Poradnik młodego komputerowca

[Grzegorz]

Popros znajomych o naglowki (ale pelne, a nie tylko Od: Do: - bo to na nic) i tam bedzie widac jaka sciezke maile przyszly.

Kolega podesłał nagłówek z poprzedniego "włamu" z sierpnia i wygląda tak:

Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:32985)
by ps15.m5r2.onet (Ota) with LMTP id 659BB366E14B2
for <[email protected]>; Sat, 22 Aug 2015 07:02:45 +0200 (CEST)
Received: from smtpo.poczta.interia.pl (smtpo.poczta.interia.pl [217.74.65.206])
(using TLSv1 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx.poczta.onet.pl (Onet) with ESMTPS id 3myndx2Zfyz6x
for <[email protected]>; Sat, 22 Aug 2015 07:02:45 +0200 (CEST)
Received: from WORLDST-UQ3K9Q0 (unknown [188.51.120.91])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by poczta.interia.pl (INTERIA.PL) with ESMTPSA;
Sat, 22 Aug 2015 07:02:34 +0200 (CEST)
From: <[email protected]>
To: "M. Ciesla" <[email protected]>,
Subject: Fw: important
Date: Sat, 22 Aug 2015 06:02:30 +0100
Message-ID: <[email protected]>
MIME-Version: 1.0
X-Mailer: Microsoft Outlook 14.0
Thread-Index: AQKpgu7wdy8BX7aCikFsN/j9o/8Zqg==
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0014_01D11252.A873BAB0"
Content-Language: en-us

[AMI]

No ok.
A obecne maile?

[Konto usunięte]

A to?

Received: from WORLDST-UQ3K9Q0 (unknown [188.51.120.91])

Kod: Zaznacz cały

Abuse contact info: [email protected]
        
inetnum:         188.51.0.0 - 188.51.255.255
netname:         SAUDINET_DSL_POOL
descr:           DSL HOME Subscribers
country:         SA
admin-c:         STCR1-RIPE
tech-c:          STCR2-RIPE
status:          ASSIGNED PA
mnt-by:          SAUDINET-STC
mnt-lower:       SAUDINET-STC
mnt-routes:      SAUDINET-STC
created:         2010-05-12T11:35:07Z
last-modified:   2010-05-12T11:35:07Z
source:          RIPE # Filtered
remarks:         For any Abuse or Spamming please send your requests directly to [email protected]

jak dla mnie to ktoś wysyłał tego maila z Arabii Saudyjskiej

[Grzegorz]

No ok.
A obecne maile?

Obecnie to (reply od kolegi):

Received: from fmx23.pf.interia.pl (fmx23.pf.interia.pl [127.0.0.1])
by fmx23.pf.interia.pl (INTERIA.PL) with ESMTP id 359822202D2
for <[email protected]>; Thu, 29 Oct 2015 18:40:48 +0100 (CET)
X-Envelope-From: <[email protected]>
Received: from mail-lf0-f41.google.com (mail-lf0-f41.google.com [209.85.215.41])
(using TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits))
(No client certificate requested)
by fmx23.pf.interia.pl (INTERIA.PL) with ESMTPS
for <[email protected]>; Thu, 29 Oct 2015 18:40:47 +0100 (CET)
Received: by mail-lf0-f41.google.com with SMTP id n126so22144057lfb.2
for <[email protected]>; Thu, 29 Oct 2015 10:40:47 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=googlemail.com; s=20120113;
h=mime-version:in-reply-to:references:frommessage-id:subject:to
:content-type;
bh=Zvwnat7qjIvAdIE5C1QXe3O7LlO+BYpjL2MfFOiV0WM=;
b=JF3cqjaHFtCeRfYmRwvWZnQjIIHmHM3h8zMod3kNqM5GoEam8ShIurUCnweWaVTmGp
infn+LxEFDtFoLYw8HYLl7E0i/hApQuZond/rbc2scoSHm7qhuILQzWOMmai/ghEWTJm
0nJxin7vC1k4dqM/GZ4YTsccKlueu7srtSMyCI1eoRHVus1djLFCPb5YDDzAy7NiWpEz
VvuTsa7CIkaprYwMzYKc8c6QekmbEo5sWF4i1BnjX/KwaItNIEfUMMkkvaMasu+0lHA1
eZwMjxBdrzaO6cmH+ht2KpMJgA3lt60IP4yznE/jv6ZZkW1sU1FHVqpDrdsB7uRfClBd
3YkA==
X-Received: by 10.25.156.5 with SMTP id f5mr1128617lfe.46.1446140447747; Thu,
29 Oct 2015 10:40:47 -0700 (PDT)
MIME-Version: 1.0
Received: by 10.112.141.33 with HTTP; Thu, 29 Oct 2015 10:40:28 -0700 (PDT)
In-Reply-To: <[email protected]>
References: <[email protected]>
From: Wojciech Brys <[email protected]>
Date: Thu, 29 Oct 2015 17:40:28 +0000
Message-ID: <CANjBc0xkgmnLw2sYKdxQj3nijqOjhtzUj8a3DsxBR5sZEV48+Q@mail.gmail.com>
Subject: Re: Fw: new message
To: Grzegorz Sosnowski <[email protected]>
Content-Type: multipart/alternative; boundary=001a11411e34aef5f4052341cfb7
X-IPL-VerifiedSender: [email protected]
X-Interia-Antivirus: OK
X-IPL-SAS-ZERO: 2858
X-IPL-SAS-SPAS: 4.9
X-IPL-SAS-UREP: 0
X-IPL-SAS-LINKS: 0
X-IPL-SAS-UREP-PRIV: 0
X-IPL-SAS: 4.9
X-IPL-Envelope-To: [email protected]

[AMI]

A to?

Received: from WORLDST-UQ3K9Q0 (unknown [188.51.120.91])

Kod: Zaznacz cały

Abuse contact info: [email protected]
        
inetnum:         188.51.0.0 - 188.51.255.255
netname:         SAUDINET_DSL_POOL
descr:           DSL HOME Subscribers
country:         SA
admin-c:         STCR1-RIPE
tech-c:          STCR2-RIPE
status:          ASSIGNED PA
mnt-by:          SAUDINET-STC
mnt-lower:       SAUDINET-STC
mnt-routes:      SAUDINET-STC
created:         2010-05-12T11:35:07Z
last-modified:   2010-05-12T11:35:07Z
source:          RIPE # Filtered
remarks:         For any Abuse or Spamming please send your requests directly to [email protected]

jak dla mnie to ktoś wysyłał tego maila z Arabii Saudyjskiej

Fido - fajnie, ale to sa naglowki z sierpnia, a dobrze byloby ustalic co teraz mu sie dzieje :)

[AMI]

No ok.
A obecne maile?

Obecnie to (reply od kolegi):

Received: from fmx23.pf.interia.pl (fmx23.pf.interia.pl [127.0.0.1])
by fmx23.pf.interia.pl (INTERIA.PL) with ESMTP id 359822202D2
for <[email protected]>; Thu, 29 Oct 2015 18:40:48 +0100 (CET)
X-Envelope-From: <[email protected]>
Received: from mail-lf0-f41.google.com (mail-lf0-f41.google.com [209.85.215.41])
(using TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits))
(No client certificate requested)
by fmx23.pf.interia.pl (INTERIA.PL) with ESMTPS
for <[email protected]>; Thu, 29 Oct 2015 18:40:47 +0100 (CET)
Received: by mail-lf0-f41.google.com with SMTP id n126so22144057lfb.2
for <[email protected]>; Thu, 29 Oct 2015 10:40:47 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=googlemail.com; s=20120113;
h=mime-version:in-reply-to:references:frommessage-id:subject:to
:content-type;
bh=Zvwnat7qjIvAdIE5C1QXe3O7LlO+BYpjL2MfFOiV0WM=;
b=JF3cqjaHFtCeRfYmRwvWZnQjIIHmHM3h8zMod3kNqM5GoEam8ShIurUCnweWaVTmGp
infn+LxEFDtFoLYw8HYLl7E0i/hApQuZond/rbc2scoSHm7qhuILQzWOMmai/ghEWTJm
0nJxin7vC1k4dqM/GZ4YTsccKlueu7srtSMyCI1eoRHVus1djLFCPb5YDDzAy7NiWpEz
VvuTsa7CIkaprYwMzYKc8c6QekmbEo5sWF4i1BnjX/KwaItNIEfUMMkkvaMasu+0lHA1
eZwMjxBdrzaO6cmH+ht2KpMJgA3lt60IP4yznE/jv6ZZkW1sU1FHVqpDrdsB7uRfClBd
3YkA==
X-Received: by 10.25.156.5 with SMTP id f5mr1128617lfe.46.1446140447747; Thu,
29 Oct 2015 10:40:47 -0700 (PDT)
MIME-Version: 1.0
Received: by 10.112.141.33 with HTTP; Thu, 29 Oct 2015 10:40:28 -0700 (PDT)
In-Reply-To: <[email protected]>
References: <[email protected]>
From: Wojciech Brys <[email protected]>
Date: Thu, 29 Oct 2015 17:40:28 +0000
Message-ID: <CANjBc0xkgmnLw2sYKdxQj3nijqOjhtzUj8a3DsxBR5sZEV48+Q@mail.gmail.com>
Subject: Re: Fw: new message
To: Grzegorz Sosnowski <[email protected]>
Content-Type: multipart/alternative; boundary=001a11411e34aef5f4052341cfb7
X-IPL-VerifiedSender: [email protected]
X-Interia-Antivirus: OK
X-IPL-SAS-ZERO: 2858
X-IPL-SAS-SPAS: 4.9
X-IPL-SAS-UREP: 0
X-IPL-SAS-LINKS: 0
X-IPL-SAS-UREP-PRIV: 0
X-IPL-SAS: 4.9
X-IPL-Envelope-To: [email protected]

Najlepiej by bylo jednak zobaczyc naglowki z maila, ktorego rzekomo TY wyslales do znajomego.
Chociaz jesli wierzyc naglowkom References i In-reply-to - to byc moze faktycznie to odpowiedz do czegos, co realnie przyszlo z Interii.
Ale jednak najlepiej badac naglowek maila, ktory jest podejrzany.

[Konto usunięte]

Fido - fajnie, ale to sa naglowki z sierpnia, a dobrze byloby ustalic co teraz mu sie dzieje :)

Oczywiście, ale Grzegorz powiedział, że to są sporadyczne akcje. A jak oceniasz tego pierwszego maila? Na pierwszy rzut oka wygląda to jak zwyczajny mail z interii wysłany po prostu klientem z dziwnego adresu IP.
Ja bym zaczął od włączenia na interii pełnej kontroli logowania i wysyłania informacji o każdym logowaniu na jakiś zewnętrzny adres email - zakładam, że interia ma taką opcję. Wtedy Grzegorz będzie wiedział kto mu się loguje i kiedy. Oczywiście pod warunkiem, że interia też loguje zewnętrznych klientów mailowych.

Dodatkowo reinstalacja systemu. Grzegorz, możesz mieć działającego keyloggera i na nic zmiany haseł, bo zawsze delikwent dostanie Twoje nowe hasło, nawet jeśli je zmienisz. Jest cała masa keyloggerów, które nie są wykrywane przez większość programów antywirusowych.

I na koniec wysłałbym maila na abuse ([email protected]) do tych saudyjczyków z załącznikiem w postaci tego trefnego maila. Może znają problem, a nuż, widelec zechce im się w to zerknąć.

[AMI]

Tak - ten sierpniowy mail to raczej efekt "wlamu", a nie falszywy email.

Co do obecnych maili - bazuje po prostu na stwierdzeniu, ze w logach na Interii nie widac zadnych polaczen z innych lokalizacji niz domniemana siec Grzegorza ani zadnych smtp/imap/pop (tak z pamieci teraz troszke pisze juz).
Wiec moze byc po prostu, ze nic przez to konto wyslane nie bylo w zaden sposob - tylko po prostu skads tam wyplynela falszywka z jego adresem From.

Co do reszty - to zdecydowanie moze tak byc, ze sie zainstalowal jakis syf i faktycznie zmiany hasel nic nie dadza.
Co wiecej - przy pozapamietywanych haslach w programach klienckich/przegladarce - jakis lokalnie zainstalowany "wirus" pewnie i tak da rade wyslac maila.

No ale tak czy inaczej - najlepiej byloby obadac przyklady ostatnio wyslanych dziwnych maili, zeby wiedziec, gdzie bardziej szukac przyczyny.

Maila na abuse mozna wyslac - ale obawiam sie, ze wiele to z tego nie wyniknie najpewniej.
Calkiem prawdopodobne jest, ze nikt go nawet nie przeczyta, a jesli juz przeczyta, to i tak go zleja.

[Grzegorz]

OK, dzięki za rady.
Interia prowadzi tylko statystyki ostatnich zalogowań i nie wysyła żadnych innych logów; jak pisałem w tych statystykach wpisy z ostatniego dnia kontrolowałem bardzo często i nie było tam nic podejrzanego jeśli chodzi o dostęp przez www (tylko IP z których ja korzystam), dla pop3 i imap widnieją tylko zapisy z sierpnia - z pierwszego włamu.
Więc rzeczywiście wydaje się prawdopodobne, że ktoś wtedy zrobił włam, i teraz mając moją książkę adresową wysyła maile podszywając się pode mnie.
Kojarze też teraz, że w lipcu\sierpniu dostałem informacje o konieczności zmiany hasła do sejfu lastpass bo mieli jakiś wyciek i nie zrobiłem tego od razu, może wtedy coś wyciekło?
Problem jest jeszcze taki, że korzystam dość regularnie z poczty przez www na 3 kompach (w pracy-Win 7, w domu Win7 i Ubuntu). Reinstalacja to jest niestety duży problem i wolałbym jej uniknąć, najmniejszy w przypadku Ubuntu (ale tu ryzyko keyloggera chyba najmniejsze?).

To może krótkie porady jak wykryć keyloggery tj. rozumiem że poskanować jak największą ilością antywirusów różnych firm, co polecacie na początek?

[j33mbo]

chcę używać poczty przez IMAP, po to, żeby mieć to samo na telefonie co na komputrze (przynajmniej przez kilka dni na telefonie)
mam małą skrzynkę (500MB-nie pytajcie czemu), stąd muszę czyścić serwer co 3-4 dni, ale na komputerze chcę mieć wszystkie maile zapisane,
na komputerze używam outlooka, nie widzę tam opcji automatycznej archiwizacji poczty,


ktoś przeszedł przez to?
w necie są opisane konfiguracje programów pocztowych, ale to wiem jak zrobić.

[Chloru]

j33mbo, widziałeś to - https://support.microsoft.com/en-us/kb/830119 ?

[j33mbo]

Chloru, spradzam
nie doszukałem się tego w outlooku,
myślałem, że archiwizacja może odbywać się tylko "z palca" po określeniu daty od której ma się odbyć.
może to zadziała.

[Bergen]

Heh.

Okazało się, że ponieważ nie miałem w 2012 podpiętej żadnej domeny pod Google Apps, to mnie Gugiel odciął od usługi. I teraz żeby móc zaparkować domenę do jednego konta pocztowego (domeny do Google Development Engine mam podpięte, rejestry MX przekierowane, i co z tego), musiałbym zapłacić za Google Apps For Work, co kosztuje więcej niż hosting konta e-mail w kraju, bez bezpośredniego połączenia z NSA (za to z połączeniem do ABW ).

Chyba że...

Panowie, ile możecie max tych domen podpiąć u siebie za darmo?

[Alan, Alan, Alan!]

Bergen, a Tobie zależy, żeby to było na gmailu czy wystarczy Ci serwer?

[Bergen]

Wystarczy mi cokolwiek co złapie maile lecące na jedno konto w jednej domenie. Może je potem odbić nawet i przekierować na inną moją skrzynkę.

[vibowit]

Panowie, ile możecie max tych domen podpiąć u siebie za darmo?

Zero.
W darmowej opcji jest tylko możliwość dodania aliasów.

[Alan, Alan, Alan!]

be my guest.

Ogarnę się i napiszę na PW

[Bergen]

be my guest.

Niech Ci Bóg w dzieciach wynagrodzi!

[Grzegorz]

Co do obecnych maili - bazuje po prostu na stwierdzeniu, ze w logach na Interii nie widac zadnych polaczen z innych lokalizacji niz domniemana siec Grzegorza ani zadnych smtp/imap/pop (tak z pamieci teraz troszke pisze juz).
Wiec moze byc po prostu, ze nic przez to konto wyslane nie bylo w zaden sposob - tylko po prostu skads tam wyplynela falszywka z jego adresem From.

Co do reszty - to zdecydowanie moze tak byc, ze sie zainstalowal jakis syf i faktycznie zmiany hasel nic nie dadza.
Co wiecej - przy pozapamietywanych haslach w programach klienckich/przegladarce - jakis lokalnie zainstalowany "wirus" pewnie i tak da rade wyslac maila.

No ale tak czy inaczej - najlepiej byloby obadac przyklady ostatnio wyslanych dziwnych maili, zeby wiedziec, gdzie bardziej szukac przyczyny.

Maila na abuse mozna wyslac - ale obawiam sie, ze wiele to z tego nie wyniknie najpewniej.
Calkiem prawdopodobne jest, ze nikt go nawet nie przeczyta, a jesli juz przeczyta, to i tak go zleja.

I znów się powtórzyło. Oczywiście w logach interii nic podejrzanego. Tutaj jak rozumiem, ktoś, kto kiedyś zrobił włam i ma kontakty z mojej książki, wysyła spam z jakiś australijskich adresów(webcloud65.au.syrahost.com), podszywając się pod mój adres?? Swoją drogą, czy takie podszywanie nie powinno być blokowane przez serwery pocztowe ?
Rozumiem, że najlepiej w tej sytuacji, po prostu zmienić skrzynkę pocztową i powiadomić wszystkich znajomych etc. żeby stary adres wrzucili do spamu...
To jest nagłówek oryginalny od kolegi (zmieniłem tylko jego adres):

Return-Path: <[email protected]>
Received: from webcloud65.au.syrahost.com ([103.250.214.252]) by
mx.kundenserver.de (mxeue101) with ESMTPS (Nemesis) id
0LkybF-1aVje13bOv-00aifo for <[email protected]>; Sat, 14 Nov 2015
07:51:53 +0100
Received: from [103.59.88.116] (port=57136 helo=WIN-NPPN1JPV75J)
by webcloud65.au.syrahost.com with esmtpsa (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.85)
(envelope-from <[email protected]>)
id 1ZxUgV-004ALU-CV; Sat, 14 Nov 2015 14:51:47 +0800
From: <[email protected]>
To: "kolega" <[email protected]>
Subject: Fw: new message
Date: Sat, 14 Nov 2015 14:48:40 -0800
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_06AC491D.3000E596"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdEc/NQ9CJsaNQ44HtCatFIXAHAU8g==
Content-Language: en-us
X-OutGoing-Spam-Status: No, score=0.6
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - webcloud65.au.syrahost.com
X-AntiAbuse: Original Domain - wp.pl
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - interia.pl
X-Get-Message-Sender-Via: webcloud65.au.syrahost.com: authenticated_id: [email protected]
X-Source:
X-Source-Args:
X-Source-Dir:
Envelope-To: <[email protected]>
X-UI-Filterresults: notjunk:1;V01:K0:9uNbSJd3u6w=:4OmDHjHX87tib694ZCipEbyPod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[AMI]

Swoją drogą, czy takie podszywanie nie powinno być blokowane przez serwery pocztowe ?

I tak, i nie. To zalezy od ustawien serwera odbiorcy oraz ustawien serwera Twojego operatora poczty - jesli ktos nie chce weryfikowac przychodzacych maili albo by bylo mozliwe weryfikowanie maili wychodzacych z jego serwera, to wiele nie zdzialasz.
Sa rozwiazania pozwalajace na weryfikacje pochodzenia maila (SPF, DKIM, DMARC) - ale tez moga nie byc w stu procentach skuteczne. No i przede wszystkim, kwestia podstawowa - jaka jest prowadzona polityka w odniesieniu do takich maili.
Czy wycinamy od razu, ryzykujac utrate waznego maila (ktory moze faktycznie przyjsc w zasadzie z dowolnego serwera SMTP tak czy inaczej - np. nadawca jest w podrozy i z jakiegos wzgledu uzywa jakiegos lokalnego SMTP)
Czy tylko oznaczamy jako potencjalny spam i wrzucamy uzytkownikowi do skrzynki tak czy inaczej.

A jak nie weryfikujemy po stronie odbiorcy pochodzenia w ogole - to mail po prostu przychodzi. I juz.
Dokladnie tak samo jak kazdy moze Ci wyslac kartke pocztowa na Twoj adres podpisujac sie personaliami ktoregos z Twoich znajomych - jesli tylko je zna (skad taka osoba wziela te dane to kolejny temat)

Nic nie zastapi czujnosci - a z ta niestety u uzytkownikow ciezko, bo wierza, ze komputery, internet itp., ze taka technologia, to nie moze dojsc do pomylki albo oszustwa.
Inna sprawa, ze byc moze pewne kwestie sa dla przecietnego uzytkownika nieco skomplikowane - nie kazdy chce analizowac naglowki. Ale tez i tutaj pojawia sie zadanie dla administratorow takiego serwisu, zeby jednak jakos naznaczac takie maile - a decyzje co z tym zrobic zostawiac uzytkownikowi.
A jeszcze inna, ze niektorzy maja tendencje do otwierania wszystkiego i klikania we wszystko - bo moze cos ciekawego...
No to potem maja "ciekawie".

Podstawowa zasada jest taka - jesli masz watpliwosci co do pochodzenia maila, skontaktuj sie z nadawca, badz tym pod kogo sie podszyto, znana sobie i zweryfikowana droga - na pewno nie przez "reply-to".
A faktycznie falszywe maile zglaszac do administracji.

Rozumiem, że najlepiej w tej sytuacji, po prostu zmienić skrzynkę pocztową i powiadomić wszystkich znajomych etc. żeby stary adres wrzucili do spamu...

Nic to nie zmieni, jesli nie bedziesz dbac o pewna "higiene" uzytkowania maila Ty, jak i Twoi znajomi. Ta sytuacja sie predzej czy pozniej powtorzy, jesli Wasze maile beda dostepne gdzies w Internecie latwo dla programow zbierajacych dane, jesli Ty, badz ktos z Twoich znajomych zlapie znow jakiegos wirusa, ktory mu przetrzepie ksiazke adresowa.

[Grzegorz]

Dzięki za rady ;)
Akurat nie należę do ludzi którzy klikają na linki w mailach nie przeczytwaszy wpierw od kogo, co i czy trzeba...
Na kompach nie instaluje syfu, nie chodzę po niewiadomo jakich stronkach; dzieciaki mają w ogóle zakaz instalowania czegokolwiek (zresztą admina ma tylko najstarszy syn). Przeskanowałem kompy innymi antywiusami niż mam i nic mi nie znalazało poza kilkoma podejrzeniami, które okazały się niegroźne. Nawet na Ubuntu znalazłem jakieś narzędzia do skanowania i nic. Najbardziej w tej sytuacji podejrzany okazuje się włam do lastpass (http://www.dobreprogramy.pl/LastPass-wy ... 63709.html) i zbyt późna moja reakcja (dopiero w sierpniu zmieniłem tam hasło)

[Konto usunięte]

W piątek znajomy poprosił mnie, żebym mu zerknął do kompa, bo dostaje jakieś dziwne komunikaty. I wiedząc, że ma jakiś syf, kliknąłem na banner "java update". Po prostu wyglądał jak oryginał, tyle tylko, że był wyświetlony w oknie przeglądarki. Był wieczór, po całym dniu pracy... no i się kliknęło



Więc każdemu zdarza się dać zrobić w konia przez spamerów. Skoro świadomi, ostrożni użytkownicy czasem w zapomnieniu klikną, to strach się bać w co klikają i jaki syf mają mniej czujni...

Raz na miesiąc czyszczę ojcu komputer. Też bardzo uważa, a jednak ma mnóstwo syfu.

[Grzegorz]

Czy przez czyszczenie należy rozumieć odpalenie w programie antywirusowym skanowania całego kompa(to można ustawić automatycznie), ewentualnie uruchomienie jakiegoś innego od zainstalowanego skanera?

[Godlik]

Na różne niechciane śmieci polecam AdwCleaner:
http://adwcleaner.pl/adwcleaner/pobierz-program/

Korzystałem też ze SpyBot Search & Destroy.

[Bergen]

Do Window$ polecam TronScript:

https://www.reddit.com/r/tronscript

Robi robotę i to bardzo. Śpiewa, tańczy, recytuje, czyści rootkity i gotuje.