Leeo Opublikowano 10 Marca 2017 Zgłoś Udostępnij Opublikowano 10 Marca 2017 Witam.Wczoraj podczas wyszukiwania w Google pokazał się komunikat "Nasze systemy wykryły nietypowy ruch z Twojej sieci komputerowej" wykonałem test CAPTCHA i wszystko wróciło do normy, jednak po około godzinie problem wrócił. Poczytałem i sprawdziłem swoje IP na stronie www.dnsbl.info/dnsbl-database-check.php i pokazały się dwa negatywne wyniki. To możliwe że nieświadomie rozsyłam jakiś spam?Mam jeszcze pytanie na temat Comodo. W nierozpoznawalnych zauważyłem jakieś pliki .bat w lokalizacji "C:\ProgramData\Comodo\Cis\tempscrpt". Pliki noszą nazwę C_cmd.exe i dalej jakieś losowe liczby.Czy to coś groźnego? W dodatku jakiś czas temu w blokowanych aplikacjach zauważyłem "Windows Operating System", a zapora sieciowa zablokowała jakieś połączenia przychodzące ARP.Adres IP źródłowy i przychodzący był taki sam i nie było żadnego portu. O co może chodzić? Dziękuję za przeczytanie i proszę o pomoc.Pozdrawiam. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Mam jeszcze pytanie na temat Comodo. W nierozpoznawalnych zauważyłem jakieś pliki .bat w lokalizacji "C:\ProgramData\Comodo\Cis\tempscrpt". Pliki noszą nazwę C_cmd.exe i dalej jakieś losowe liczby. Czy to coś groźnego? W dodatku jakiś czas temu w blokowanych aplikacjach zauważyłem "Windows Operating System", a zapora sieciowa zablokowała jakieś połączenia przychodzące ARP. Adres IP źródłowy i przychodzący był taki sam i nie było żadnego portu. O co może chodzić? To raczej wygląda na zupełnie normalne procesy i modyfikacje. Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadanie poboczne, czysto kosmetyczne. Jeśli chodzi zaś o problem tytułowy to sprawdziłem adres IP, z którego logujesz się na forum i jest to polski adres, od Netii - 94.XX.XX.25X (celowo zamazałem część, link do analizy masz na PW). To prawdopodobnie jest tak, że został Ci przydzielony adres, który gdzieś kiedyś faktycznie coś nabroił i teraz jest wykrywany. Ja też jestem z Netią (przechodzę w tym tygodniu do Orange, bo mi prędkość nie pasuje + Orange ma korzystną i tanią ofertę) i mam adres, który wykrywany jest przez 4 usługi na DNSBL. Twój jest wykrywany przez 1 usługę, nie przez dwie, bo sprawdziłem teraz. Zresetuj router (to powinno dać nowe IP), lub skontaktuj się z pomocą techniczną - niech przydzielą Ci nowy adres. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoSaveSettings] 0 HKU\S-1-5-21-3609140165-1108552967-117521552-1000\...\Policies\Explorer: [HideSCAVolume] 0 HKU\S-1-5-21-3609140165-1108552967-117521552-1000\...\Policies\Explorer: [NoSaveSettings] 0 S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Odnośnik do komentarza
Leeo Opublikowano 12 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2017 Dziękuję bardzo za odpowiedź. Co do DNSBL nie wiem jakim cudem widziałem tam dwie usługi, ale było już późno więc może dlatego. Fix wykonany, ale miałbym jeszcze jedno pytanie. Czy to normalne, że svchost.exe łączy się z różnymi adresami należącymi do Akamai Technologies i Cloudflare? Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Fix wykonany, ale miałbym jeszcze jedno pytanie. Czy to normalne, że svchost.exe łączy się z różnymi adresami należącymi do Akamai Technologies i Cloudflare? To są sprawdzone usługi, nie przejmował bym się tym (i przypuszczalnie wiesz to od Comodo, a ich zapora mówi dosłownie o wszystkich połączenią). Zapomniałem dopisać w poście: przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
Leeo Opublikowano 12 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2017 Rzeczywiście wiem o tym od Comodo. Chyba za często sprawdzam te połączenia, po prostu jestem przewrażliwiony. HitmanPro nie wykrył zagrożeń, jedynie jakieś pliki, które uznał za podejrzane. Na wszelki wypadek przesyłam raport ale większość to chyba pliki od gier. HitmanPro_20170312_1632.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Skan niczego faktycznie podejrzanego nie wykazał (tylko FRST i pliki od gier). Na koniec zastosuj DelFix. Odnośnik do komentarza
Leeo Opublikowano 12 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2017 DelFix zrobiony. Dziękuję bardzo za fachową pomoc i rozwianie wątpliwości . Jeśli to koniec temat można zamknąć. Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Jeśli to koniec temat można zamknąć. Raczej nie zamykamy tematów, w celu możliwość odkopania tematu, jeśli pojawiłyby się jakieś wątpliwości jeszcze. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się