Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Asus/Win10/64x - Wirusy pobierające niechciane oprogramowanie

yoro 20 Sty 2016 11:01 1059 26
  • #1 20 Sty 2016 11:01
    yoro
    Poziom 5  

    Witam serdecznie,
    Wczoraj niefortunnie zainstalowałem plik z lewego źródła infekując swój komputer oprogramowaniem, które instaluje inne programy, czasami nawet nie pytając o pozwolenie instalacji. Do tego doszło zainfekowanie przeglądarek. Starałem się usuwać na własną rękę programy, ale to nie pomogło. Prosiłbym o przeanalizowanie plików OTL, które załączam.

    wklej.to/YNi9e
    wklej.to/vgzuB

    *do moderatora, przeglądarka nie widzi przycisku do dodawania załączników. Zamiast tego jest jeden długi różowy pasek. Nawet nie mogę dodać print screena jako dowód. Co mam zrobić w takim wypadku?

    EDIT 1:

    Przeskanowałem komputer programem AdwCleaner, ale podczas usuwania usług MPC Protect Service oraz MPC Kpt program crash'ował.
    Nowe logi z FRST:
    wklej.to/1rJ2J
    wklej.to/qtVKM

    0 26
  • #4 20 Sty 2016 13:06
    yoro
    Poziom 5  

    Logi z FRST

    wklej.to/11bAM
    wklej.to/MTfFF

    0
  • #5 20 Sty 2016 14:22
    Acorus 20
    Spec od komputerów

    Odinstaluj AnySend, Body Text Feathering, DNS Unlocker version 1.4, GamesDesktop 007.005010212, mysites123, Oasis Space, Search Protect, Setup, shopperz. Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.
    Pokaż nowe logi z FRST.

    1
  • #6 20 Sty 2016 19:04
    yoro
    Poziom 5  

    Przeskanowałem komputer programem AdwCleaner, ale podczas usuwania usług MPC Protect Service oraz MPC Kpt program crash'ował.
    Nowe logi z FRST:
    wklej.to/1rJ2J
    wklej.to/qtVKM

    0
  • Pomocny post
    #7 20 Sty 2016 20:05
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {3C9CBC9F-7D16-45E9-986F-C69F22839899} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {3E5F6AE9-F3C0-45A4-8233-118EEF94C09A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {478D5575-3C23-4367-86F8-D03EA0456271} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {56963FED-E745-4497-AB0F-676B0B8D9657} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {5E5BA97B-6255-4763-BB47-1B940A5E1C5A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {79EF51FE-338A-4E47-B264-B8F46E264D73} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {928274E2-A949-4E37-8EF0-E36F601FAA19} - \ASUSControlDeck -> Brak pliku <==== UWAGA
    Task: {A4DABA9A-FE4A-472A-AE0B-91C12CCA3AAF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {C1D65F2B-F837-4E5C-ACF7-796687985AE4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {C222683D-A911-4F06-9379-87D92C11D18C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {C54758F3-DEB2-49F1-BA1E-96EF41366F79} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {D5CE9421-5A1B-446E-9E95-66307863D184} - System32\Tasks\Kavisan => C:\PROGRA~1\SHOPPE~1\Erive.bat
    Task: {E503DE85-DD7C-4747-AF2E-0C858ED3478A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Hosts:
    HKLM-x32\...\Run: [IRReceive] => C:\Program Files (x86)\IRReceive\IRReceive.exe [675913 2007-06-26] ()
    HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe"
    HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
    HKLM-x32\...\Run: [gupdate] => C:\Program Files (x86)\Company\gupdate\gupdate.exe [79812 2016-01-19] ()
    HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe [1571296 2015-12-28] (Tencent)
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    GroupPolicyUsers\S-1-5-32-545\User: Ograniczenia <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    Toolbar: HKU\S-1-5-21-2345410319-3169046442-1467324983-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku
    FF DefaultSearchEngine: Trovi
    FF SelectedSearchEngine: Trovi
    FF Extension: Oasis Space 1.0.1 - C:\Users\Andrzej\AppData\Roaming\Mozilla\Firefox\Profiles\pmy8ae26.default\extensions\{3b1860ed-902f-4109-b874-6686888e26db}.xpi [2016-01-17] [Brak podpisu cyfrowego]




    CHR Extension: (Oasis Space) - C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlkinkekjbhknjjeflbacldnbkmgcpje [2016-01-20] [UpdateUrl: hxxp://wwwoasisspacenet-a.akamaihd.net/update/chrome] <==== UWAGA
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [349152 2016-01-20] (DotC United Inc)
    S2 Fanwey; "C:\Users\Andrzej\AppData\Roaming\MehlZeapt\Erijsat.exe" -cms [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    U3 idsvc; Brak ImagePath
    S1 {3b1860ed-902f-4109-b874-6686888e26db}Gw64; system32\drivers\{3b1860ed-902f-4109-b874-6686888e26db}Gw64.sys [X]
    2016-01-20 10:03 - 2016-01-20 15:32 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-01-20 10:03 - 2016-01-20 10:03 - 00060136 ____N (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-01-20 09:59 - 2016-01-20 10:00 - 00000000 ____D C:\Users\Andrzej\AppData\Local\Tempfolder
    2016-01-20 09:59 - 2016-01-20 09:59 - 00003410 _____ C:\WINDOWS\System32\Tasks\Kavisan
    2016-01-20 09:59 - 2016-01-20 09:59 - 00000000 ____D C:\Users\Andrzej\AppData\LocalLow\Company
    2016-01-20 09:59 - 2016-01-20 09:59 - 00000000 ____D C:\uninst
    2016-01-20 00:08 - 2016-01-20 00:08 - 00000000 ____D C:\Program Files (x86)\TData
    2016-01-20 00:05 - 2016-01-20 00:05 - 00000000 ____D C:\Program Files (x86)\Company
    2016-01-20 15:52 - 2014-03-04 17:13 - 00000000 ____D C:\AdwCleaner
    C:\ProgramData\hash.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware https://data-cdn.mbamupdates.com/web/mbam-setup-2.1.8.1057.exe
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    1
  • #8 20 Sty 2016 21:44
    yoro
    Poziom 5  

    Wszystko zrobiłem wg wskazanych poleceń. Nadal jednak jest problem. Pierwszym jest program MPC Cleaner ( nie wiem jak go usunąć, a podczas ponownego włączania komputera wyskakują okna powiadomień o braku folderów tego programu). Drugim jest masa plików temp, głównie powtarzającym jest desktop.ini, który jest niemalże w każdym folderze na komputerze.

    Jak z tym mogę sobie poradzić?

    Dziękuję za dotychczasową pomoc.

    0
  • Pomocny post
    #9 21 Sty 2016 09:29
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • Pomocny post
    #10 21 Sty 2016 09:31
    Kolobos
    Spec od komputerów

    Odinstaluj: gupdate 1.00

    Wykonaj taki fixlist.txt:
    CustomCLSID: HKU\S-1-5-21-2345410319-3169046442-1467324983-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2345410319-3169046442-1467324983-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku
    Task: {1C0EB2CA-C661-4CB7-9BE3-60D1B1451E08} - System32\Tasks\{99230E9F-10FE-4357-BFFC-B0CF0C4F881C} => pcalua.exe -a "C:\Users\Andrzej\Desktop\AutoCAD2008 Full version - dobry do instalacji\AutoCAD\Setup.exe" -d "C:\Users\Andrzej\Desktop\AutoCAD2008 Full version - dobry do instalacji\AutoCAD"
    Task: {3C9CBC9F-7D16-45E9-986F-C69F22839899} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {3E5F6AE9-F3C0-45A4-8233-118EEF94C09A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {478D5575-3C23-4367-86F8-D03EA0456271} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {489006D8-34FD-4F70-A596-0D1E683ED61F} - System32\Tasks\{ACE29F79-A37A-4610-823B-26796426F387} => C:\Program Files (x86)\Skype\Phone\Skype.exe [2015-12-17] (Skype Technologies S.A.)
    Task: {551C337A-07D5-421F-B761-E8ADF0FE4758} - System32\Tasks\{56685BCD-17BE-4CFF-8C9E-CC26F10F1D25} => pcalua.exe -a "C:\Users\Andrzej\Downloads\machinnarium\Machinarium - Spolszczenie.exe" -d C:\Users\Andrzej\Downloads\machinnarium
    Task: {56963FED-E745-4497-AB0F-676B0B8D9657} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {5E5BA97B-6255-4763-BB47-1B940A5E1C5A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {6933C5D8-5DF6-4267-9F7D-61F1F65C81E5} - System32\Tasks\{61172E2A-CCC8-4246-8372-3BA65D3100F5} => pcalua.exe -a C:\Users\Andrzej\Documents\Downloads\Programs\Shockwave_Installer_FF.exe -d C:\Users\Andrzej\Documents\Downloads\Programs
    Task: {6F86E253-C5D8-459A-9751-92F53725D616} - System32\Tasks\{6F9FAD3C-4A05-457F-9876-14334BD7CCBB} => pcalua.exe -a "C:\Program Files (x86)\Livebox\Installation\Core\InstallGUI.exe" -d C:\Users\Public\Desktop
    Task: {79EF51FE-338A-4E47-B264-B8F46E264D73} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {837DD014-CBEF-4E33-95CD-3983AD1DD472} - System32\Tasks\{86312766-F32E-4286-ACB9-0FEF5F0E67FD} => pcalua.exe -a "C:\Program Files (x86)\BlueStacks\HD-RuntimeUninstaller.exe"
    Task: {8FF8F0C6-FC9E-4438-A6EB-ED3FED78C3E8} - System32\Tasks\{3F9D49AD-A1B7-4F7F-9F36-7027BC3AB230} => pcalua.exe -a C:\Users\Andrzej\Downloads\StealthBastard-1.09(dobreprogramy.pl).exe -d "C:\Program Files (x86)\Mozilla Firefox"
    Task: {9708FF99-EF17-44FF-8528-98A31A3D1861} - System32\Tasks\{BB252A32-D686-4B90-A834-CD864240198C} => pcalua.exe -a C:\ProgramData\YoutubeAdblocker\3Neg.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
    Task: {A4DABA9A-FE4A-472A-AE0B-91C12CCA3AAF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {B01FA5E1-31F1-4478-A2B0-F917649A2008} - System32\Tasks\{DD36FD04-CC84-4B02-856D-6DCCC8E6D799} => pcalua.exe -a C:\Windows\SysWow64\cm106.dll
    Task: {C1D65F2B-F837-4E5C-ACF7-796687985AE4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {C222683D-A911-4F06-9379-87D92C11D18C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {C510B168-E915-4812-9350-07F12C472945} - System32\Tasks\{CA30BCAE-9DD4-44B2-BC14-77B0D8E3001E} => pcalua.exe -a C:\Users\Andrzej\Downloads\BlueStacks-SplitInstaller_native(1).exe -d C:\Users\Andrzej\Downloads
    Task: {C54758F3-DEB2-49F1-BA1E-96EF41366F79} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {D5CE9421-5A1B-446E-9E95-66307863D184} - System32\Tasks\Kavisan => C:\PROGRA~1\SHOPPE~1\Erive.bat
    Task: {DF127C31-1E7A-4CDC-96CF-1A0C440E0934} - System32\Tasks\{B9D7DDE3-B79A-4F7A-AF34-B8C5DD2566F9} => pcalua.exe -a F:\setup.exe -d F:\
    Task: {E503DE85-DD7C-4747-AF2E-0C858ED3478A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    AlternateDataStreams: C:\ProgramData\Temp:114BD271
    AlternateDataStreams: C:\ProgramData\Temp:15024E60
    AlternateDataStreams: C:\ProgramData\Temp:3B5038B1
    AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
    AlternateDataStreams: C:\ProgramData\Temp:64551561
    AlternateDataStreams: C:\ProgramData\Temp:6FDE1666
    AlternateDataStreams: C:\ProgramData\Temp:734E442A
    AlternateDataStreams: C:\ProgramData\Temp:7BA6D322
    AlternateDataStreams: C:\ProgramData\Temp:9C3AAD57
    AlternateDataStreams: C:\ProgramData\Temp:A724744F
    AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
    AlternateDataStreams: C:\ProgramData\Temp:B88E99C8
    AlternateDataStreams: C:\ProgramData\Temp:CF75D88F
    AlternateDataStreams: C:\ProgramData\Temp:DF0BC727
    AlternateDataStreams: C:\ProgramData\Temp:E40EED9B
    Hosts:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    HKLM-x32\...\Run: [gupdate] => C:\Program Files (x86)\Company\gupdate\gupdate.exe [79812 2016-01-19] ()
    HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe [1571296 2015-12-28] (Tencent)
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    GroupPolicyUsers\S-1-5-32-545\User: Ograniczenia <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    Toolbar: HKU\S-1-5-21-2345410319-3169046442-1467324983-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku
    FF DefaultSearchEngine: Trovi
    FF SearchEngineOrder.1:
    FF SelectedSearchEngine: Trovi
    FF Extension: Oasis Space 1.0.1 - C:\Users\Andrzej\AppData\Roaming\Mozilla\Firefox\Profiles\pmy8ae26.default\extensions\{3b1860ed-902f-4109-b874-6686888e26db}.xpi [2016-01-17] [Brak podpisu cyfrowego]
    FF Extension: Brak nazwy - C:\Program Files\shopperz190120161543\Firefox\{075B0263-3060-4259-8F68-A0ADCF5E7E57}.xpi [nie znaleziono]
    FF HKLM\...\Firefox\Extensions: [{075B0263-3060-4259-8F68-A0ADCF5E7E57}] - C:\Program Files\shopperz190120161543\Firefox\{075B0263-3060-4259-8F68-A0ADCF5E7E57}.xpi => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{F04D2D30-776C-4d02-8627-8E4385ECA58D}] - C:\ProgramData\Norton\{92622AAD-05E8-4459-B256-765CE1E929FB}\NST_2013.1.0.32\coFFPlgn
    FF HKLM-x32\...\Firefox\Extensions: [{075B0263-3060-4259-8F68-A0ADCF5E7E57}] - C:\Program Files\shopperz190120161543\Firefox\{075B0263-3060-4259-8F68-A0ADCF5E7E57}.xpi => nie znaleziono
    FF HKU\S-1-5-21-2345410319-3169046442-1467324983-1000\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - C:\Users\Andrzej\AppData\Roaming\IDM\idmmzcc3 => nie znaleziono
    CHR Extension: (Oasis Space) - C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlkinkekjbhknjjeflbacldnbkmgcpje [2016-01-20] [UpdateUrl: hxxp://wwwoasisspacenet-a.akamaihd.net/update/chrome] <==== UWAGA
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [349152 2016-01-20] (DotC United Inc)
    S2 Fanwey; "C:\Users\Andrzej\AppData\Roaming\MehlZeapt\Erijsat.exe" -cms [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    S1 {3b1860ed-902f-4109-b874-6686888e26db}Gw64; system32\drivers\{3b1860ed-902f-4109-b874-6686888e26db}Gw64.sys [X]
    2016-01-20 10:03 - 2016-01-20 15:32 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-01-20 10:03 - 2016-01-20 10:03 - 00060136 ____N (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-01-20 09:59 - 2016-01-20 10:00 - 00000000 ____D C:\Users\Andrzej\AppData\Local\Tempfolder
    2016-01-20 09:59 - 2016-01-20 09:59 - 00003410 _____ C:\WINDOWS\System32\Tasks\Kavisan
    2016-01-20 09:59 - 2016-01-20 09:59 - 00000000 ____D C:\Users\Andrzej\AppData\LocalLow\Company
    2016-01-20 09:59 - 2016-01-20 09:59 - 00000000 ____D C:\uninst
    2016-01-20 00:17 - 2016-01-20 00:17 - 00000000 ____D C:\ProgramData\kingsoft
    2016-01-20 00:16 - 2016-01-20 00:17 - 00000000 ____D C:\Program Files (x86)\ppt
    2016-01-20 00:08 - 2016-01-20 00:08 - 00000000 ____D C:\Program Files (x86)\TData
    2016-01-20 00:05 - 2016-01-20 00:05 - 00000000 ____D C:\Program Files (x86)\Company
    2016-01-20 00:05 - 2016-01-20 00:03 - 00000241 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
    2016-01-20 15:52 - 2014-03-04 17:13 - 00000000 ____D C:\AdwCleaner
    2009-12-06 06:11 - 2009-12-06 06:11 - 0000008 __RSH () C:\ProgramData\624588DD2D.sys
    2012-12-04 18:53 - 2012-10-05 18:53 - 0000032 ____R () C:\ProgramData\hash.dat
    EmptyTemp:

    @Acorus 20 nowe logi sa zbedne, wystarczy dokladnie sprawdzic poprzednie ;)

    0
  • Pomocny post
    #11 21 Sty 2016 09:42
    Acorus 20
    Spec od komputerów

    Większość wpisów była w poprzednim skrypcie. Po co się powtarzać.

    0
  • Pomocny post
    #12 21 Sty 2016 09:54
    Kolobos
    Spec od komputerów

    @Acorus 20 przeciez nie bede porownywal co podales, a co pominales. Sprawdzilem wszystko ponownie, tak jest szybciej.

    0
  • #13 21 Sty 2016 10:38
    yoro
    Poziom 5  

    Zrobiłem ponownie dokument fixlist z nowym skryptem, taki rezultat. Wrzucam fixlog.

    wklej.to/8sG6O

    MPC Cleaner nadal uparcie trzyma się, tak samo jak pliki temp.
    Pliki, które znalazłem jedynie przeglądając foldery to:
    desktop.ini
    ntuser.ini
    thumbs.db
    Nie wiem, nie znam się, nie mam pojęcia czy one są potrzebne czy nie. Wcześniej ich nie było. A czy mogę dodatkowo spytać, jak usunąć nagromadzające się pliki typu temp, pustych folderów, nie usunięte pliki po programach? One nic nie wnoszą tylko są. Jedyny sposób na takie rzeczy to format?


    NOWE LOGI z FRST:
    wklej.to/BirEs

    0
  • #14 21 Sty 2016 10:42
    Acorus 20
    Spec od komputerów

    To są pliki systemowe. Zostaw je w spokoju. Pokaż nowe logi z FRST.

    0
  • #15 21 Sty 2016 10:58
    yoro
    Poziom 5  

    Nowe logi z FRST

    wklej.to/T3yoL

    0
  • #16 21 Sty 2016 11:01
    Kolobos
    Spec od komputerów

    Wykonaj jeszcze raz fixlist.txt, ktory podalem. Tym razem w trybie awaryjnym, dodaj tez do fixlist.txt na poczatku:
    CloseProcesses:

    0
  • #17 21 Sty 2016 11:37
    yoro
    Poziom 5  

    Zrobione tak jak powinno. Problemy nadal te same.

    wklej.to/kYJQH

    edit: MPC Cleaner usunięty. Teraz problem plików .ini

    0
  • #18 21 Sty 2016 11:53
    Kolobos
    Spec od komputerów

    Wykonaj taki fixlist.txt:
    CloseProcesses:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [349152 2016-01-20] (DotC United Inc)
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    C:\Users\Public\Desktop\MPC Cleaner.lnk
    C:\Windows\System32\DRIVERS\MPCKpt.sys
    C:\Program Files (x86)\MPC Cleaner
    C:\WINDOWS\system32\Drivers\MPCKpt.sys
    C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    DisableService: MPCProtectService
    DisableService: MPCKpt
    RemoveDirectory: C:\Program Files (x86)\MPC Cleaner\
    Reboot:

    Wykonaj w trybie awaryjnym, po wykonaniu zamiesc fixlog oraz nowy log ze skanowania z FRST.

    Pliki ini to nie problem, w opcjach folderow wylacz pokazywanie plikow ukrytych, wtedy nie bedziesz widzial plikow ini.

    0
  • #19 21 Sty 2016 12:39
    yoro
    Poziom 5  

    Nowe logi FRST,

    wklej.to/vo8sY

    0
  • Pomocny post
    #20 21 Sty 2016 12:48
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt:
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
    C:\WINDOWS\system32\Drivers\MPCKpt.sys

    Mam nadzieje, ze tym razem zostanie usuniety.

    0
  • #21 21 Sty 2016 12:57
    yoro
    Poziom 5  

    Nie pomogło.

    Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:18-01-2016
    Uruchomiony przez Andrzej (2016-01-21 12:50:30) Run:5
    Uruchomiony z C:\Users\Andrzej\Downloads
    Załadowane profile: Andrzej (Dostępne profile: Andrzej & DefaultAppPool)
    Tryb startu: Normal
    ==============================================

    fixlist - zawartość:
    *****************
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
    C:\WINDOWS\system32\Drivers\MPCKpt.sys
    *****************

    MPCKpt => Nie można zatrzymać usługi.
    MPCKpt => serwis niepowodzenie przy usuwaniu
    C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => pomyślnie przeniesiono
    Nie można przenieść "C:\WINDOWS\system32\Drivers\MPCKpt.sys" => Zaplanowany do przeniesienia przy restarcie.

    Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 2016-01-21 12:52:13)

    "C:\WINDOWS\system32\Drivers\MPCKpt.sys" => Nie można przenieść

    ==== Koniec Fixlog 12:52:13 ====

    0
  • #22 21 Sty 2016 14:35
    Kolobos
    Spec od komputerów

    Wykonaj w trybie awaryjnym:
    Unlock: C:\WINDOWS\system32\Drivers\MPCKpt.sys
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    C:\WINDOWS\system32\Drivers\MPCKpt.sys

    Jezeli nie pomoze to uzyj w trybie awaryjnym OTL.
    Sciagnij OTL: http://www.bleepingcomputer.com/download/otl/

    Wklej do okna OTL taki skrypt:

    :Services
    MPCKpt

    :Files
    C:\WINDOWS\system32\Drivers\MPCKpt.sys

    :Reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MPC]
    "Location"=-
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MPCKpt]
    "Av_dir"=-
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\MPCKpt]
    "Av_dir"=-
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPCKpt]
    "Av_dir"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MPCKpt]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\MPCKpt]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPCKpt]


    W OTL nacisnij Wykonaj Skrypt.

    0
  • #23 21 Sty 2016 16:19
    yoro
    Poziom 5  

    FRST nie poradził sobie, OTL z tego co widzę też nie.



    ========== SERVICES/DRIVERS ==========
    Error: Unable to stop service MPCKpt!
    Unable to delete service\driver key MPCKpt.
    ========== FILES ==========
    File\Folder C:\WINDOWS\system32\Drivers\MPCKpt.sys not found.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MPC not found.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MPCKpt\\Av_dir scheduled to be deleted on reboot.
    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\MPCKpt not found.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPCKpt\\Av_dir scheduled to be deleted on reboot.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MPCKpt\ scheduled to be deleted on reboot.
    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\MPCKpt\ not found.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPCKpt\ scheduled to be deleted on reboot.

    OTL by OldTimer - Version 3.2.69.0 log created on 01212016_161354

    Files\Folders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MPCKpt\\Av_dir scheduled to be deleted on reboot.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPCKpt\\Av_dir scheduled to be deleted on reboot.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MPCKpt\ scheduled to be deleted on reboot.
    Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPCKpt\ scheduled to be deleted on reboot.

    0
  • #24 21 Sty 2016 16:19
    Kolobos
    Spec od komputerów

    Zamiesc nowy log z FRST, ze skanowania.

    0
  • #27 21 Sty 2016 17:15
    yoro
    Poziom 5  

    Udało się, dziękuję za poświęcony czas.

    Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:18-01-2016
    Uruchomiony przez SYSTEM (2016-01-21 17:11:38) Run:7
    Uruchomiony z G:\
    Tryb startu: Recovery
    ==============================================

    fixlist - zawartość:
    *****************
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-20] (DotC United Inc)
    C:\WINDOWS\system32\Drivers\MPCKpt.sys
    *****************

    MPCKpt => serwis pomyślnie usunięto
    C:\WINDOWS\system32\Drivers\MPCKpt.sys => pomyślnie przeniesiono

    ==== Koniec Fixlog 17:11:39 ====

    0