SafeGroup
Czy mam się czego obawiać ?? - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Czy mam się czego obawiać ?? (/thread-12465.html)



Czy mam się czego obawiać ?? - Sorgi - 16.04.2022

Witam.

Panowie dziś sobie zainstalowałem Appcheck anti-ransomware i ku mojemu zdziwieniu znajduje jakieś wpisy kasując je że to infekcja.Czy faktycznie to infekcja czy nie ??.Proszę o pomoc .

Windows 8.1 64bit PL


04/16/2022 08:20:17 ,System Modification,File,C:\Windows\System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA,(null),Removed,Cleaner
04/16/2022 08:20:17 ,System Modification,File,C:\Windows\System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore,(null),Removed,Cleaner
04/16/2022 08:20:16 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B384D4D8-015A-403D-ACB0-E88E6797DC00},(null),Removed,Cleaner
04/16/2022 08:20:16 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37A5A6EA-6C27-43FE-B2DA-B7E0AEEF28EC},(null),Removed,Cleaner
04/16/2022 08:20:15 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{37A5A6EA-6C27-43FE-B2DA-B7E0AEEF28EC},(null),Removed,Cleaner
04/16/2022 08:20:15 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B384D4D8-015A-403D-ACB0-E88E6797DC00},(null),Removed,Cleaner
04/16/2022 08:20:14 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateTaskMachineUA,(null),Removed,Cleaner
04/16/2022 08:20:13 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateTaskMachineCore,(null),Removed,Cleaner
04/16/2022 07:58:09 ,System Modification,File,C:\Windows\System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA,(null),Removed,Cleaner
04/16/2022 07:58:09 ,System Modification,File,C:\Windows\System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore,(null),Removed,Cleaner
04/16/2022 07:58:08 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D5C3AC2F-FBC9-446E-9D9C-A4670458872C},(null),Removed,Cleaner
04/16/2022 07:58:08 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE47F531-F733-448C-B3E0-2A3002D0B4EE},(null),Removed,Cleaner
04/16/2022 07:58:08 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D5C3AC2F-FBC9-446E-9D9C-A4670458872C},(null),Removed,Cleaner
04/16/2022 07:58:07 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AE47F531-F733-448C-B3E0-2A3002D0B4EE},(null),Removed,Cleaner
04/16/2022 07:58:07 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateTaskMachineUA,(null),Removed,Cleaner
04/16/2022 07:58:06 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateTaskMachineCore,(null),Removed,Cleaner


RE: Czy mam się czego obawiać ?? - M'cin - 16.04.2022

Edge ma jakiś ból pupy z certyfikatami i mechanizmem aktualizacji bo comodo też wykrywa. Podobnie mam z dropbox updaterem.

Wrzuć te pliki na jotti albo virustotal i dowiesz się, czy to fałszywka czy zagrożenie.


RE: Czy mam się czego obawiać ?? - tachion - 17.04.2022

Są to prawidłowe pliki w tej lokalizacji:
(16.04.2022, 07:35)Sorgi napisał(a): 04/16/2022 08:20:17 ,System Modification,File,C:\Windows\System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA,(null),Removed,Cleaner
04/16/2022 08:20:17 ,System Modification,File,C:\Windows\System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore,(null),Removed,Cleaner

Jak i w tej lokalizacji:
(16.04.2022, 07:35)Sorgi napisał(a): 04/16/2022 07:58:07 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateTaskMachineUA,(null),Removed,Cleaner
04/16/2022 07:58:06 ,System Modification,Registry Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateTaskMachineCore,(null),Removed,Cleaner

Są to zadania które służą do zainstalowania każdej nowej wersji Edge,  jeśli zostanie wykryta podczas zaplanowanego sprawdzania.
Czemu to zostało usunięte przez program nie mam pojęcia, chyba że naprawdę zostało to przez coś zmodyfikowane (został zmieniony choćby hash plików).

Reszty nie można po GUID zidentyfikować i do czego się to też odnosiło (być może nieistniejące) ale i też na pewno nie jest to standardowy identyfikator w tych lokalizacjach:
Key,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D5C3AC2F-FBC9-446E-9D9C-A4670458872C}


RE: Czy mam się czego obawiać ?? - Sorgi - 19.04.2022

Dziękuję Panowie za pomoc Smile