Infekcja Zbot?

[Leeo]

Witam,

Kiedyś założyłem tutaj podobny temat.Wtedy poszedłem za radą moderatora, który mi pomagał i poprosiłem dostawcę internetu o zmianę IP.

Mój problem polega na tym, że ponownie sprawdziłem stronę DNSBL.

Okazało się, że mój adres znajduje się na trzech listach.

• dyna.spamrats (tutaj nie jestem pewien czy to moja wina, adres znajomych również jest na tej liście),
• dnsbl.spfbl  (dopiero od jakiegoś czasu, ale adres znajomych pojawił się również tutaj a opis wskazuje, że to przez dynamiczne IP),
• cbl.abuseat (tutaj jest tylko mój adres i opis wskazuje na to, że to z powodu infekcji zbot).

 

Dokładniejszy opis z cbl.abuseat:

"This IP address was detected and listed 1 times in the past 28 days, and 1 times in the past 24 hours. 

The most recent detection was at Thu Sep 7 09:15:00 2017 UTC +/- 5 minutes

This IP address is infected with, or is NATting for a machine infected with the ZeuS trojan, also known as "Zbot" and "WSNPoem"."

 

Tutaj zastanawia mnie godzina, o której IP zostało wykryte.

 O 9:15 nie było mnie w domu, komputer, podobnie jak router był odłączony od prądu i jestem pewien, że nikt inny z niego nie korzystał.
 

Skorzystałem z formularza, który pozwala usunąć IP z listy. Zobaczymy czy pojawi się ponownie.

 

Przekanowałem system wieloma programami m.in Malwarebytes, Norton Power Eraser, HitmanPro, Kaspersky TDSSKiller, ZbotKiller, Comodo i Emsisoft Emergency Kit.

Zaden z programów nie znalażł infekcji.

 

Kolejna sprawa, ale nie jestem pewien czy ma związek.

W Comodo zauważyłem, że proces svchost.exe (sprawdziłem według PID i odpowiada on za usługi CryptSvc, Dnscache i NlaSvc) łączy się z takimi adresami:

• 216.58.205.238
• 104.16.93.188
• 104.28.16.56
• 104.16.89.188
• 93.184.220.29

 

Sprawdziłem i ten ostatni ma naprawdę złe opinie na tej stronie https://www.abuseipdb.com/check/93.184.220.29

Nie wiem co robią pozostałe. Wiem jedynie że pierwszy z nich należy do Google a pozostałe trzy do Cloudflare.
Czy te adresy są szkodliwe? Mogą ściągnąć jakąś infekcję?

 

Co mam zrobić? Boję się o swoje dane i hasła.
 

I jeszcze jedno pytanie. 

Zawsze kiedy sprawdzam na Gmail, czy DNSBL mam to samo IP. Jak to możliwe że na dnsbl.spfbl zostałem zablokowany przez dynamiczne IP?

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Raporty nie wykazują oznak infekcji, zresztą...tyle wyników porządnych skanerów antywirusowych mówią sama za siebie. 

 

Jeśli zaś chodzi o te adresy, to pierwsze trzy są w porządku, ten trzeci wygląda podejrzanie. W takim razie poproszę o przefiltrowany raport SFC z opcji scannow w celu oceny plików systemowych na obecność niedomyślnych modyfikacji.

P.S: Mój aktualny, zmienny adres IP na DNSBL zachowuję się jakby miał ADHD. Raz czysty, raz podejrzany, wg mnie nie ma się co przejmować, bo mając zmienne IP musimy liczyć się z tym, że kiedyś mogło być w nieciekawym miejscu. 

[Leeo]

Dziękuję za szybką odpowiedź.
W załączniku raport z SFC, mam nadzieję, że niczego nie pomyliłem.
Może w ogóle najlepiej będzie jeśli przestanę zaglądać na DNSBL. Jestem chyba zbyt przewrażliwiony na punkcie bezpieczeństwa. 
 

sfc.txt

[Miszel03]

Raport nie wykazuję żadnych naruszeń integralności.

Z tym adresem to ja się odezwę, więc śledź ten temat.

[Leeo]

Cześć,
Czy wiadomo coś więcej o tym adresie?

Nadal mam problem z listą cbl.abuseat. Pomimo tego, że system jest czysty mój adres IP nadal pojawia się tam kilka dni po każdym usunięciu go z listy. W komunikacie nadal napisane jest o infekcji Zbot. Komputer jest połączony z routerem kablem, do wifi tylko okazjonalnie podłączam telefon i tablet, oba urządzenia przeskanowałem mobilnymi wersjami Malwarebytes i Avast, żaden z programów nie znalazł zagrożeń. Adres pojawia się na liście nawet w przypadku, kiedy nie podłączam niczego do wifi często w godzinach, kiedy nawet nie ma mnie w domu, więc komputer, router, i wszystko inne jest wtedy odłączone od prądu. 
Wiem, że nikt nie jest jasnowidzem ale może ktoś przypuszcza dlaczego tak się dzieje?

[Miszel03]

W mojej opinii jest tak, że został Ci przydzielony adres, który już kiedyś był w nieciekawym miejscu, a Ty nie masz po prostu na to wpływu. Rozwiązanie jest następujące: poproś operatora o przydzielenie Ci nowego adresu IP. 

 

Nic więcej nie mogę tutaj poradzić. Ewentualnie możesz zrobić nowy zestaw raportów FRST, dla Twojej pewności.

[Leeo]

Zrobiłem nowe raporty z FRST. Naprawdę dziękuję za zainteresowanie.
Więc jeśli okaże się, że w raportach jest czysto nie muszę przejmować się jeśli mój adres ponownie trafi na listę cbl.abuseat?

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

W raportach (jak już wcześniej mówiłem) brak oznak infekcji.
 

Więc jeśli okaże się, że w raportach jest czysto nie muszę przejmować się jeśli mój adres ponownie trafi na listę cbl.abuseat?

 
W mojej opinii tak. Skonsultuję się jeszcze z picasso.

[Leeo]

W takim razie poczekam na wynik konsultacji. Jeszcze raz dziękuję za sprawdzenie raportów.

[picasso]

Adres 93.184.220.29 jest ponoć związany z certyfikatami: link, link.
 

request to 93.184.220.29, is for checking certificate validity (OCSP).

 

list of firefox ocsp servers
cs9.wac.phicdn.net has address 93.184.220.29

[Leeo]

Dziękuję za informacje o tym adresie. Jedyne co sam o nim znalazłem to, że może być szkodliwy, ale jeśli jest związany z certyfikatami to chyba nie ma sensu się tym przejmować.

 

A czy Pani zdaniem warto przejmować się sprawą z cbl.abuseat, skoro raporty nie wykazują żadnych infekcji?