Orange Cybertarcza - informacja o botnecie

[Paul12345]

Witam,

31.08 pojawił mi się komunikat od orange, że zostałem podłączony do botnetu. Odblokowałem dostęp do internetu. Zeskanowałem komputer 360 Total Security i Malwarebytes. Wykryło pare zagrożen, lecz żadne nie było poważne. Zresetowałem modem i wszedłem na strone https://www.cert.orange.pl/cybertarcza. Aktualnie widnieje komunikat "Wszystko w porządku". Jestem zderozientowany. Czy mógłby być to fałszywy alarm? Czy jest coś na rzeczy? 

Wspomnę również, że przed resetem modemu na stronie orange widniał komunikat "Ostatnia data wystąpienia zagrożenia: 2016-08-30, 23:17:30". Dziwi mnie to, ponieważ tego dnia o tej godzinie komputer był użytkowany i nie zauważyłem żadnych zmian na nim. Działa on tak samo jak przed kilku dni. A sam komunikat i odcięcie internetu nastąpiło 31.08 około godziny 20. 

 

FRST: http://www.wklej.org/hash/1f1b8de2ccd/

Addition: http://www.wklej.org/id/2821341/

Shortcut: http://www.wklej.org/id/2821342/

 

Z góry dziękuję za pomoc i pozdrawiam. 

 

[jessica]

Cybertarcza to głównie fałszywe alarmy, więc trudno to traktować poważnie.

 

W logach nie ma niczego podejrzanego.

 

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:

 

Task: {D4C87E88-C0E6-401D-A793-8EC377AB8116} - System32\Tasks\{ED283140-C4A7-49AA-90D4-8A92E9AFC3A4} => pcalua.exe -a F:\autorun.exe -d F:\
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[Paul12345]

Wykonane. Czyli mam rozumieć, że zainstaniała sytuacja to nic groźnego? Mogę bezpiecznie logować się na strony internetowe i inne programy? 

 

Fixlog: http://wklej.org/hash/1e2a3dd5358/

Chciałem się jeszcze spytać czy laptop siostry może być zainfekowany? Na nim też skanery nic nie wykryły.

Edytowane 3 Września 2016 przez Rucek

[jessica]

Chciałem się jeszcze spytać czy laptop siostry może być zainfekowany?

 

Może na wszelki wypadek dasz logi?

 

jessi

[Paul12345]

Może na wszelki wypadek dasz logi?

 

jessi

Oczywiście, już daje.

 

FRST: http://wklej.org/hash/4175c9da844/

Addition: http://wklej.org/hash/1cbadb73e9f/

Shortcut: http://wklej.org/id/2823957/

[jessica]

Nie widzę tu aktywnej infekcji.

 

Otwórz Notatnik i wklej w nim:

 

Task: {D69243BD-ABE0-4D20-89E9-3613677E43AC} - System32\Tasks\{45B86DC5-38CD-4117-90F1-977B178C2943} => pcalua.exe -a E:\uruchom.exe -d E:\
CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
RemoveDirectory: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
FF user.js: detected! => C:\Users\Gosia\AppData\Roaming\Mozilla\Firefox\Profiles\izocnnvl.default\user.js [2015-02-13]
SearchScopes: HKU\S-1-5-21-1381045253-343615621-1100036611-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1381045253-343615621-1100036611-1002 -> {1C87A642-E9DF-41AF-B073-E8022C1D0915} URL =
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
C:\Users\Gosia\AppData\Roaming\Microsoft\Office\Niedawny\rozdzial 2 w trakcie.LNK
C:\Users\Gosia\AppData\Roaming\Microsoft\Office\Niedawny\rebusy.LNK
C:\Users\Gosia\AppData\Roaming\Microsoft\Office\Niedawny\pracaaaa.LNK
C:\Users\Gosia\Documents\zpulpitu\SpeedUpMyComputer.lnk
C:\Users\Gosia\Documents\zpulpitu\Wyczyść rejestr za darmo!.lnk
C:\Users\Gosia\Documents\zpulpitu\AppsHat.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[Paul12345]

Zrobione. Czy to już wszystko? Teraz powinno być bezpiecznie?

Fixlog: http://wklej.org/hash/cae6592cbc6/

[jessica]

Czy to już wszystko? Teraz powinno być bezpiecznie?

 

Tak, to już wszystko.

 

jessi

[Paul12345]

Okej. Dzięki wielkie i pozdrawiam