E-mail z załącznikiem XLS od osoby podszywającej się pod kogoś innego.

[kaer]

Witam.

Otrzymałem wiadomość e-mail od osoby podszywającej się pod kogoś innego .
Wiadomość była z załącznikiem xls - po otwarciu plik nie wczytał się prawidłowo.
Po telefonie do nadawcy okazało się, że nie wysyłał takiej wiadomości, sprawdziłem źródło wiadomości
i nadawca jest inny niż ten opisany w stopce wiadomości.

Data otwarcia pliku to ok 2023-09-29 a 2023-10-04 raczej ta druga data.

 

Po zorientowaniu się, że coś jest nie tak uruchomione było:

Comodo -  nie wykryło wirusa

Norton NPE - wykrył prawdopodobieństwo zagrożenia nie tam gdzie trzeba tzn w oprogramowaniu CAD

przywracanie systemu zakończone błędem
i automatycznie przywrócone do stanu sprzed przywracania - nie zanotowaliśmy numeru błędu.

 

Kolega potem chyba pobrał jakąś aktualizację systemu - nie mam pewności i nie mam teraz kontaktu z kolegą.

Dziś uruchomiłem przywracanie z powodzeniem. Ale nie mam pewności czy coś w systemie się nie ukrywa.

Po przywracaniu wyskakuje mi błąd comodo

Od początku nie zauważyłem żadnego spowolnienia i innych problemów z komputerem, ale mam obawy przed wysyłaniem
wiadomości do ludzi -nie chcę nikogo "poczęstować jakimś szkodnikiem". Też przestałem korzystać z bankowości itp przez komputer.

 

Załączam logi i będę wdzięczny za pomoc w rozwiązaniu problemu.

Addition.txt FRST.txt Shortcut.txt

[jessica]

Nie widzę tu żadnej infekcji.

.

1) 
 

Cytat

Error: (10/30/2023 09:08:49 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi 
i go uruchom jako Administator.

 

2) Kosmetyka:

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
CreateRestorePoint:
RemoveDirectory: C:\ProgramData\Norton
RemoveDirectory: C:\ProgramData\C:\Users\Rysiek\AppData\Local\NPE
Toolbar: HKU\S-1-5-21-1865058350-1116019282-1544485513-1000 -> Brak nazwy - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Brak pliku
Toolbar: HKU\S-1-5-21-1865058350-1116019282-1544485513-1000 -> Brak nazwy - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Brak pliku
HKLM\...\.scr:  =>  <==== UWAGA
S3 klvssbridge64_18.0.0; Brak ImagePath
S2 KSDE5.3; Brak ImagePath
C:\Users\Rysiek\AppData\Roaming\ZWSOFT\ZWCAD Classic Plk\Printstyle\Dodaj tabelę stylów wydruku.lnk
C:\Users\Rysiek\AppData\Roaming\ZWSOFT\ZWCAD Classic Plk\Plotters\Kreator dodawania plotera.lnk
C:\Users\Rysiek\AppData\Roaming\ZWSOFT\ZWCAD\2020\pl-PL\Printstyle\Kreator dodawania stylu wydruku.lnk
C:\Users\Rysiek\AppData\Roaming\ZWSOFT\ZWCAD\2020\pl-PL\Plotters\Kreator dodawania plotera.lnk
EmptyEventLogs: 
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

[kaer]

Dziękuję za pomoc.

Procedury wykonałem bez błędu.

 

Nadal wyskakuje mi komunikat comodo. Próbowałem przeinstalować comodo ale nie da się odinstalować wyskakuje błąd:
"Cannot find initialization data file"

 

[jessica]

Cytat

Nadal wyskakuje mi komunikat comodo. Próbowałem przeinstalować comodo ale nie da się odinstalować wyskakuje błąd:
"Cannot find initialization data file"

Tak, kiedyś było łatwiej.

Były specjalne narzędzia do usuwania programów ochronnych Skuteczne usuwanie programów antywirusowych - Tutoriale | Artykuły | Recenzje - Fixitpc.pl

 

Teraz jedynym sposobem jest sformatowanie dysku, lub zakup nowego komputera.

I to ma być ułatwianie użytkownikom życia?

 

jessi

[kaer]

Jak tu nabrać zaufania do takiego softu(antywirusów)? Czasami się zastanawiam czy one nie robią więcej złego niż "dobrego".
Dzięki za linka potestuję, te rozwiązania.

Pozdrawiam Kaer