Podejrzenie infekcji

[Leeo]

Witam.
Wczoraj podczas wyszukiwania w Google pokazał się komunikat "Nasze systemy wykryły nietypowy ruch z Twojej sieci komputerowej" wykonałem test CAPTCHA i wszystko wróciło do normy, jednak po około godzinie problem wrócił. Poczytałem i sprawdziłem swoje IP na stronie www.dnsbl.info/dnsbl-database-check.php i pokazały się dwa negatywne wyniki. To możliwe że nieświadomie rozsyłam jakiś spam?
Mam jeszcze pytanie na temat Comodo. W nierozpoznawalnych zauważyłem jakieś pliki .bat w lokalizacji "C:\ProgramData\Comodo\Cis\tempscrpt". Pliki noszą nazwę C_cmd.exe i dalej jakieś losowe liczby.
Czy to coś groźnego? W dodatku jakiś czas temu w blokowanych aplikacjach zauważyłem "Windows Operating System", a zapora sieciowa zablokowała jakieś połączenia przychodzące ARP.
Adres IP źródłowy i przychodzący był taki sam i nie było żadnego portu. O co może chodzić? 
Dziękuję za przeczytanie i proszę o pomoc.
Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[Miszel03]

Mam jeszcze pytanie na temat Comodo. W nierozpoznawalnych zauważyłem jakieś pliki .bat w lokalizacji "C:\ProgramData\Comodo\Cis\tempscrpt". Pliki noszą nazwę C_cmd.exe i dalej jakieś losowe liczby.

Czy to coś groźnego? W dodatku jakiś czas temu w blokowanych aplikacjach zauważyłem "Windows Operating System", a zapora sieciowa zablokowała jakieś połączenia przychodzące ARP.

Adres IP źródłowy i przychodzący był taki sam i nie było żadnego portu. O co może chodzić? 

To raczej wygląda na zupełnie normalne procesy i modyfikacje. 

 

---

 

Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadanie poboczne, czysto kosmetyczne. Jeśli chodzi zaś o problem tytułowy to sprawdziłem adres IP, z którego logujesz się na forum i jest to polski adres, od Netii - 94.XX.XX.25X (celowo zamazałem część, link do analizy masz na PW). To prawdopodobnie jest tak, że został Ci przydzielony adres, który gdzieś kiedyś faktycznie coś nabroił i teraz jest wykrywany. Ja też jestem z Netią (przechodzę w tym tygodniu do Orange, bo mi prędkość nie pasuje + Orange ma korzystną i tanią ofertę) i mam adres, który wykrywany jest przez 4 usługi na DNSBL. Twój jest wykrywany przez 1 usługę, nie przez dwie, bo sprawdziłem teraz. Zresetuj router (to powinno dać nowe IP), lub skontaktuj się z pomocą techniczną - niech przydzielą Ci nowy adres. 

 

 

Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-21-3609140165-1108552967-117521552-1000\...\Policies\Explorer: [HideSCAVolume] 0
HKU\S-1-5-21-3609140165-1108552967-117521552-1000\...\Policies\Explorer: [NoSaveSettings] 0
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 usbbus; system32\DRIVERS\lgx64bus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X]
S3 USBModem; system32\DRIVERS\lgx64modem.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog).

 

[Leeo]

Dziękuję bardzo za odpowiedź. Co do DNSBL nie wiem jakim cudem widziałem tam dwie usługi, ale było już późno więc może dlatego. 
Fix  wykonany, ale miałbym jeszcze jedno pytanie. Czy to normalne, że svchost.exe łączy się z różnymi adresami należącymi do Akamai Technologies i Cloudflare?

[Miszel03]

Fix  wykonany, ale miałbym jeszcze jedno pytanie. Czy to normalne, że svchost.exe łączy się z różnymi adresami należącymi do Akamai Technologies i Cloudflare?

 

To są sprawdzone usługi, nie przejmował bym się tym (i przypuszczalnie wiesz to od Comodo, a ich zapora mówi dosłownie o wszystkich połączenią).

 

Zapomniałem dopisać w poście: przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

[Leeo]

Rzeczywiście wiem o tym od Comodo. Chyba za często sprawdzam te połączenia, po prostu jestem przewrażliwiony. HitmanPro nie wykrył zagrożeń, jedynie jakieś pliki, które uznał za podejrzane. Na wszelki wypadek przesyłam raport ale większość to chyba pliki od gier.

HitmanPro_20170312_1632.txt

[Miszel03]

Skan niczego faktycznie podejrzanego nie wykazał (tylko FRST i pliki od gier). 

 

Na koniec zastosuj DelFix.

[Leeo]

DelFix zrobiony. Dziękuję bardzo za fachową pomoc i rozwianie wątpliwości   . 
Jeśli to koniec temat można zamknąć.

 

[Miszel03]

Jeśli to koniec temat można zamknąć.

 

Raczej nie zamykamy tematów, w celu możliwość odkopania tematu, jeśli pojawiłyby się jakieś wątpliwości jeszcze.