Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Infekcja MPCCleaner - jak usunąć?

resource 01 Lip 2016 15:25 900 15
  • #1 01 Lip 2016 15:25
    resource
    Poziom 8  

    Witam serdecznie.
    Proszę o pomoc w usunięciu MPCCleaner.

    0 15
  • #2 01 Lip 2016 15:38
    krzychupar
    Poziom 40  

    Jeszcze log Addition.exe i zamieść obydwa logi jako załączniki.

    0
  • #4 01 Lip 2016 16:02
    krzychupar
    Poziom 40  

    Odinstaluj:
    DNS Unlocker (HKLM-x32\...\DNSUnlocker.ns) (Version: - ) <==== UWAGA
    Setup (HKLM-x32\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}) (Version: - ) <==== UWAGA
    TTWiFi 1.0.0.1 (HKLM-x32\...\ttwifi) (Version: 1.0.0.1 - ) <==== UWAGA

    Otwórz notatnik i wklej:

    Spoiler:
    Task: {0C6BA126-7F62-42C8-B63B-F9CE22BFE29B} - System32\Tasks\DNS Monitoring => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\DNSUNL~1\DNSMON~1.DLL" <==== UWAGA
    Task: {2153439E-BCBA-4E77-B5A5-3DB17869B4E5} - System32\Tasks\Morlerw => C:\Program Files\Pefdoufjidne\Onemup.bat [2016-04-12] () <==== UWAGA
    Task: {2D227690-884D-4B60-BD94-06640D3965FA} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe <==== UWAGA
    Task: {48F10A19-C7DB-4AF7-BBAF-38D9A2410917} - System32\Tasks\osTip => C:\ProgramData\WindowsMsg\osmsg.exe <==== UWAGA
    Task: {718DA7F9-7A40-4913-99D5-434D6D82671C} - System32\Tasks\Tajiesey => C:\Program Files\Roib\Giwjoo.bat [2016-04-12] () <==== UWAGA
    Task: {72E39B76-E6DD-447F-AAAC-118947949946} - System32\Tasks\DNSPEACHBURG => dnspeachburg.exe <==== UWAGA
    Task: {7A4777A7-A9A5-4847-A3C3-AC8599796B5A} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\556008CA79FE3427BCCD62B1531D25B2\Update\BrowserUpdate.exe <==== UWAGA
    Task: {7C6D3844-7A1A-4CE0-951F-7495BB908A3E} - System32\Tasks\WinTsks => C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe <==== UWAGA
    Task: {D8123DFA-1244-4FE9-B63D-4B87692EC68D} - System32\Tasks\{0A0A0F47-7E79-0E0D-0C11-0D780D7F117A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ACAAOwA7ACAAOwA7ADsAIAAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAiADsAJABXAGEAcgBuAGkAbgBnAFAAcgBlAGYAZQByAGUAbgBjAGUA (dane wartości zawierają 9360 znaków więcej). <==== UWAGA
    Task: {FAC972D9-49D5-4CC2-8E85-21EF66E3A32E} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\Monika\AppData\Roaming\FreeVPN\FreeVPN.exe <==== UWAGA
    Hosts:
    () C:\Program Files\Pefdoufjidne\KukEicu.exe
    () C:\Program Files\Roib\TefeDoruisu.exe
    HKLM-x32\...\Run: [rec_pl_251] => [X]
    HKLM-x32\...\Run: [mpck_en_005030294] => [X]
    HKU\S-1-5-21-78806725-3207187764-2294151874-1001\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\osmsg.exe /AUTORUN
    AppInit_DLLs: C:\ProgramData\Quotenamron\Tripplejob.dll => Brak pliku
    AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Dentodex.dll => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-78806725-3207187764-2294151874-1001\Software\Microsoft\Internet Explorer\Main,Search Page = bing




    HKU\S-1-5-21-78806725-3207187764-2294151874-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = bing
    HKU\S-1-5-21-78806725-3207187764-2294151874-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = bing
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL = bing
    SearchScopes: HKU\S-1-5-21-78806725-3207187764-2294151874-1001 -> DefaultScope {ielnksrch} URL = bing
    SearchScopes: HKU\S-1-5-21-78806725-3207187764-2294151874-1001 -> {ielnksrch} URL = bing
    BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\38w9icVLckkY.dll => Brak pliku
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    CHR Extension: (Checked List) - C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\fpfbakmhemgfonfoffapjpkmeniimhfn [2016-04-12] [UpdateUrl: <==== UWAGA
    CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
    R3 KukEicu; C:\Program Files\Pefdoufjidne\KukEicu.exe [425824 2016-04-12] ()
    R3 TefeDoruisu; C:\Program Files\Roib\TefeDoruisu.exe [425312 2016-04-12] ()
    S2 Ikitp; "C:\Users\Monika\AppData\Roaming\HodyPam\Nipajum.exe" -cms [X]
    S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X]
    S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X]
    S2 WinSvces; "C:\Program Files (x86)\WinSvces\WinSvces\WinSvces.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-04-12] (DotC United Inc)
    2016-04-12 09:59 - 2016-04-12 09:59 - 6505472 _____ () C:\Users\Monika\AppData\Roaming\agent.dat
    2016-04-12 09:59 - 2016-04-12 09:59 - 1627008 _____ () C:\Users\Monika\AppData\Roaming\Canhold.tst
    2016-04-12 09:59 - 2016-04-12 09:59 - 0065232 _____ () C:\Users\Monika\AppData\Roaming\Config.xml
    2016-04-12 09:58 - 2016-04-12 09:58 - 0064255 _____ () C:\Users\Monika\AppData\Roaming\inst.lat
    2016-04-12 09:58 - 2016-04-12 09:58 - 0014208 _____ () C:\Users\Monika\AppData\Roaming\InstallationConfiguration.xml
    2016-04-12 09:58 - 2016-04-12 09:58 - 0127488 _____ () C:\Users\Monika\AppData\Roaming\Installer.dat
    2016-04-12 09:59 - 2016-04-12 09:59 - 1932216 _____ () C:\Users\Monika\AppData\Roaming\LamTop.bin
    2016-04-12 09:59 - 2016-04-12 09:59 - 0018432 _____ () C:\Users\Monika\AppData\Roaming\Main.dat
    2016-04-12 09:59 - 2016-04-12 09:59 - 0005568 _____ () C:\Users\Monika\AppData\Roaming\md.xml
    2016-04-12 09:59 - 2016-04-12 09:59 - 0126464 _____ () C:\Users\Monika\AppData\Roaming\noah.dat
    2016-04-12 09:59 - 2016-04-12 09:59 - 0032038 _____ () C:\Users\Monika\AppData\Roaming\uninstall_temp.ico
    2016-04-25 13:00 - 2016-04-25 13:00 - 0000017 _____ () C:\Users\Monika\AppData\Local\resmon.resmoncfg
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #6 01 Lip 2016 16:53
    krzychupar
    Poziom 40  

    Odinstaluj:
    Setup (HKLM-x32\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}) (Version: - ) <==== UWAGA

    Otwórz notatnik i wklej:
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-04-12] () [Brak podpisu cyfrowego]

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    1
  • #7 01 Lip 2016 17:11
    Kolobos
    Spec od komputerów

    Przejdz do katalogu C:\Program Files (x86)\MPC Cleaner\ i uruchom uninstall z prawami administratora.

    Nastepnie wykonaj ostatni podany Fixlist.txt.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    1
  • #8 05 Lip 2016 10:59
    resource
    Poziom 8  

    Witam serdecznie.
    Nie potrafię usunąć tego Setup (HKLM-x32\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC.
    Nie widzę go w panelu sterowania w programach ani aktualizacjach . Nie widzę go też w folderze Pliki programów (x86) ani Program Files (w ukrytych folderach też nie).
    Robić naprawę bez usunięcia czy nie ma sensu?
    Pozdrawiam
    Monika

    0
  • #9 05 Lip 2016 11:01
    Domino_2
    Pomocny dla użytkowników

    Pomiń to i wykonaj resztę.

    0
  • #10 05 Lip 2016 12:45
    resource
    Poziom 8  

    Dziękuję za pomoc.
    Nie mogę go odinstalować - wszystkie podfoldery w folderze MPCCleaner są puste (załączam prinscreena).
    Nie ma go też w panelu sterowania w dodaj/usuń programy (wcześniej był).
    Zrobiłam naprawę i potem skanowanie. Logi w załącznikach.

    0
  • #11 05 Lip 2016 14:18
    Kolobos
    Spec od komputerów

    Uruchom FRST z poziomu WinRe o tak: http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujących-windows/

    Wykonaj tam taki Fixlist.txt:
    Task: {C339F081-D1D8-40B5-B879-D8D33D89E495} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
    Tcpip\..\Interfaces\{1fcbc5ec-4bff-426b-a4d4-414f2713ec14}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{6554229f-9b56-49d9-ab53-fb4416f4b4b8}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{8737d0a7-871b-44b0-8936-8152915a29eb}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{9f8d815f-f0dc-11e5-a5ef-806e6f6e6963}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{a472971b-8435-4511-aead-907167eb2c85}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{c11366cf-e63f-4d97-a3a2-8cb9f19a2a6c}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{f7af34aa-e550-44a8-9791-730c7eb466af}: [NameServer] 104.197.191.4
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    CHR Extension: (Checked List) - C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\fpfbakmhemgfonfoffapjpkmeniimhfn [2016-04-12] [UpdateUrl: hxxp://wwwcheckedlistap-a.akamaihd.net/update/chrome] <==== UWAGA
    CHR Extension: (Torrent Search) - C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\piaphheklodiededmbmgfcfbcagncgka [2016-04-12]
    S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X]
    R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [65856 2016-04-12] (Windows (R) Win 7 DDK provider)
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-04-12] () [Brak podpisu cyfrowego]
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [89840 2016-01-26] (Huorong Borui (Beijing) Technology Co., Ltd.)
    R1 {8fd16984-f872-41a4-8820-246c3230d450}Gw64; C:\Windows\System32\drivers\{8fd16984-f872-41a4-8820-246c3230d450}Gw64.sys [48744 2016-04-11] (StdLib)
    2016-07-05 11:45 - 2016-04-12 12:05 - 00000490 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    C:\Program Files (x86)\MPC Cleaner\

    Po wykonaniu zamiesc nowe logi z FRST, zrobione w trybie normalnym.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #13 05 Lip 2016 18:24
    Kolobos
    Spec od komputerów

    To sa stare logi z 1.07, masz zamiescic nowe.

    0
  • #15 06 Lip 2016 11:35
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    Task: {C339F081-D1D8-40B5-B879-D8D33D89E495} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    2016-07-05 12:38 - 2016-07-05 12:38 - 00000000 ____D C:\Users\Monika\Desktop\FRST-OlderVersion

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #16 06 Lip 2016 11:46
    resource
    Poziom 8  

    Zrobiłam. Dziękuję bardzo.
    Infekcja MPCCleaner - jak usunąć?

    0