Afgelopen vrijdag 8-10 heb ik in een dom, onbewaakt moment, op een stuk foute software geklikt. Ondanks dat ik zaken als MalwareBytes en Windows Defender gewoon aan heb staan, ging het toch goed mis:
- allerlei kleine $%#124541.exe bestandjes gedownload
- (poging tot) downloaden chrome / Edge extensies
- poging tot installeren overige software
- allerlei .scr bestandjes met malware in appdata\local
- Chrome en Edge kwamen in een 'managed by you organisation' staat terecht. Dit leek mij erop te duiden dat ze allerlei settings wilden aanpassen.
Uiteraard netwerk kabel eraf, meerdere scans gedaan, stuff opgeruimd, Registry keys verwijderd, maar het mocht niet baten. Telkens bij opstarten gingen Chrome en Edge weer foute files downloaden, die defender dan wel weer afving maar je werd er niet blij van. Dus in armoe maar mijn pc opnieuw geinstalleerd op vrijdag in de middag.
Dit leek allemaal weer OK, echter zijn er toch wat enge dingen naar voren gekomen waar ik onderhand niet meer snap of ik nou veilig ben of niet:
- Mijn *moeder* kreeg van 8-10 FaceBook een mailtje dat haar advertenties waren afgewezen. Ze probeert wat eigen marketing voor haar bedrijfje te doen, maar wij doen dat via MailChimp en niet direct op Facebook marketing. Echter zag ik daar gisteren, op het inmiddels geblokkeerde ad-account, een ad staan van dubieuze oorsprong, a 2500E per dag. Ik werk vanaf mijn pc wel op haar Gmail van haar bedrijf en daar zat ik ook op ingelogd toen het misging. En mailchimp gebruikt ook dat Gmail adres, maar dat is een losse login met een ander password en niet via google. In Mailchimp stonden ook geen nieuwe advertenties.
- Ik kreeg za 9-10 een alert van mijn google account dat er toegang was geweest door een Verdachte App. Ze zeggen dan natuurlijk niet wat, dus dat hielp niet. Maar inderdaad, via de recente toegang zag ik dat er op 8-10 toegang was geweest uit resp. de US, Ukraine en Rusland.
Idem dito bij de Gmail van mijn moeder haar bedrijf: zelfde locaties.
- En vanochtend 11-10 een mailtje in het Russisch van Google ads, wat er op leek te duiden dat ik door mocht gaan met het aanmaken van mijn Google Ads account. Deze account was idd aangemaakt maar zo te zien nog niet bevestigd, dus via Google Ads maar op delete gedrukt.
Uiteraard passwords voor mijn eigen Gmail en die van mijn ma vrijdag al gewijzigd. En 2FA staat aan, ook geen rare prompts gekregen......
Dus mijn vraag is nu: denken jullie dat het nu veilig is? In mijn account zie ik sinds die activiteit uit Rusland op de 8e, geen nieuwe dingen meer behalve mezelf. Mijn pc is ook al 3 dagen schoon (echt 27x gescand met Malwarbytes, Avast en Kaspersky). Maar ik vind het zo gek dat die Google Alert, en daarna die Ads mail pas kwamen ruim nadat ik mijn passwords had gewijzigd.
- Kan hier een vertraging in zitten tussen dat het gebeurt en de alert? Dat er dus inderdaad kort toegang is geweest tot ik op 8-10 in de avond (toen de pc al reinstalled was) beiden passwords heb gewijzigd, maar dat die detectie / flagging van google pas op 9-10 die conclusie trok?
- Is het uberhaupt mogelijk dat een stukje malware op mijn ma haar FaceBook een ad aanmaakt, puur met kennis van haar e-mail, hoewel ik geen password van haar facebook heb opgeslagen en er ook geen koppeling is met die Gmail....?
- Wat houdt Russen tegen om nogmaals zo'n add account proberen aan te maken? Want ik heb het zelf ook ff geprobeerd en je kan gewoon de eerste stap doen zonder in te loggen: Gewoon email ingeven en klaar....
- allerlei kleine $%#124541.exe bestandjes gedownload
- (poging tot) downloaden chrome / Edge extensies
- poging tot installeren overige software
- allerlei .scr bestandjes met malware in appdata\local
- Chrome en Edge kwamen in een 'managed by you organisation' staat terecht. Dit leek mij erop te duiden dat ze allerlei settings wilden aanpassen.
Uiteraard netwerk kabel eraf, meerdere scans gedaan, stuff opgeruimd, Registry keys verwijderd, maar het mocht niet baten. Telkens bij opstarten gingen Chrome en Edge weer foute files downloaden, die defender dan wel weer afving maar je werd er niet blij van. Dus in armoe maar mijn pc opnieuw geinstalleerd op vrijdag in de middag.
Dit leek allemaal weer OK, echter zijn er toch wat enge dingen naar voren gekomen waar ik onderhand niet meer snap of ik nou veilig ben of niet:
- Mijn *moeder* kreeg van 8-10 FaceBook een mailtje dat haar advertenties waren afgewezen. Ze probeert wat eigen marketing voor haar bedrijfje te doen, maar wij doen dat via MailChimp en niet direct op Facebook marketing. Echter zag ik daar gisteren, op het inmiddels geblokkeerde ad-account, een ad staan van dubieuze oorsprong, a 2500E per dag. Ik werk vanaf mijn pc wel op haar Gmail van haar bedrijf en daar zat ik ook op ingelogd toen het misging. En mailchimp gebruikt ook dat Gmail adres, maar dat is een losse login met een ander password en niet via google. In Mailchimp stonden ook geen nieuwe advertenties.
- Ik kreeg za 9-10 een alert van mijn google account dat er toegang was geweest door een Verdachte App. Ze zeggen dan natuurlijk niet wat, dus dat hielp niet. Maar inderdaad, via de recente toegang zag ik dat er op 8-10 toegang was geweest uit resp. de US, Ukraine en Rusland.
Idem dito bij de Gmail van mijn moeder haar bedrijf: zelfde locaties.- En vanochtend 11-10 een mailtje in het Russisch van Google ads, wat er op leek te duiden dat ik door mocht gaan met het aanmaken van mijn Google Ads account. Deze account was idd aangemaakt maar zo te zien nog niet bevestigd, dus via Google Ads maar op delete gedrukt.
Uiteraard passwords voor mijn eigen Gmail en die van mijn ma vrijdag al gewijzigd. En 2FA staat aan, ook geen rare prompts gekregen......
Dus mijn vraag is nu: denken jullie dat het nu veilig is? In mijn account zie ik sinds die activiteit uit Rusland op de 8e, geen nieuwe dingen meer behalve mezelf. Mijn pc is ook al 3 dagen schoon (echt 27x gescand met Malwarbytes, Avast en Kaspersky). Maar ik vind het zo gek dat die Google Alert, en daarna die Ads mail pas kwamen ruim nadat ik mijn passwords had gewijzigd.
- Kan hier een vertraging in zitten tussen dat het gebeurt en de alert? Dat er dus inderdaad kort toegang is geweest tot ik op 8-10 in de avond (toen de pc al reinstalled was) beiden passwords heb gewijzigd, maar dat die detectie / flagging van google pas op 9-10 die conclusie trok?
- Is het uberhaupt mogelijk dat een stukje malware op mijn ma haar FaceBook een ad aanmaakt, puur met kennis van haar e-mail, hoewel ik geen password van haar facebook heb opgeslagen en er ook geen koppeling is met die Gmail....?
- Wat houdt Russen tegen om nogmaals zo'n add account proberen aan te maken? Want ik heb het zelf ook ff geprobeerd en je kan gewoon de eerste stap doen zonder in te loggen: Gewoon email ingeven en klaar....
"Contact your admin for details" - But I'm the admin!
/u/28468/librarian2.png?f=community)
:fill(white):strip_exif()/f/image/Xkjurih7AyCWTabP4aKejhmm.png?f=user_large)
En dat natuurlijk alle data als besmet werd geacht dus pas na controle terug is gehaald uit backups.
).