Skocz do zawartości

Podejrzenie infekcji


Rekomendowane odpowiedzi

Witam.
Wczoraj podczas wyszukiwania w Google pokazał się komunikat "Nasze systemy wykryły nietypowy ruch z Twojej sieci komputerowej" wykonałem test CAPTCHA i wszystko wróciło do normy, jednak po około godzinie problem wrócił. Poczytałem i sprawdziłem swoje IP na stronie www.dnsbl.info/dnsbl-database-check.php i pokazały się dwa negatywne wyniki. To możliwe że nieświadomie rozsyłam jakiś spam?
Mam jeszcze pytanie na temat Comodo. W nierozpoznawalnych zauważyłem jakieś pliki .bat w lokalizacji "C:\ProgramData\Comodo\Cis\tempscrpt". Pliki noszą nazwę C_cmd.exe i dalej jakieś losowe liczby.
Czy to coś groźnego? W dodatku jakiś czas temu w blokowanych aplikacjach zauważyłem "Windows Operating System", a zapora sieciowa zablokowała jakieś połączenia przychodzące ARP.
Adres IP źródłowy i przychodzący był taki sam i nie było żadnego portu. O co może chodzić? 
Dziękuję za przeczytanie i proszę o pomoc.
Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Mam jeszcze pytanie na temat Comodo. W nierozpoznawalnych zauważyłem jakieś pliki .bat w lokalizacji "C:\ProgramData\Comodo\Cis\tempscrpt". Pliki noszą nazwę C_cmd.exe i dalej jakieś losowe liczby.

Czy to coś groźnego? W dodatku jakiś czas temu w blokowanych aplikacjach zauważyłem "Windows Operating System", a zapora sieciowa zablokowała jakieś połączenia przychodzące ARP.

Adres IP źródłowy i przychodzący był taki sam i nie było żadnego portu. O co może chodzić? 

To raczej wygląda na zupełnie normalne procesy i modyfikacje. 

 


 

Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadanie poboczne, czysto kosmetyczne. Jeśli chodzi zaś o problem tytułowy to sprawdziłem adres IP, z którego logujesz się na forum i jest to polski adres, od Netii - 94.XX.XX.25X (celowo zamazałem część, link do analizy masz na PW). To prawdopodobnie jest tak, że został Ci przydzielony adres, który gdzieś kiedyś faktycznie coś nabroił i teraz jest wykrywany. Ja też jestem z Netią (przechodzę w tym tygodniu do Orange, bo mi prędkość nie pasuje + Orange ma korzystną i tanią ofertę) i mam adres, który wykrywany jest przez 4 usługi na DNSBL. Twój jest wykrywany przez 1 usługę, nie przez dwie, bo sprawdziłem teraz. Zresetuj router (to powinno dać nowe IP), lub skontaktuj się z pomocą techniczną - niech przydzielą Ci nowy adres. 

 

 

Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-21-3609140165-1108552967-117521552-1000\...\Policies\Explorer: [HideSCAVolume] 0
HKU\S-1-5-21-3609140165-1108552967-117521552-1000\...\Policies\Explorer: [NoSaveSettings] 0
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 usbbus; system32\DRIVERS\lgx64bus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X]
S3 USBModem; system32\DRIVERS\lgx64modem.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog).

 

Odnośnik do komentarza

Dziękuję bardzo za odpowiedź. Co do DNSBL nie wiem jakim cudem widziałem tam dwie usługi, ale było już późno więc może dlatego. 
Fix  wykonany, ale miałbym jeszcze jedno pytanie. Czy to normalne, że svchost.exe łączy się z różnymi adresami należącymi do Akamai Technologies i Cloudflare?

Odnośnik do komentarza

Fix  wykonany, ale miałbym jeszcze jedno pytanie. Czy to normalne, że svchost.exe łączy się z różnymi adresami należącymi do Akamai Technologies i Cloudflare?

 

To są sprawdzone usługi, nie przejmował bym się tym (i przypuszczalnie wiesz to od Comodo, a ich zapora mówi dosłownie o wszystkich połączenią).

 

Zapomniałem dopisać w poście: przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...