BEBD-178596764D31}C:\users\lucas\desktop\crackeadoprogramas.com_malwarebytes crackeado premium gratis download 2022 pt-br\licensemalwarebytes.exe] => (Allow) C:\users\lucas\desktop\crackeadoprogramas.com_malwarebytes crackeado premium gratis download 2022 pt-br\licensemalwarebytes.exe => Nenhum Arquivo
StartBatch:
cd \
cd %windir%\system32
net stop bits
net stop cryptSvc
net stop wuauserv
net stop msiserver
del /s /q C:\Windows\SoftwareDistribution\download\*.*
Del /s /q "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat"
Ren %systemroot%\system32\catroot2 catroot2.bak
fsutil resource setautoreset true %SystemDrive%\
attrib -r -s -h %SystemRoot%\System32\Config\TxR\*
del /s /q %SystemRoot%\System32\Config\TxR\*
attrib -r -s -h %SystemRoot%\System32\SMI\Store\Machine\*
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.tm*
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.blf
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.regtrans-ms
WMIC SERVICE WHERE Name="cryptSvc" set startmode="auto"
net start cryptSvc
net start bits
net start wuauserv
net start msiserver
Endbatch:

StartRegedit:
Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=-
"DisableOnAccessProtection"=-
"DisableScanOnRealtimeEnable"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000
"DisableAntiVirus"=dword:00000000
"PUAProtection"=dword:00000001

EndRegedit:

StartBatch:
  pushd\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit.exe /timeout 4
  bcdedit.exe /enum
  DISM.exe /Online /Cleanup-image /Restorehealth
  sfc /scannow
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
  del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
  del /s /q "%userprofile%\AppData\Local\Temp\*.js"
  del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
  del /s /q "%userprofile%\AppData\Local\Temp\*.html"
  del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
Endbatch:

StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
 :eof
EndBatch:

StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:

startpowershell:
# Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
# Remove all exclusions on MS Windefend
    Write-Output "Removing all exclusions on MS Windefend antivirus"
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
EndPowerShell:
startpowershell:
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Reset and check Secure Health status
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
# Check if these services are running
Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
EndPowerShell:

startpowershell:
    Write-Output "updating"
    Update-MpSignature
    Write-Output "scanning"
    Start-MpScan -ScanType QuickScan
    Remove-MpThreat
EndPowerShell:

C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
cmd: del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\0suprm9m.default\cache2\*.*"

CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth

CreateRestorePoint:
startbatch:
sc queryex wscsvc
sc queryex securityhealthservice
sc queryex windefend
sc queryex mpsdrv
sc queryex wdnissrv
endbatch:

Reboot:
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Synysterr160]

Fixlog.txt

Segue o Anexo. 

Acabei de alterar minhas senhas, vou esperar o resto do dia para ver se chegará alguma mensagem de login incomum como antes (volto para dar o feedback).

 

Eu suspeitava que a pessoa estava logando nas minhas contas através dos cookies, pois não acionava o login em 2 fatores, espero que agora dê certo.

 

Edit: Troquei as senhas, desconectei todos os dispositivos conectados a ela e, no minuto seguinte, apareceu um ''unusual sign-in activity'', de Tawian.

[Lusitano]

 

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[Synysterr160]

ESETScan.txt

 

Detalhe: Troquei as senhas novamente, dessa vez usando um outro navegador e, janela anônima como precaução. Sem acessos por enquanto.

[Lusitano]

Olá, a varredura no Eset detetou e eliminou algumas coisas que não apareciam nas análises anteriores.

Vamos manter este tópico por mais uns dois dias e fique atento para ver se algo de estranho acontece no seu pc. Depois, por gentileza retorne aqui ao tópico e me atualize como as coisas vão.

 

abraço

[Synysterr160]

Ola! 

Está tudo normalizado até então, 2 dias sem mais problemas. 

Agradeço sua ajuda e seu tempo disponibilizado.

[Lusitano]

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.