Zagrożenia po użyciu AdwCleaner

[Janis]

Pani picasso odpowiedziała na jeden z moich tematów i zaleciła użycie programu AdwCleaner, podając link:
https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/
 
Wykonałem wtedy zalecenia, ale ostatnio postanowiłem tym programem przeskanować laptopa z Windows 8 pro 64. Z tym laptopem nie ma jakiś dużych problemów, ale inny komputer obok jest zarażony -o czym pisałem w temacie:
"Rookit,brak drukowania,napędu opt,reklamy i niechciane strony"
-dlatego chciałem przyjrzeć się i temu laptopowi.
Wszedłem ponownie na docelową stronę i pobrałem AdwCleaner, przyciskając największy link po prawej stronie strony. Linia niżej kopia tego linku:
hxxps://toolslib.net/downloads/finish/1/\
 
Uruchomiłem program i użyłem kolejno Szukaj, Usuń. Po usuwaniu program wypisał, że trzeba zrestartować komputer.
Po restarcie pokazał się na ekranie komunikat, który załączam jako obrazek.
Wyskoczyło też kilka innych komunikatów, które pojawiły się tylko na chwilę i informowały, że właśnie usuwają jakieś zagrożenia.
 
JAK TO WYSZŁO, ŻE PO UŻYCIU ADWCLEANER UWIDOCZNIŁY SIĘ KŁOPOTY ???
 
Pani picasso wydaje się być godną zaufania osobą i szykuję się na  wytłumaczenie dalekie od jakiegoś błędu Pani picasso -jednak chciałbym zrozumieć, co się stało, że uwidoczniły się te problemy.
 
Mogę jeszcze napisać, że w historii Defendera widać, że od 6 go czerwca kilka razy przeniósł do kwarantanny "Win32/vawtrak". Innych wpisów w historii Defendera nie ma.
 
Czy z dostarczonych danych wynika duże prawdopodobieństwo niedalekich kłopotów infekcyjnych z tym laptopem ??

[picasso]

Uruchomiłem program i użyłem kolejno Szukaj, Usuń. Po usuwaniu program wypisał, że trzeba zrestartować komputer.

Po restarcie pokazał się na ekranie komunikat, który załączam jako obrazek.

Wyskoczyło też kilka innych komunikatów, które pojawiły się tylko na chwilę i informowały, że właśnie usuwają jakieś zagrożenia.

 

JAK TO WYSZŁO, ŻE PO UŻYCIU ADWCLEANER UWIDOCZNIŁY SIĘ KŁOPOTY ???

Nie przedstawiłeś raportu z AdwCleaner, więc skąd mam wiedzieć co było usuwane. Przedstaw logi z folderu C:\AdwCleaner. I problemy raczej się nie uwidoczniły w rozumieniu, że AdwCleaner je stworzył, one musiały być wcześniej. Ten błąd startu pliku C:\ProgramData\EduvBaxo.dat nie wiadomo skąd, bo obecnie w raportach brak wpisu powiązanego, choć:

 

 

Mogę jeszcze napisać, że w historii Defendera widać, że od 6 go czerwca kilka razy przeniósł do kwarantanny "Win32/vawtrak". Innych wpisów w historii Defendera nie ma.

Tu owszem są subtelne ślady infekcji w postaci pliku C:\ProgramData\AbulGeyeh.dat (pasuje nazewnictwem do powyższego) na dysku oraz polisy blokującej Symantec.

 

 

Na teraz wykonaj następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM Group Policy restriction on software: C:\Program Files (x86)\Common Files\Symantec Shared 
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Task: {489129ED-9D43-48C7-B1DF-0788F3E1B717} - System32\Tasks\{E907FAC5-5867-4B2B-95F5-A9AE8BD44F17} => C:\WinPas\WinPasze.exe
Task: {5BCF2BF4-B366-42F9-AAC4-D97A22CC330E} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\WINDOWS\TEMP\{55AB4FE5-44C4-4FEE-8097-B783E7EA6590}.exe
Task: {91DE984D-062B-43F5-AB0A-AD395AD9BB82} - System32\Tasks\{29FBFBE5-B3BD-48C5-B602-4227F0447AE9} => C:\Users\Ja\Desktop\WinPas\Files\WinPas\WinPas.exe
Task: {951E89AC-4B79-41DD-8D30-28F908A9AED0} - System32\Tasks\{7325B2B6-DDFE-42EB-B9EC-3C22BA5FE1EB} => D:\Setup.exe
Task: {DCDAA42C-8CCE-4464-B11D-60723667CC9D} - System32\Tasks\{2E294E29-01E6-4D43-A949-87F8BC184C58} => C:\Users\Ja\Desktop\WinPas\Setup.exe
Task: {E298A30B-0432-4FC8-B670-EA61CE130724} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\WINDOWS\TEMP\{BB6410F5-8C70-4EDA-B470-EB39B31B2FAA}.exe
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\WINDOWS\TEMP\{BB6410F5-8C70-4EDA-B470-EB39B31B2FAA}.exe
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{55AB4FE5-44C4-4FEE-8097-B783E7EA6590}.exe
U3 idsvc;
S3 Ser2pl; \SystemRoot\system32\DRIVERS\ser2pl64.sys [X]
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon
C:\AVScanner.ini
C:\ProgramData\AbulGeyeh.dat
C:\ProgramData\McAfee
C:\WINDOWS\SysWOW64\sqlite3.dll
C:\WINDOWS\system32\netcfg-*.txt
CMD: sc config "Internet Manager. RunOuc" start= demand
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Uruchom TFC - Temp Cleaner

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i owe logi z AdwCleaner. Wypowiedz się też, czy po sprowokowanym skryptem FRST restarcie nadal wyskakuje ten błąd.

 

 

 

 

.

[Janis]

skasowany

[Rucek]

Dostosuj się proszę do poleceń Picasso. Na pewno nic nie popsujesz jesli wykonasz tak jak prosiła. Jeśli trzeba będzie wprowadzić jakieś poprawki - Picasso na pewno da o tym znać.