Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

MPCCleaner - Jestem kolejną ofiarą.

BeliasBRW 01 Lip 2016 16:06 783 19
  • #1 01 Lip 2016 16:06
    BeliasBRW
    Poziom 7  

    Po pierwsze witam wszystkich serdecznie. Szczerze przyznam, że jeszcze z takim wirusem nie miałem nigdy do czynienia. Blokuję mi moje połączenie z internetem. Pisząc ten temat musiałem kilka razy odświeżać stronę, ponieważ cały czas pojawiał mi się komunikat: "nie odnaleziono serwera". Nie przedłużając proszę serdecznie o pomoc. W załącznikach zostawiam logi Addition i FRST.

    0 19
  • Pomocny post
    #2 01 Lip 2016 16:45
    krzychupar
    Poziom 40  

    Odinstaluj:
    WinZip (HKLM-x32\...\WinZip) (Version: 2.0.10 - Winzipper Pvt Ltd.) <==== UWAGA

    Otwórz notatnik i wklej:
    CloseProcess:
    Task: {0B05831A-AE4C-429F-9BA0-5FCD1F1E1500} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\C1C88E4686DBB363EB7E298D73A688D1\Update\BrowserUpdate.exe [2016-04-08] (Tencent) <==== UWAGA
    Task: {33F415E1-908B-4A27-AC01-D316E7EF4C9C} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe <==== UWAGA
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [346]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [346]
    AlternateDataStreams: C:\Users\BRW:Heroes & Generals [38]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 [346]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
    AlternateDataStreams: C:\Users\BRW\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\Users\BRW\Dane aplikacji:NT2 [346]
    AlternateDataStreams: C:\Users\BRW\Desktop\Firefox Setup 47.0.1.exe:$CmdTcID [130]
    AlternateDataStreams: C:\Users\BRW\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\BRW\AppData\Roaming:NT2 [346]
    Hosts:
    HKU\S-1-5-19\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4515264 2016-05-28] (Microsoft Corporation) <==== UWAGA
    HKU\S-1-5-20\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4515264 2016-05-28] (Microsoft Corporation) <==== UWAGA
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\...\MountPoints2: {a44a13c9-2989-11e6-a3c7-184f322dceca} - "E:\Install.exe"
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\...\MountPoints2: {d9ae8ce4-2c9d-11e6-a3c8-184f322dceca} - "G:\Setup.exe"
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4515264 2016-05-28] (Microsoft Corporation) <==== UWAGA
    HKU\S-1-5-18\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4515264 2016-05-28] (Microsoft Corporation) <==== UWAGA
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}




    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-449805074-1424974578-3834787586-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-449805074-1424974578-3834787586-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=8257144d-bc35-4fcf-a636-7cd430c14251
    FF Homepage: about:home
    R2 jocefomuzbt; C:\Program Files (x86)\1C5C1F76-1467299347-11E5-BA4C-507B9D2752F6\knszED61.tmpfs [X]
    S2 Leoixlua; "C:\Users\BRW\AppData\Roaming\AbarpuOfeyup\Atadagea.exe" -cms [X]
    S3 ALSysIO; \??\C:\Users\BRW\AppData\Local\Temp\ALSysIO64.sys [X]
    U3 idsvc; Brak ImagePath
    U3 wpcsvc; Brak ImagePath
    2016-07-01 15:02 - 2016-07-01 15:02 - 00001758 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-07-01 15:02 - 2016-07-01 15:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-07-01 13:43 - 2016-07-01 13:44 - 00000000 ____D C:\Program Files (x86)\mpck
    2016-07-01 12:52 - 2016-07-01 12:52 - 00000266 __RSH C:\Users\BRW\ntuser.pol
    2016-06-30 17:34 - 2016-07-01 13:46 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-06-30 17:34 - 2016-07-01 13:43 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-03-12 09:00 - 2016-03-12 09:00 - 0065040 _____ () C:\Users\BRW\AppData\Roaming\Config.xml
    2016-04-26 15:05 - 2016-04-26 15:05 - 0000000 _____ () C:\Users\BRW\AppData\Roaming\gdfw.log
    2016-04-26 15:05 - 2016-04-26 15:05 - 0000779 _____ () C:\Users\BRW\AppData\Roaming\gdscan.log
    2016-03-12 08:59 - 2016-03-12 08:59 - 0011424 _____ () C:\Users\BRW\AppData\Roaming\InstallationConfiguration.xml
    2016-03-12 09:00 - 2016-03-12 09:00 - 0005568 _____ () C:\Users\BRW\AppData\Roaming\md.xml
    2016-03-12 09:00 - 2016-03-12 09:00 - 0032038 _____ () C:\Users\BRW\AppData\Roaming\uninstall_temp.ico
    2016-03-12 09:00 - 2016-03-12 09:00 - 1786944 _____ () C:\Users\BRW\AppData\Roaming\Vilafresh.tst
    2016-03-06 14:12 - 2016-03-06 16:20 - 0009374 _____ () C:\Users\BRW\AppData\Local\BTServer.log
    2016-06-28 18:50 - 2016-06-28 18:50 - 0038526 _____ () C:\Users\BRW\AppData\Local\recently-used.xbel
    2016-03-23 17:12 - 2016-03-23 17:12 - 0000016 _____ () C:\ProgramData\mntemp
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 01 Lip 2016 17:07
    BeliasBRW
    Poziom 7  

    Dziękuję, że tak szybko zareagowałeś. Wciąż jednak mam problemy z internetem. Wydaje się być strasznie wolny, nie wczytuję do końca stron tak jak powineń. Teraz tylko pozostaje kwestia jak bezpiecznie usunąć MPCCleaner. W Programach i Funkcjach nie pokazuję go na liście. Folder z "zainstalowanym programem" cały czas znajduję się w: C:\Program Files (x86)\MPC Cleaner
    W załączniku dołączam Fixlog.

    @edit
    Dodam, że podczas operacji miałem cały czas włączony COMODO. Nie wiem czy to ważne, ale gdzieś przeczytałem, że:
    "FRST działa w piaskownicy COMODO, co jest tu wysoce niepożądane, gdyż COMODO blokuje operacje modyfikacji. Skan FRST też wykonany z poziomu piaskownicy, stąd w logu "dziwne" rzeczy (np. ten komunikat o blokadzie BFE jest stąd, że COMODO ogranicza dostęp FRST."

    0
  • Pomocny post
    #4 01 Lip 2016 17:10
    krzychupar
    Poziom 40  

    Daj nowe logi z FRST.

    0
  • Pomocny post
    #5 01 Lip 2016 17:13
    Kolobos
    Spec od komputerów

    Przejdz do katalogu C:\Program Files (x86)\MPC Cleaner\ i uruchom uninstall z prawami administratora.

    Nastepnie wykonaj ostatni podany Fixlist.txt.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    @krzychupar Frst nie usunie sterownika mpc cleaner, trzeba najpierw odinstalowac program!

    0
  • #6 01 Lip 2016 17:30
    BeliasBRW
    Poziom 7  

    Dodam, że podczas operacji miałem cały czas włączony COMODO. Nie wiem czy to ważne, ale gdzieś przeczytałem, że:
    "FRST działa w piaskownicy COMODO, co jest tu wysoce niepożądane, gdyż COMODO blokuje operacje modyfikacji. Skan FRST też wykonany z poziomu piaskownicy, stąd w logu "dziwne" rzeczy (np. ten komunikat o blokadzie BFE jest stąd, że COMODO ogranicza dostęp FRST."

    Dodano po 14 [minuty]:

    Nowe logi. Dodam, że teraz kiedy włączam FRST za każdym razem na początku wyskakuję mi komunikat "failed to update"

    0
  • Pomocny post
    #7 01 Lip 2016 18:11
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    () C:\Users\BRW\AppData\Roaming\Pekpupeinu\Pekpupeinu.exe
    () C:\Users\BRW\AppData\Roaming\Pekpupeinu\Keehfildo.exe
    Hosts:
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\...\MountPoints2: {a44a13c9-2989-11e6-a3c7-184f322dceca} - "E:\Install.exe"
    HKU\S-1-5-21-449805074-1424974578-3834787586-1000\...\MountPoints2: {d9ae8ce4-2c9d-11e6-a3c8-184f322dceca} - "G:\Setup.exe"
    Tcpip\..\Interfaces\{4ddc213f-e3a8-11e5-a3ad-806e6f6e6963}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{790db762-9d0f-42fc-917c-e2c06ddbf477}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{a13dcc25-b409-49c8-be19-e5d1c662ae7f}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{ad417ae3-b280-4f0a-bc4f-a8e84ea8e7bc}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{bc5b00f4-ca23-4cc2-b764-9fd970fba075}: [NameServer] 104.197.191.4
    FF SearchPlugin: C:\Users\BRW\AppData\Roaming\Mozilla\Firefox\Profiles\18q9eqsc.default\searchplugins\so-v.xml [2016-04-15]
    R2 Botfinvel; C:\Users\BRW\AppData\Roaming\Pekpupeinu\Pekpupeinu.exe [170496 2016-06-30] () [Brak podpisu cyfrowego]
    S2 Gadte; "C:\Users\BRW\AppData\Roaming\DeluZaobpeo\Bhfoimz.exe" -cms [X]
    R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [65344 2016-06-30] (Windows (R) Win 7 DDK provider)
    S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]
    2016-07-01 16:56 - 2016-07-01 16:56 - 00000000 ____D C:\WINDOWS\system32\kad
    2016-07-01 15:01 - 2016-07-01 15:01 - 00000000 ____D C:\WINDOWS\system32\kum
    2016-07-01 13:44 - 2016-07-01 13:44 - 00000000 ____D C:\WINDOWS\system32\ipog
    2016-07-01 13:43 - 2016-07-01 14:45 - 00000000 ____D C:\Users\BRW\AppData\Roaming\Pekpupeinu
    2016-07-01 13:43 - 2016-07-01 13:57 - 00000000 ____D C:\Program Files (x86)\CleanBrowser
    2016-07-01 13:09 - 2016-07-01 13:09 - 00000000 ____D C:\WINDOWS\system32\vysn
    2016-07-01 12:58 - 2016-07-01 12:58 - 00000000 ____D C:\Users\BRW\AppData\Roaming\MCorp
    2016-06-30 17:35 - 2016-07-01 13:43 - 00027456 _____ C:\WINDOWS\system32\Drivers\bsdpf64.sys
    2016-06-30 17:35 - 2016-07-01 13:43 - 00026944 _____ C:\WINDOWS\system32\Drivers\bsdpr64.sys
    2016-06-30 17:35 - 2016-07-01 13:43 - 00000000 ____D C:\Users\BRW\AppData\Local\Tempfolder
    2016-06-30 17:35 - 2016-07-01 13:20 - 00000000 ____D C:\Users\BRW\AppData\Roaming\Fajcafrest
    2016-06-30 17:35 - 2016-06-30 17:35 - 00000000 ____D C:\Users\BRW\AppData\LocalLow01140A70
    2016-06-30 17:35 - 2016-06-30 17:35 - 00000000 ____D C:\Users\BRW\AppData\LocalLow000002CA83E985D8
    2016-06-30 17:35 - 2016-06-30 17:35 - 00000000 ____D C:\Users\BRW\AppData\LocalLow\Company
    2016-06-30 17:35 - 2016-06-30 17:35 - 00000000 ____D C:\Users\BRW\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
    2016-06-30 17:35 - 2016-06-30 17:35 - 00000000 ____D C:\uninst
    2016-06-30 17:34 - 2016-07-01 17:19 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-06-30 17:09 - 2016-07-01 13:14 - 00000000 ____D C:\Program Files (x86)\1C5C1F76-1467299347-11E5-BA4C-507B9D2752F6
    2016-06-30 17:06 - 2016-07-01 12:56 - 00000000 ____D C:\Users\BRW\AppData\Roaming\Checkers
    2016-06-30 14:22 - 2016-06-30 17:35 - 00065344 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\cherimoya.sys
    2016-07-01 17:20 - 2016-03-06 14:09 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    2016-07-01 16:49 - 2016-03-24 14:17 - 00000000 ____D C:\Program Files (x86)\WinZipper
    2016-06-04 10:21 - 2016-03-24 14:16 - 00000000 ____D C:\Users\BRW\AppData\Roaming\eCyber
    2016-06-03 18:08 - 2016-03-08 19:26 - 00000210 _____ C:\Users\BRW\Documents\aionmemo_5e61fb 2.dat


    Uzyj RepairDNS, napraw zainfekowane pliki i zamiesc log, ktory sie utworzy:
    https://www.elektroda.pl/rtvforum/download.php?id=731083
    Oraz nowe logi z FRST, ze skanowania, utworzone PO uzyciu RepairDNS.


    Zrob tez pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #8 01 Lip 2016 18:27
    BeliasBRW
    Poziom 7  

    Niestety, ale kiedy próbuję uruchomić RepairDNS wyskakuję mi taki błąd jak w załączonym screen'ie + FixLog z FRST.
    @edit
    Mbam też nie chce się odpalić ponieważ wymaga aktualizacji Bazy Danych a kiedy chce pobrać zawartość wyskakuję komunikat: Program Error Updating (0, 0 host not found)
    @edit 2
    Dr. Web znalazł Trojana w pliku dnsapi.dll

    0
  • #10 01 Lip 2016 18:36
    BeliasBRW
    Poziom 7  

    Identyczny błąd.

    0
  • #11 01 Lip 2016 18:38
    Kolobos
    Spec od komputerów

    Wklej do okna FRST:
    dnsapi.dll

    Nacisnij Szukaj Plikow i zamiesc log, ktory sie utworzy.

    0
  • #13 01 Lip 2016 18:52
    Kolobos
    Spec od komputerów

    Wykonaj taki Fixlist.txt:
    Replace: C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll C:\Windows\System32\dnsapi.dll
    Replace: C:\Windows\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll C:\Windows\SysWOW64\dnsapi.dll

    Po wykonaniu zamiesc nowe logi z FRST (razem z addition.txt).

    0
  • #15 01 Lip 2016 19:04
    Kolobos
    Spec od komputerów

    Nic, podalem Ci to samo do wykonania dla FRST, bez uzycia RepairDNS.

    Miales zamiescic nowe logi, a nie fixlog.
    > Po wykonaniu zamiesc nowe logi z FRST (razem z addition.txt).

    0
  • #16 01 Lip 2016 19:08
    BeliasBRW
    Poziom 7  

    Dodałem, mała pomyłka się wkradła, wybacz.

    0
  • #17 01 Lip 2016 19:12
    Kolobos
    Spec od komputerów

    Odinstaluj/wylacz antywirus.

    Jedno sie nie wykonalo. Uruchom system w trybie awaryjnym tam sprobuj.

    W trybie awaryjnym wykonaj Fixlist:
    Replace: C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll C:\Windows\System32\dnsapi.dll

    Sprawdz tez czy RepairDns juz dziala.

    Ps. Czy w curit wybrales naprawe C:\Windows\System32\dnsapi.dll?

    0
  • #18 01 Lip 2016 19:34
    BeliasBRW
    Poziom 7  

    Tak wybrałem naprawę. Tak RepairDNS już działa.

    ~ RepairDNS v2016.3.24.1 Nicolas Coolman (2016/03/24)
    ~ Run by BRW (Administrator) (2016/07/01 19:32:21)
    ~ Site : http://www.nicolascoolman.fr
    ~ Windows 10 Home,X64 (Build 10586)

    =======[ Microsoft Windows Defender Service ]
    The service is running

    =======[ Search DNS Dynamic Link Library 32/64bits (DLL) ]
    FOUND: C:\WINDOWS\System32\dnsapi.dll [686976] Microsoft Windows® =>Not infected
    FOUND: C:\WINDOWS\SysWOW64\dnsapi.dll [535080] Microsoft Windows® =>Not infected

    =======[ End Of Treatment ]

    0
  • #19 01 Lip 2016 19:36
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #20 01 Lip 2016 19:38
    BeliasBRW
    Poziom 7  

    Dziękuję ślicznie za pomoc bez was nigdy bym sobie nie poradził.

    0