Minhas contas estão sob ataque ou já foram invadidas e eu não sei o que fazer.

Humn · 30 de janeiro

Desculpe, ficou um texto grande, eu fui escrevendo e me deixei levar.

Alguns dias atrás estava jogando quando as 14:10 PM do dia 26/01 meu aplicativo do Outlook soltou um aviso. Recebi um email oficial da Microsoft, do mesmo endereço que sempre me manda emails de segurança, falando que um novo aplicativo, chamado MineBot foi conectado a minha conta da Microsoft e tem acesso aos meus dados.

Apesar de o email confirmar que era da Microsoft mesmo desconfiei que o email era phishing e não cliquei no link do email para checar atividade. Mas mesmo assim fui correndo acessar a minha conta da Microsoft por fora do link e realmente tinha um serviço chamado MineBot listado junto com o Xbox e outros como tendo acesso a minha conta. Removi o acesso do serviço no mesmo minuto.

Fiquei me perguntando o que aconteceu, eu não acessei serviço nenhum, eu não autorizei nada. Alguém hackeou a minha conta? Minha conta Microsoft tem 2FA mas eu não recebi nenhum aviso no aplicativo, nem no meu outro email de segurança para essa conta, falando de um acesso novo.

Fui correndo olhar os dispositivos conectados, nenhum dispositivo novo conectado. Mas me surpreendi, desde 31/12/2023, até onde a Microsoft salva dados de login, tem tido múltiplas tentativas de acesso a minha conta. Todos os dias tem múltiplas tentativas de se conectar fracassadas por "senha incorreta" ou uma tentativa de sincronização de conta sem exito.

A essa altura já devem ter tentando invadir minha conta mais de 5000 vezes. Tem tentativas vindas de mais de 50 países em todo o globo. Ao que eu imagino que o invasor tem um VPN.

Mas mesmo assim, não consta nenhuma tentativa de conexão com exito além das vindas do meu próprio computador. Fiquei me perguntado como conectaram o MineBot desse jeito.

Mais tarde as 15:44 PM recebi outro email, dessa vez do Steam, dizendo que um item meu foi vendido com sucesso, quando fui ver, tinha múltiplos itens meus anunciados e não foi por min. Acessei imediatamente meu autenticador móvel do Steam e tranquei a minha conta.

Olhando pelo histórico de logins do Steam, alguém acessou a minha conta de outro estado aqui no Brasil mesmo as 3:08 AM do mesmo dia, bem antes do evento do MineBot no email. E depois usaram a minha conta no Steam pra fazer login em um site de precificação de inventários as 15:12 PM. E de novo, alguém logou na minha conta sem precisar autorizar o acesso a pelo autenticador 2FA.

O que passou na minha mente imediatamente foi, "baixei algum malware por ai".

Desconectei meu PC da internet e coloquei o Malwarebytes e o Windows Defender para fazerem varreduras. Mas nada foi encontrado na varredura do Malwarebytes nem na varredura completa do Windows Defender.

Peguei meu notebook com linux que está parado a uns 6 meses e comecei a acessar as minhas contas importantes e mudar a minha senhas. Acessei meu roteador e mudei a senha de administrador, e a senha do wifi. Meu PC está desligado desde o final das varreduras e estou usando só meu notebook.

E agora eu fico aqui me perguntando, o que eu fiz de errado pra que isso acontecesse?

Fiquei revisando o que eu baixei recentemente de suspeito e só me veio a cabeça um programa chamado WO MIC. 2 dias antes estava sem um microfone pra uma entrevista e vi sobre ele numa matéria no Tecnoblog, só chequei as reviews do App na PlayStore e me pareceu ok. Na hora que baixei e instalei o Windows Defender não acusou nada. Mas agora depois de tudo e de checar mais sobre ele na internet, existem varias denuncias que o cliente para PC possui malware.

Acho que isso responde o malware se for isso mesmo que rolou, mas não responde o 1 mês de tentativas de acessarem o meu email.

Eu sou uma pessoa bem anonima na internet, não tenho redes sociais, só um Facebook fake que nem tem o meu nome ou email, que eu só usei pra jogar FarmVille, mas que devo pontuar também foi atacado, parece que alguém tentou conectar mas foi bloqueado.

O único lugar que tenho certeza que já fiz login com o meu email fora de casa nos últimos anos foi na faculdade, já que tendo a levar meu próprio notebook por ai. Nunca sai clicando em emails suspeitos.

Nunca fiz login com a minha conta Steam em outros lugares que não no aplicativo do Steam. Eu nem tenho um inventário no Steam cobiçável, só tenho muitas cartas de jogos que eu não me importo o suficiente pra passar meu tempo vendendo. Mas agora estou com medo de roubarem a minha conta e eu perder os meus jogos.

Mesmo agora as tentativas de acesso ao meu email continuam, a cada 5 min uma tentativa nova de quebrar a minha senha acontece. E tenho que admitir estou bem assustado que alguém acabe roubando meu email.

Tenho esse email a 14 anos, não tem nada de muito importante salvo no One Drive ou nas mensagens dele, mas toda minha vida é associada a ele, meu trabalho, meu mestrado, quase todas as contas que já criei em sites por ai, ele é a informação de contato que deixei em vários lugares.

Não sei o fazer mais pra assegurar as minhas contas. Eu simplesmente deixo como está o email? Espero que no dia que o cara quebre a minha senha o autenticador 2FA impeça ele?

Eu também tenho uma conta no Firefox onde salvo as senhas de coisas não importantes, tipo a senha desse Facebook. As senhas importantes, do email, do Steam, do Gov.br por exemplo estão só na minha cabeça. Mas se foi um malware mesmo devo me preocupar que talvez todas as minhas senhas salvas lá tenham sido roubadas? Já que o Firefox guarda as senhas em um arquivo .json disponível na maquina.

Sobre os documentos atualmente no meu PC, é seguro conectar o SSD principal dele no meu note linux e recuperar eles? Tenho algumas artes e trabalhos pessoais em andamento que dariam uma dor de cabeça fazer do inicio salvos lá.

Nickolas_K_C · 5 de fevereiro

Passei por uma situação semelhante anos atras, deixei meu relato no post, e hoje aconteceu um ocorrido:

Na época eu resolvi formatando meu pc do zero, trocando todas as senhas de todas as minhas redes, utilizando uma senha única para cada uma e habilitando a verificação em 2 fatores nas que eu consegui. O Karspersky Password Manager te ajuda bastante nesse sentido, e os planos deles estão bem bons, vem inclusive com uma VPN maneira, da uma olhadinha.

Vou te sugerir escanear seu computador com os seguintes: adwcleaner, RogueKiller, ZHPCleaner, NPE (Norton Power Eraser) e o KVRT (Karspersky Virus Total Remover). Após isso, edite seu post e poste os logs aqui que essas varreduras forneceram, para o pessoal do fórum poder te ajudar melhor.

Esse post tem um passo a passo caso surjam dúvidas:

Tamo junto na luta contra essas invasões absurdas amigo! Acho que o que mais nos abala, no final das contas, é a nossa confiança em voltar a navegar com segurança, essas coisas mexem com a cabeça.

Humn · 11 de fevereiro

cliquei em comentar sem querer, não terminei de escrever tudo, perai...

Humn · 11 de fevereiro

Eu tive que formatar meu PC, por isso não consegui passar os programas no sistema antigo.

Depois de ligar ele de novo depois de uns dias desligado, eu tive um problema onde não aparecia a opção de fazer login mais, eu ligava ele, aparecia a tela de bloqueio do Windows 11, mas depois de clicar, subia a tela e onde deveria ficar o campo de por a senha estava vazio. Sem nome da conta, sem onde por a senha.

Tentei reiniciar, tentei reparar o Windows e nada. Nos foruns da Microsoft a unica recomendação pra problemas similares era reinstalar o Windows, então optei por formatar tudo e fazer uma instalação nova logo.

Dia 02/02 dei um flash no BIOS do PC, fomatei os drivers varias vezes, pelo instalador do Derbian, depois formatei de novo pelo instalador do Windows 11 e instalei um sistema novo sem nenhum dos arquivos do anterior.

Assinei o Karspersky Premium e estou usando o anti vírus.

Sobre as tentativas de login no email eu troquei o alias da minha conta de email pra outro, ai se tentam usam o email antigo pra fazer login, aparece que a conta não existe. As tentativas pararam por ali.

Não tenho certeza quanto a segurança da minha Steam ainda, apareceu no histórico de logins, acessos vindo de outras 2 cidades a 100 Km da minha, mas por serem localidades "proximas", não sei se não é algo relacionado ao ISP.

No dia 26/01 a localidade de login na hora da invasão foi a +3000 Km de min, o que realmente soa alarmes, mas agora não sei. Mantenho meu inventário bloqueado até ter certeza.

Seguem em anexo os resultados dos scans com os programas que você recomendou. Não sei se fiz direito.

O único programa que apontou algo foi o ZHPCleaner, durante o scan eu recebi um pop up perguntando "Have you installed this server? 181.213.132.2 181.213.132.3". E eu respondi não, porque acho que não, não sei bem do que se trata.