Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Brak możliwości usunięcia MPC Cleaner, reklamy

damo1901 04 Maj 2016 17:50 891 7
  • #1 04 Maj 2016 17:50
    damo1901
    Poziom 7  

    Witam, mam podobny problem z usunięciem tego "czegoś" i nie mogę się połapać jak stworzyć plik fixlist.txt, a niestety męczę się z tym od paru godzin usuwając po drodze inne złośliwe reklamy. Dodam, że AdwCleaner podczas usuwania tegoż MPC Cleaner niestety kończył swoją pracę poprzez wymuszenie zamknięcia programu. Załączam logi z FRST.

    Moderowany przez dt1:

    W przypadku "podobnych problemów" proszę jednak zakładać swój własny temat.

    0 7
  • #2 04 Maj 2016 19:39
    Acorus 20
    Spec od komputerów

    Odinstaluj WebStorage. Wejdz do katalogu C:\Program Files (x86)\MPC Cleaner\ i uruchom uninstall.exe z prawami administratora.
    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {1924E82B-3B14-4F46-8BD1-F4838426B3ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {2CFEC21E-E60F-4060-9760-95893ED3E184} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {6DB6351B-9DAB-4918-B676-BC19E97562F8} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {8AF30ADB-1137-4100-9162-44882CBB64A4} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {DE3C0618-F866-4957-908C-F1D3C625895E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Hosts:
    HKLM-x32\...\Run: [WebStorage] => C:\Program Files (x86)\ASUS\WebStorage\2.2.6.547\ASUSWSLoader.exe [63272 2015-12-24] ()
    HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\RunOnce: [Uninstall C:\Users\damia_000\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\damia_000\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64"
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\RunOnce: [Uninstall C:\Users\damia_000\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\damia_000\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64"
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\RunOnce: [Uninstall C:\Users\damia_000\AppData\Local\Microsoft\OneDrive\17.3.6302.0225\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\damia_000\AppData\Local\Microsoft\OneDrive\17.3.6302.0225\amd64"
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\MountPoints2: {0acba009-b212-11e5-8266-acb57daa5d92} - "E:\setup.exe"
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\MountPoints2: {b90c807d-e112-11e5-8274-0862660f291e} - "E:\Setup.exe"
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\MountPoints2: {df97d6eb-ac1e-11e5-825f-acb57daa5d92} - "E:\Setup.exe"
    HKU\S-1-5-21-1550292810-1907697971-791211469-1001\...\MountPoints2: {f234022e-0097-11e6-827e-0862660f291e} - "E:\Setup.exe"
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
    AutoConfigURL: [S-1-5-21-1550292810-1907697971-791211469-1001] => hxxp://unstops.net/wpad.dat?4c115c4367c9610f1fa2ba8813b2ac159741632
    ManualProxies: 0hxxp://unstops.net/wpad.dat?4c115c4367c9610f1fa2ba8813b2ac159741632




    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    BHO: Brak nazwy -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> Brak pliku
    CHR HomePage: ChromeDefaultData2 -> hxxp://www.hohosearch.com/?mode=loadm&pti...190591&v=20160504&ts=AHEqAXAqAHQkB0....
    S2 BgcbldSrv; "C:\Program Files (x86)\Begoch\BgcbldSrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
    S2 MputyqasiedHostservice; "C:\Program Files (x86)\Mputyqasied\MputyqasiedHostservice.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
    S1 alxmtwfu; \??\C:\WINDOWS\system32\drivers\alxmtwfu.sys [X]
    2016-05-04 16:22 - 2016-05-04 16:46 - 00120591 _____ C:\spyhunter.fix
    2016-05-04 16:15 - 2016-05-04 16:52 - 00000000 ____D C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
    2016-05-04 16:15 - 2016-05-04 16:15 - 15397208 _____ C:\Users\damia_000\Downloads\SpyHunter 4.1.11.0 [ENG] program.exe
    2016-05-04 16:15 - 2016-05-04 16:15 - 03021720 _____ (Enigma Software Group USA, LLC.) C:\Users\damia_000\Downloads\SpyHunter4.exe
    2016-05-04 16:15 - 2016-05-04 16:15 - 00000000 ____D C:\Program Files (x86)\Enigma Software Group
    2016-05-04 15:52 - 2016-05-04 15:52 - 00000000 _____ C:\autoexec.bat
    2016-05-04 15:50 - 2016-05-04 15:50 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
    2016-05-04 13:29 - 2016-05-04 13:29 - 6494208 _____ () C:\Users\damia_000\AppData\Roaming\agent.dat
    2016-05-04 13:29 - 2016-05-04 13:29 - 0054272 _____ () C:\Users\damia_000\AppData\Roaming\ApplicationHosting.dat
    2016-05-04 13:29 - 2016-05-04 13:29 - 0065568 _____ () C:\Users\damia_000\AppData\Roaming\Config.xml
    2016-05-04 13:28 - 2016-05-04 13:29 - 0015840 _____ () C:\Users\damia_000\AppData\Roaming\InstallationConfiguration.xml
    2016-05-04 13:28 - 2016-05-04 13:28 - 0127488 _____ () C:\Users\damia_000\AppData\Roaming\Installer.dat
    2016-05-04 13:29 - 2016-05-04 13:29 - 0126464 _____ () C:\Users\damia_000\AppData\Roaming\lobby.dat
    2016-05-04 13:29 - 2016-05-04 13:29 - 0018432 _____ () C:\Users\damia_000\AppData\Roaming\Main.dat
    2016-05-04 13:29 - 2016-05-04 13:29 - 0005568 _____ () C:\Users\damia_000\AppData\Roaming\md.xml
    2016-05-04 13:29 - 2016-05-04 13:29 - 0126464 _____ () C:\Users\damia_000\AppData\Roaming\noah.dat
    2016-05-04 13:29 - 2016-05-04 13:29 - 0848437 _____ () C:\Users\damia_000\AppData\Roaming\Opefinstock.bin
    2016-05-04 13:29 - 2016-05-04 13:29 - 1626777 _____ () C:\Users\damia_000\AppData\Roaming\Ozerla.tst
    2016-05-04 13:29 - 2016-05-04 13:29 - 0032038 _____ () C:\Users\damia_000\AppData\Roaming\uninstall_temp.ico
    2016-05-04 13:29 - 2016-05-04 13:29 - 0072717 _____ () C:\Users\damia_000\AppData\Roaming\Zotcof.tst
    C:\ProgramData\a.bat
    C:\ProgramData\fastboot.exe
    RemoveProxy:
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #3 04 Maj 2016 20:45
    damo1901
    Poziom 7  

    Niestety nie ma pliku uninstall. Proces nadal figuruje w menedżerze zadań - nie można go zakończyć. folder MPC Cleaner nadal figuruje z plikami nie do ruszenia. W załączniku screen z plikami jakie pozostały w folderze.
    Brak możliwości usunięcia MPC Cleaner, reklamy

    0
  • #4 04 Maj 2016 20:54
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #6 04 Maj 2016 21:16
    Kolobos
    Spec od komputerów

    Wyglada na to, ze inny program usunal juz czesc infekcji, teraz nie da sie tego latwo usunac.

    Uruchom FRST z poziomu WinRe: http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujących-windows/#entry32551 i wykonaj taki Fixlist.txt:
    CloseProcesses:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-04] (DotC United Inc)
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-04] (DotC United Inc)
    S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
    2016-05-04 14:39 - 2016-05-04 14:39 - 00000000 ____D C:\Windows\system32\girh
    2016-05-04 14:29 - 2016-05-04 14:29 - 00000000 ____D C:\Windows\system32\sofn
    2016-05-04 14:22 - 2016-05-04 14:22 - 00000000 ____D C:\Windows\system32\unoy
    2016-05-04 14:06 - 2016-05-04 14:06 - 00000000 ____D C:\Windows\system32\anan
    2016-05-04 13:55 - 2016-05-04 13:55 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\MCorp
    2016-05-04 13:54 - 2016-05-04 14:56 - 00413439 _____ C:\ProgramData\xdo.zip
    2016-05-04 13:50 - 2016-05-04 13:50 - 00000000 ____D C:\Windows\system32\jeos
    2016-05-04 13:44 - 2016-05-04 13:44 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow00F2C1C8
    2016-05-04 13:44 - 2016-05-04 13:44 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow000001B4A8E43F58
    2016-05-04 13:42 - 2016-05-04 13:42 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow00D1DC40
    2016-05-04 13:42 - 2016-05-04 13:42 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow00D1B6F0
    2016-05-04 13:42 - 2016-05-04 13:42 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow0000026F2560EA18
    2016-05-04 13:42 - 2016-05-04 13:42 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow0000026F255DEED8
    2016-05-04 13:38 - 2016-05-04 13:38 - 00000000 ____D C:\Windows\system32\ony
    2016-05-04 13:37 - 2016-05-04 13:37 - 00000000 ____D C:\Windows\system32\oaa
    2016-05-04 13:36 - 2016-05-04 13:42 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2016-05-04 13:35 - 2016-05-04 13:35 - 00000266 __RSH C:\ProgramData\ntuser.pol
    2016-05-04 13:35 - 2016-05-04 13:35 - 00000000 ____D C:\extensions
    2016-05-04 13:35 - 2016-04-25 13:29 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
    2016-05-04 13:34 - 2016-05-04 15:29 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-05-04 13:34 - 2016-05-04 15:03 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\Cedfis
    2016-05-04 13:34 - 2016-05-04 15:02 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\QufsaMimcoku
    2016-05-04 13:34 - 2016-05-04 13:34 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
    2016-05-04 13:34 - 2016-05-04 13:34 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\Macromedia
    2016-05-04 13:33 - 2016-05-04 15:02 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\Zuuavle
    2016-05-04 13:33 - 2016-05-04 13:34 - 00000000 ____D C:\Users\damia_000\AppData\Local\Tempfolder
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\Users\Public\Documents\dmp
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\Users\damia_000\AppData\Roaming\gplyra
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\Users\damia_000\AppData\LocalLow\Company
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\Users\damia_000\AppData\Local\Apps\2.0
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\uninst
    2016-05-04 13:33 - 2016-05-04 13:33 - 00000000 ____D C:\ProgramData\Thunder Network
    2016-05-04 13:29 - 2016-05-04 13:29 - 00000000 ____D C:\ProgramData\Holdtams


    Jezeli nie masz jak uruchomic WinRe to zrob tak:
    Pobierz i uruchom: http://www.novirusthanks.org/products/registry-deleteex/

    Zaznacz opcje "Recursively delete all subkeys". W pasku wklej kolejno (i Delete):
    HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt
    HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService
    Zrestartuj system. Napisz czy klucze sie usunely.
    Nastepnie wykonaj podany wczesniej Fixlist.txt, najlepiej w trybie awaryjnym.
    Jednak lepiej zebys uruchomil WinRe, to najszybszy i najlatwiejszy sposob usuniecia.

    0
  • #8 04 Maj 2016 21:56
    Kolobos
    Spec od komputerów

    Wykonaj jeszcze taki Fixlist.txt:
    2016-05-04 14:53 - 2016-05-04 14:53 - 00000000 ____D C:\Windows\system32\baih

    Po wykonaniu usun katalog C:\FRST i to wszystko.
    Brak możliwości usunięcia MPC Cleaner, reklamy

    0