Botnet sality, zainfekowany router


(Piotrek9214) #1

Witam. Proszę o pomoc. Wczoraj po otworzeniu przeglądarki pokazała się informacja od Cybertarczy orange że mój internet został wyłączony ponieważ wykryto infekcję sality a komputer został podłączony do botnetu. Włączyłem internet, zainstalowałem ponownie windowsa, przywróciłem router do ustawień fabrycznych jednak dalej jest coś nie tak. Avast wyświetla że mój router jest nadal zainfekowany i ma podmienione DNS-y. Czy ten wirus mógł się dostać też na pendriva który był akurat podłączony do komputera? Na stronie cert orange widnieje taka informacja:

Ostatnia data wystąpienia zagrożenia

2016-01-19 Zostałeś podłączony/a do botnetu Sality!

Załączam logi z FRST:

FRST: http://www.wklej.org/id/1913122/

shortcut: http://www.wklej.org/id/1913123/

addition: http://www.wklej.org/id/1913124/


(Atis) #2

Usuń sterowniki od McAfee za pomocą:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [] = [X]
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2633036079-3991297782-2018266342-1001 - DefaultScope {A0E10113-E124-4D03-8F7F-106175C12D20} URL =
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc = ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc = ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp = ""="Driver"
CMD: ipconfig /flushdns
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 


(Piotrek9214) #3

Nowy raport: http://www.wklej.org/id/1913369

Te pozostałości po mcafee to pewnie po pre-instalowanym przez producenta antywirusie. Faktycznie coś siedziało w systemie czy fałszywy alarm? Mogę już bez obaw korzystać z konta bankowego itd?


(Atis) #4

W logach nie widać żadnej infekcji.


(Piotrek9214) #5

Przeskanowałem, wszystko wróciło do normy. Wielkie dzięki :slight_smile: