Hotmail-account misschien gehackt?

[Nikko]

Beste forumleden,

 

Mijn pa (60+) heeft onlangs de melding gekregen dat hij niet meer in zijn hotmail-mails kon omdat er 'ongeoorloofde handelingen mee gebeurd waren'.

Nu heb ik zelf wel wat IT-kennis, maar heb ik geen goed idee in welke volgorde ik best de mogelijke oorzaken afloop.

 

Het kan zijn dat hij ergens verkeerd geklikt heeft ofzo, zodat de oorzaak van deze melding gewoon per ongeluk is ontstaan.

Het kan ook zijn dat een ander account van hem (bijvoorbeeld bij een tweede hands verkoop site) gehackt is, omdat hij hetzelfde wachtwoord gebruikte bij verschillende accounts.

Maar een key-logger die hij per ongeluk zou geïnstalleerd hebben, is ook goed mogelijk.

Daarnaast zou ook zijn netwerk aangetast kunnen zijn, omdat hij niks aan optimalisatie van wachtwoorden doet van zijn SSID's (dus nog altijd de gegenereerde wachtwoorden zoals door Scarlet aangeleverd, voor de 2.4 en 5 Ghz netwerken).

 

Even wat achtergrondinformatie:

1. hij gebruikte dat wachtwoord voor zijn hotmail-mails dus voor meerdere sites/accounts
2. er is al een scan van Windows Defender gebeurd (clean)
3. er is al een scan van Malware Bytes gebeurd (clean)
4. Toshiba 17 inch van budget 4-500 euro, al paar jaar oud (geen indrukwekkende specs dus), Windows 8.1, redelijk up to date
5. lokaal user account

 

Ondertussen is zijn wachtwoord gelukkig gereset via een herstel e-mailadres, maar voorlopig laat ik hem liever niet op die laptop zijn mails checken, totdat ik weet dat alles weer 'clean' is (of clean gemaakt).

 

In welke volgorde (en hoe) zou ik dus best checken wat de oorzaak was van deze melding? Ik kan wel bij de laptop, dus ik kan alle zaken die jullie aanraden wel uitvoeren.

 

Mvg,

Nikko

 

PS: ik heb deze maar even onder Windows 8.1 gezet, omdat ik niet wist waar deze beter paste. Sorry als dit niet de beste plaats is.

 

 

[abbs]

Hallo,

 

Om je beter te kunnen helpen heb ik je even in de goede sectie gezet, we gaan even kijken.

Punt 1. de wachtwoorden veranderen was een goede stap.

 

Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links naar het bureaublad.

• Farbar Recovery Scan Tool 32 bit (x86)
• Farbar Recovery Scan Tool 64 bit (x64)
  

Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.
Farbar Recovery Scan Tool uitvoeren

Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.

• Als het programma is geopend klik Yes (Ja) bij de disclaimer.
• Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
• Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt en Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg beide logbestanden als bijlage toe aan het volgende bericht.
  

Een handleiding via een filmpje van Farbar Recovery Scan Tool kan je HIER vinden.

[Nikko]

Beste abbs,

 

Super merci om deze topic in de juiste categorie te plaatsen!

En ook bedankt voor je advies alvast! Heb vooralsnog enkel het hotmail-wachtwoord aangepast, rest heb ik nog niet onder handen genomen (rest is ook een beetje minder belangrijk; desnoods worden er nieuwe accounts aangemaakt daarvoor.)

 

Hieronder even de 2 logs:

FRST.txt

 

Addition.txt

 

Alvast bedankt!
 

PS: je zult zien dat er nog wat 'Crapware/Bloatware' van Toshiba op staat en wat spelletjes die pre-installed waren. Beide heb ik niet uninstalled omdat ik misschien nog wat handigs daardoor wou verkrijgen of eens wilde zien of die gratis spelletjes nog leuk konden zijn (bijv. van die bloatware kreeg ik ooit eens de melding van een inruiling van bepaalde serie accu's door productiefouten, etc.) De Teamviewer heb ik erop gezet/laten zetten om te assisteren bij printerproblemen ;-) 

 

[Passer]

(misschien ook je mailadres ook hier eens invullen: https://haveibeenpwned.com/  )

 

14 augustus 2018 aangepast door Passer

[abbs]

Hallo,

 

Stap 1.

Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.

 

fixlist.txt

 

• Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.
• Druk op de Fixen knop.
• Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg dit logbestand als bijlage toe aan het volgende bericht.
  

Een handleiding via een filmpje van Farbar Recovery Scan Tool kan je HIER vinden.

 

 

Stap 2.

Download de Emsisoft Emergency Kit naar het bureaublad.
Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.

• Dubbelklik op "EmsisoftEmergencyKit.exe".
• Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
• Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
• "Emsisoft Emergency Kit" opent, wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
• Wanneer de update gereed is klikt u op "Malware scan" wanneer u de melding "om PUP's mee scannen" krijgt klikt u op "Ja".
• Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
• BELANGRIJK: Wanneer de scan gereed is verwijder niks en plaats ook niks in "Quarantaine".
• Klik vervolgens op de knop "Rapport bekijken" sla dit bestand op b.v. je bureaublad en sluit EmsisoftEmergencyKit.
• Plaats nu het gemaakte logje als als bijlage in je volgende antwoord.
  (Het logbestand is teven terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam scan_xxxx.txt).

[Nikko]

Op 14-8-2018 om 09:58, Passer zei:

(misschien ook je mailadres ook hier eens invullen: https://haveibeenpwned.com/  )

 

Thx voor de tip, had ik zelf ook aan gedacht. Enkel last.fm had daar een hit op, maar mijn pa heeft dat miss 1 of 2 keer gebruikt (jaren geleden, minstens 3-4 jaar). Hij gebruikt dit nu dus niet meer.

 

Met volgende stappen van abbs (merci alweer!) ga ik straks hopelijk nog mee aan de slag, als ik aan de pc kan met TV.

 

 

[Nikko]

@abbs

Beste Abbs,

 

Hier even de logs na het fixen en van Emsisoft:

 

Fixlog.txt

 

scan_180815-222946.txt

 

Dat zag er al allebei redelijk proper uit, maar ik hoor graag wat jij/jullie ervan vinden

 

Alvast super bedankt voor je tijd en moeite!

 

Mvg,

Nikko

[abbs]

Hallo,

 

Dat ziet er verder netjes uit, ik zie geen rare dingen.

 

Wat ik zou aanbevelen is om toch overal en ander wachtwoord voor te gaan maken en dat op te schrijven in een boekje of zo.

Je kan ook een zin maken dat is vaker makkelijker te onthouden.

 

Malwarebytes kan je laten staan en één maal in  de week (na te hebben geupdate) je pc mee scannen.

Hier de handleiding hoe je Mbam instelt als gratis: https://www.pcwebplus.nl/phpbb/viewtopic.php?f=325&t=21101

 

Met het onderstaande tool ruim je de meeste gebruikte tools op:

 

Download Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.

 

Dubbelklik op Delfix.exe om de tool te starten.

Zet een vinkje  voor het volgende item:

• Remove disinfection tools

 

Klik nu op "Run" en wacht geduldig tot de tool gereed is.

Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.

Note: Start je pc hierna opnieuw op, mochten er nog programma's of log bestanden aanwezig zijn mag je die handmatig verwijderen.

Maak ook een nieuw herstelpunt (als je die aan heb staan) Handleiding.

[Nikko]

@abbs

Hartelijk bedankt voor alle hulp!

 

De screenshots (en dus ook handleiding) van MalwareBytes is/zijn al outdated. Maar het principe is nog steeds duidelijk en ik vind het wel terug wanneer dat nodig is (voorlopig laat ik even de premium versie van 14 dagen even actief).

 

Ik heb DelFix laten draaien en ook een herstelpunt gemaakt.

 

Toch heb ik nog wat vragen: 1) het is dus in dit geval niet waarschijnlijk dat het netwerk van mijn pa gehacked is geweest en zijn traffic gesniffed werd?

Omdat ik - toen ik zijn hotmail-account herstelde met een hersteladres - bij account-activiteit enkel pogingen en succesvolle aanmeldingen zag vanaf het IP-adres waarvan de dagen (en weken) ervoor succesvol was aangemeld, waaronder een dag dat ik bij mijn pa thuis was. 

 

2) En is er een manier waarop ik kan achterhalen of zijn e-mailadres is gebruikt om SPAM mee te versturen?

 

Alvast hartelijk bedankt voor alle hulp so far!

 

Mvg,

Nikko

 

[abbs]

27 minuten geleden, Nikko zei:

Toch heb ik nog wat vragen: 1) het is dus in dit geval niet waarschijnlijk dat het netwerk van mijn pa gehacked is geweest en zijn traffic gesniffed werd?

Omdat ik - toen ik zijn hotmail-account herstelde met een hersteladres - bij account-activiteit enkel pogingen en succesvolle aanmeldingen zag vanaf het IP-adres waarvan de dagen (en weken) ervoor succesvol was aangemeld, waaronder een dag dat ik bij mijn pa thuis was. 

 

2) En is er een manier waarop ik kan achterhalen of zijn e-mailadres is gebruikt om SPAM mee te versturen?

 

Dit probleem kan ook zijn ontstaan als het wachtwoord verkeerd word ingevuld of dat dat regelmatig gebeurt. Hier word ook op gereageerd als verdacht.

 

Wat passer schreef: (misschien ook je mailadres ook hier eens invullen: https://haveibeenpwned.com/  )

Uitleg: nhttps://tweakers.net/nieuws/127725/nederlandse-politie-zet-eigen-variant-have-i-been-pwned-online.html

 

Verder zijn er geen site's zoals ik weet waar je je e-mailadres kan laten nakijken