Botnet sality, zainfekowany router

piotrek9214 · 21 Styczeń 2016 13:50

Witam. Proszę o pomoc. Wczoraj po otworzeniu przeglądarki pokazała się informacja od Cybertarczy orange że mój internet został wyłączony ponieważ wykryto infekcję sality a komputer został podłączony do botnetu. Włączyłem internet, zainstalowałem ponownie windowsa, przywróciłem router do ustawień fabrycznych jednak dalej jest coś nie tak. Avast wyświetla że mój router jest nadal zainfekowany i ma podmienione DNS-y. Czy ten wirus mógł się dostać też na pendriva który był akurat podłączony do komputera? Na stronie cert orange widnieje taka informacja:

Ostatnia data wystąpienia zagrożenia

2016-01-19 Zostałeś podłączony/a do botnetu Sality!

Załączam logi z FRST:

FRST: http://www.wklej.org/id/1913122/

shortcut: http://www.wklej.org/id/1913123/

addition: http://www.wklej.org/id/1913124/

Atis · 21 Styczeń 2016 15:27

Usuń sterowniki od McAfee za pomocą:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [] = [X]
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2633036079-3991297782-2018266342-1001 - DefaultScope {A0E10113-E124-4D03-8F7F-106175C12D20} URL =
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc = ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc = ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp = ""="Driver"
CMD: ipconfig /flushdns
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

piotrek9214 · 21 Styczeń 2016 17:14

Nowy raport: http://www.wklej.org/id/1913369

Te pozostałości po mcafee to pewnie po pre-instalowanym przez producenta antywirusie. Faktycznie coś siedziało w systemie czy fałszywy alarm? Mogę już bez obaw korzystać z konta bankowego itd?

Atis · 21 Styczeń 2016 19:17

W logach nie widać żadnej infekcji.

piotrek9214 · 23 Styczeń 2016 19:59

Przeskanowałem, wszystko wróciło do normy. Wielkie dzięki