<p dir="ltr">I'll start with the obvious.</p>
<p dir="ltr">1. Change her password. Use something fairly complex and UNIQUE, do not reuse an existing password.</p>
<p dir="ltr">1a. Download a password manager and change ALL passwords. I would ALMOST recommend using this for Google, but Google is one of those services you need to memorize the password for.</p>
<p dir="ltr">2. Enable 2FA. I presume you are using a cell phone that has text messaging support. Enable 2 factor authentication with her Google account, either with SMS or with their authentication app.</p>
<p dir="ltr">3. Enable 2FA. Seriously, if a service has that option, use it </p>
<p dir="ltr">4. Install some virus scanners and look for malware. The most likely reason her account was hacked, besides password reuse, is a drive-by malware install from web advertising.</p>
<p dir="ltr">4a. A full reformat of her PC is recommended. I would use a Linux tool like DD or Shred to completely wipe the HD, boot sector included.</p>
<p dir="ltr">5. Fully update her system. This includes OS updates, software updates, driver updates, etc.</p>
<p dir="ltr">6. install ad-block or similar software, and/or uninstall Flash and Java, to limit or eliminate this attack vecto</p>
<p dir="ltr">7. If your wife is not tech savvy, now would be a good opportunity to teach her general safe practices for surfing the web.</p>
<p dir="ltr">8. Don't exclude the possibility of malware on her smart phone, if she has one. If it's an old Android or iOS phone that no longer received OS updates, I recommend tossing it and buy something that receives them still.<br></p>
<p dir="ltr">Those are the basics.</p>
<br><div class="gmail_quote"><div dir="ltr">On Mon, Jan 16, 2017, 15:25 Mark Phillips <<a href="mailto:mark@phillipsmarketing.biz">mark@phillipsmarketing.biz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"><div class="gmail_msg">Some missing information - her PC runs Windows, and she only accesses gmail through her browser.<br class="gmail_msg"><br class="gmail_msg"></div></div><div dir="ltr" class="gmail_msg">Mark<br class="gmail_msg"></div><div class="gmail_extra gmail_msg"><br class="gmail_msg"><div class="gmail_quote gmail_msg">On Mon, Jan 16, 2017 at 3:23 PM, Mark Phillips <span dir="ltr" class="gmail_msg"><<a href="mailto:mark@phillipsmarketing.biz" class="gmail_msg" target="_blank">mark@phillipsmarketing.biz</a>></span> wrote:<br class="gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg"><div class="gmail_msg">It looks as if my wife's gmail account was hacked on Jan 9, and I want to see if there is anything else we have to do to clean up the mess. <br class="gmail_msg"><br class="gmail_msg"></div>1. She stopped getting any email on Thursday in this account. We tracked it down to a filter that sent all incoming email to Trash. We deleted the filter.<br class="gmail_msg"><br class="gmail_msg"></div>2. A little more digging, and we found a suspicious login from NY on Jan 9. She swears she was not in NY on that day....and, absent any proof to the contrary, I believe her. ;)<br class="gmail_msg"><br class="gmail_msg"></div>3. There was a Google Brand account attached to her gmail account, which we deleted. No idea what that is.<br class="gmail_msg"><br class="gmail_msg"></div>4. There are several delivery failure emails in her Trash folder like this one:<br class="gmail_msg">Address not found<br class="gmail_msg">Your message wasn't delivered because the domain <a href="http://houston.rr.com" class="gmail_msg" target="_blank">houston.rr.com</a> couldn't be found. Check for typos or unnecessary spaces and try again.<br class="gmail_msg">The response from the remote server was:<br class="gmail_msg">DNS Error: 10339950 DNS type 'mx' lookup of <a href="http://houston.rr.com" class="gmail_msg" target="_blank">houston.rr.com</a> responded with code NOERROR 10339950 DNS type 'aaaa' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a>. responded with code NXDOMAIN 10339950 DNS type 'a' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a>. responded with code NXDOMAIN<br class="gmail_msg"><br class="gmail_msg"><br class="gmail_msg">Final-Recipient: rfc822; <a href="mailto:jham003@houston.rr.com" class="gmail_msg" target="_blank">jham003@houston.rr.com</a><br class="gmail_msg">Action: failed<br class="gmail_msg">Status: 4.0.0<br class="gmail_msg">Diagnostic-Code: smtp; DNS Error: 10339950 DNS type 'mx' lookup of <a href="http://houston.rr.com" class="gmail_msg" target="_blank">houston.rr.com</a> responded with code NOERROR<br class="gmail_msg"> 10339950 DNS type 'aaaa' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a>. responded with code NXDOMAIN<br class="gmail_msg"> 10339950 DNS type 'a' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a>. responded with code NXDOMAIN<br class="gmail_msg">Last-Attempt-Date: Sat, 14 Jan 2017 14:09:54 -0800 (PST)<br class="gmail_msg"><br class="gmail_msg"><br class="gmail_msg">---------- Forwarded message ----------<br class="gmail_msg">From: Steven Walls <<a href="mailto:allison@phillipsoasis.com" class="gmail_msg" target="_blank">allison@phillipsoasis.com</a>><br class="gmail_msg">To: Steven Walls <<a href="mailto:wallssteven1@adsolutionpro.us" class="gmail_msg" target="_blank">wallssteven1@adsolutionpro.us</a>><br class="gmail_msg">Cc: <br class="gmail_msg">Date: Wed, 11 Jan 2017 15:21:41 -0500<br class="gmail_msg">Subject: Apple Inc. is Hiring with an Attractive Pay!!!<br class="gmail_msg">Need weekly pay for driving your car?<br class="gmail_msg"><br class="gmail_msg">Make $ 400 every week for having an AD of Apple Inc. attached to you car<br class="gmail_msg">while you drive.<br class="gmail_msg"><br class="gmail_msg">Reply to find out more.<br class="gmail_msg"><br class="gmail_msg"><br class="gmail_msg">Steven Walls<br class="gmail_msg"><br class="gmail_msg"></div>I assume Mr Walls is the hacker (or his/her alias) and was using her account to send out spam emails. We have changed her password to something a little more obtuse than what she was using....Will have to get her set up with LastPass to keep her honest with her passwords.<br class="gmail_msg"><br class="gmail_msg"></div>Anything else we should do?<br class="gmail_msg"><br class="gmail_msg"></div>Thanks!<span class="m_-4190091299741324045HOEnZb gmail_msg"><font color="#888888" class="gmail_msg"><br class="gmail_msg"><br class="gmail_msg"></font></span></div><span class="m_-4190091299741324045HOEnZb gmail_msg"><font color="#888888" class="gmail_msg">Mark<br class="gmail_msg"></font></span></div>
</blockquote></div><br class="gmail_msg"></div>
---------------------------------------------------<br class="gmail_msg">
PLUG-discuss mailing list - <a href="mailto:PLUG-discuss@lists.phxlinux.org" class="gmail_msg" target="_blank">PLUG-discuss@lists.phxlinux.org</a><br class="gmail_msg">
To subscribe, unsubscribe, or to change your mail settings:<br class="gmail_msg">
<a href="http://lists.phxlinux.org/mailman/listinfo/plug-discuss" rel="noreferrer" class="gmail_msg" target="_blank">http://lists.phxlinux.org/mailman/listinfo/plug-discuss</a></blockquote></div>