Diagnostyka po otwarciu załącznika e-mail "iPKO"

[lukstan]

Witam, 

 

proszę o sprawdzenie czy nie ma jakiegoś szkodliwego oprogramowania, po otwarciu załącznika *.rar

z fałszywej wiadomości e-mail.

 

Zrobiłem:

- skan antywirusem AVG IS (niestety błąd serwera przy aktualizacji bazy) - nic nie znalazł,

- skan antywirusem Avira Free Security - nic nie znalazł,

- skan Malwarebytes - raport w załączeniu.

- skan i czyszczenie AdwCleaner - raporty w załączeniu.

 

Raporty FRST - w załączeniu.

 

Z góry dzięki.

Addition.txt FRST.txt MB_21_12_2021r.txt Shortcut.txt AdwCleaner[C00].txt AdwCleaner[S00].txt

[jessica]

Nie widzę tu infekcji.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {221BDD5B-F1AD-4F46-9D55-3403E6202464} - System32\Tasks\e-pity2016a_styczen => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 1 31.01.2018 (Brak pliku)
Task: {2C3BE66D-7957-497D-A4D9-5B504DF5F8BB} - System32\Tasks\{3BC2D321-5B01-4A6F-937F-4C06456FF86A} => C:\Windows\system32\pcalua.exe -a "D:\drv\hp deskjet 800_ploter\HPDesignjet800PrinterSeries.exe" -d "D:\drv\hp deskjet 800_ploter"
Task: {03632DDB-15A2-4E1A-A2D2-146375453F63} - System32\Tasks\{67A07831-027F-4EB9-A69A-EE281A15E330} => D:\PRZETARGI\__PRZETARGI\ZP_26_2013-04-11_LUBARTOW_REWIT RYNKU ETAP II\4-2013-Załącznik Nr 7.exe (Brak pliku)
Task: {CC60C15F-C9F2-4864-8119-EA6E03E81463} - System32\Tasks\{4D2E7B70-56F8-4BDD-90ED-2925D4A43E36} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\KOPRINET\Rodos_demo 7\deinst.exe" -d "C:\Program Files (x86)\KOPRINET\Rodos_demo 7"
Task: {E4884D6C-4EE2-4890-9B6F-26C29F04D3FF} - System32\Tasks\e-pity2016a_kwiecien => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 2 30.04.2018 (Brak pliku)
FF Extension: (NoScript) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ob1g130o.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2022-01-11]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\antibeacon.js [2021-12-27] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2013-06-03] <==== UWAGA
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S2 Avg; "C:\Program Files (x86)\AVG\Browser\Update\AVGBrowserUpdate.exe" /svc [X]
R3 QDrive; \??\C:\Users\user\AppData\Local\Temp\QDrive.sys [X] <==== UWAGA
2021-12-22 09:35 - 2021-12-22 09:53 - 000000000 ____D C:\Users\user\AppData\Local\Safer-Networking Ltd
2021-12-22 09:35 - 2021-12-22 09:35 - 000000000 ____D C:\Windows\system32\Tasks\Safer-Networking
2021-12-22 09:35 - 2021-12-22 09:35 - 000000000 ____D C:\Safer-Networking Ltd
2021-12-22 09:35 - 2021-12-22 09:35 - 000000000 ____D C:\Program Files (x86)\Safer-Networking Ltd
2021-12-22 09:34 - 2021-12-27 13:56 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2021-12-22 09:34 - 2021-12-27 13:55 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[lukstan]

Dziękuję bardzo.

 

Pozdrawiam