Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

MPC Cleaner- prośba o sprawdzenie logów z FRST

Thaiphoon 11 Lut 2016 22:17 681 7
  • #1 11 Lut 2016 22:17
    Thaiphoon
    Poziom 6  

    Dobry wieczór
    Najpierw pojawiało mi się fałszywe okienko install wizard do google chrome oraz wyszukiwarka searching.com. Użyłem Malwarebytes Anti-Malware, który wykrył 4 zagrożenia i przeniósł je do kwarantanny. Adw cleaner też wykrył 4 zagrożenia, po restarcie komputera kolejne dwa dotyczące MPC Cleanera. Nie znam genezy problemu. Przesyłam logi z FRST.
    Dziękuję za pomoc.

    0 7
  • #2 12 Lut 2016 08:39
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj Spybot - Search & Destroy.

    Cytat:

    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe
    (Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
    (Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
    (Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
    HKLM-x32\...\Run: [] => [X]
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\48.0.2564.109\ppGoogleNaClPluginChrome.dll => Brak pliku
    CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\48.0.2564.109\pdf.dll => Brak pliku
    CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll => Brak pliku
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [349152 2016-02-11] (DotC United Inc)
    R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1817560 2013-05-16] (Safer-Networking Ltd.)
    R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [1033688 2013-05-16] (Safer-Networking Ltd.)
    R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2013-05-15] (Safer-Networking Ltd.)
    S2 Update Rock Turner; "C:\Program Files (x86)\Rock Turner\updateRockTurner.exe" [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-11] (DotC United Inc)
    S4 DAdderFltr; system32\drivers\dadder.sys [X]
    2016-02-11 22:06 - 2016-02-11 22:06 - 00001729 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-02-11 22:06 - 2016-02-11 22:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-02-11 22:03 - 2016-02-11 22:05 - 00000000 ____D C:\AdwCleaner
    2016-02-11 21:27 - 2016-02-11 22:06 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go jako administrator i kliknij Fix.

    0
  • #3 12 Lut 2016 09:47
    Kolobos
    Spec od komputerów

    Uruchom system w trybie awaryjnym i tam wykonaj podany fixlist.txt:
    CloseProcesses:
    Task: {4B3E10AF-F2F3-4665-93DC-61118C07CD4A} - System32\Tasks\{57E1BAC8-730E-456B-A8BA-5D8036395990} => pcalua.exe -a "D:\Gry\Beyond good and evil\Support\Tages\TagesSetup.exe" -d "D:\Gry\Beyond good and evil\Support\Tages"
    Hosts:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe
    HKLM-x32\...\Run: [] => [X]
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2013-05-08] (Microsoft Corporation)
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
    DisableService: MPCProtectService
    DisableService: MPCKpt
    Unlock: C:\Program Files (x86)\MPC Cleaner\
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [349152 2016-02-11] (DotC United Inc)
    S2 Update Rock Turner; "C:\Program Files (x86)\Rock Turner\updateRockTurner.exe" [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-11] (DotC United Inc)
    S4 DAdderFltr; system32\drivers\dadder.sys [X]
    2016-02-11 22:06 - 2016-02-11 22:06 - 00001729 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-02-11 22:06 - 2016-02-11 22:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-02-11 22:03 - 2016-02-11 22:05 - 00000000 ____D C:\AdwCleaner
    2016-02-11 21:27 - 2016-02-11 22:06 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-02-11 21:27 - 2016-02-11 21:27 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
    2016-02-11 21:27 - 2016-02-11 21:27 - 00000000 _____ C:\Windows\SysWOW64\Number of results
    Move: C:\Program Files (x86)\MPC Cleaner\
    EmptyTemp:
    Reboot:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    I tak pewnie nie obejdzie sie bez uzycia frst z bootowalnego nosnika.

    0
  • #5 12 Lut 2016 22:55
    Kolobos
    Spec od komputerów

    Uruchom frst z bootowalnego nosnika tak jak to masz opisane tutaj:
    http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartuj%C4%85cych-windows/

    Wykonaj tam taki Fixlist.txt:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [349152 2016-02-11] (DotC United Inc)
    S2 HPSLPSVC; C:\Users\Komp\AppData\Local\Temp\7zS2C2A\hpslpsvc64.dll [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-11] (DotC United Inc)
    2016-02-12 21:02 - 2016-02-12 21:02 - 00001729 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-02-12 21:02 - 2016-02-12 21:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-02-11 21:27 - 2016-02-11 22:14 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-02-11 21:27 - 2016-02-11 21:27 - 00060136 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys


    Po wykonaniu zamiesc nowe logi utworzone w trybie normalnym.

    0
  • Pomocny post
    #7 15 Lut 2016 21:43
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt:
    C:\Windows\System32\Tasks\Safer-Networking

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #8 15 Lut 2016 22:00
    Thaiphoon
    Poziom 6  

    Dziękuję za pomoc.:)
    MPC Cleaner- prośba o sprawdzenie logów z FRST

    0