Skocz do zawartości

Nieusuwalny MPC Cleaner


Rekomendowane odpowiedzi

Przez moją nie uwagę przypadkowo zainstalowałem MPC

 

Skanowałem komputer kilkanaście razy i to wszystko na nic nie wykryło tego syfu .(Próbowałem też przez FRST fixlist.txt i nie pomogło naprawiało sie 2h i nic  0 powiadomień o skutku więc wyłaczyłem FRST i napisałem do was z tym problmem) Co zrobiłem 

1.Odinstalowałem MPC

2.Usunołem wszystkie pliki MPC z pulpitu

W sieci jest porada aby go odinstalować poprzez dodaj/usuń programy ale tam go nie ma.

 

Już nie wiem co zrobić proszę o szybką odpowiedź

 

Mój system to Windows 7 64bit'owy

 

Załączam potrzebne pliki

Addition.txt

FRST.txt

Fixlog.txt

Edytowane przez Miszel03
Usuwam zbędne formatowanie z postu. //Miszel03
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt.

 

MPC Cleaner jest bardzo trudno usunąć jeśli jest aktywny i wymagana jest jego poprawna deinstalacja. W jaki sposób była ona wykonywana? A jeśli MPC Cleaner rzeczywiście się odinstalował, a po tym wrócił, to pewnie go odbudowało zadanie adware ChelfNotify zlokalizowane w Harmonogramie zadań. FRST nie przetworzy obiektów MPC Cleaner z poziomu załadowanego systemu, gdyż MPC Cleaner chroni własne komponenty. A w raporcie widać też inne problemy wynikające z adware, w tym uszkodzony łańcuch Winsock i fałszywy Firefox. Poza tym, przeglądarka Googe Chrome jest niepoprawnie odinstalowana lub zainstalowana: nie widnieje jako zainstalowana, ale na dysku są definitywnie jej komponenty i będę je usuwać.

 

Wstępne działania do przeprowadzenia:

 

1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Jeśli jest tam nadal plik uninstall, to z prawokliku na plik "Uruchom jako administrator". Po akcji zresetuj system. Jeśli pliku nie będzie lub deinstalacja się nie powiedzie, podam potem inny typ usuwania z poziomu niezaładowanego systemu.

 

2. Jeśli Google Chrome działa i masz w nim cenne zakładki, to je wyeksportuj, gdyż poniższy skrypt usunie elementy Chrome. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
BootExecute: autocheck autochk * sdnclean64.exe
MSCONFIG\Services: FirefoxU => 2
MSCONFIG\Services: InstallerWrapperService => 2
MSCONFIG\Services: MPCProtectService =>
MSCONFIG\startupreg: AvgUi => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw
S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {0F74C6A7-4056-475D-9E4D-C182B4BCDD83} - System32\Tasks\BirdsarahUpdateTaskMachineUA => C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe 
Task: {2F6BB819-A820-441B-AD57-4FFB1F9B0848} - System32\Tasks\{4947FFE5-AD90-4208-8F47-BF5D5A394F5B} => pcalua.exe -a "C:\Users\Adrian\Downloads\Mario Bros.exe" -d C:\Users\Adrian\Downloads
Task: {30E58CE5-80EB-41F5-9937-F324D28227EB} - System32\Tasks\{38B5F331-531C-4474-A74A-5852623C1011} => pcalua.exe -a C:\Users\Admin\Desktop\MinecraftZyczu.exe -d C:\Users\Admin\Desktop
Task: {33AD8994-DF38-4E71-8325-94EDE58243ED} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe
Task: {4406763A-D2F1-4F99-B02F-6B32989589C5} - System32\Tasks\PED_Torrent_Search => Rundll32.exe ARWOMlQ.dll,#67 
Task: {4C743893-AF61-4ABC-BB19-61FD00391EED} - System32\Tasks\HPCustParticipation HP Deskjet 2510 series => C:\Program Files\HP\HP Deskjet 2510 series\Bin\HPCustPartic.exe
Task: {59298CF3-1A68-4DD5-9842-FAA931FCC1CC} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\A39D5258EC5643F62A682A04474188BF\Update\BrowserUpdate.exe [2016-04-25] (Tencent) 
Task: {5DBD724B-3552-4F51-BFCF-514D8D08126E} - \BirdsarahUpdateTaskMachineCore -> Brak pliku 
Task: {938720D2-B31E-4A2E-99D2-A83805F4A252} - System32\Tasks\{C9C28585-8B96-4321-AD12-542D4C12FB71} => pcalua.exe -a C:\Users\Adrian\Desktop\MinecraftZyczu.exe -d C:\Users\Adrian\Desktop
Task: {A442EE28-2823-4857-A5AF-B636A0A750AA} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) 
Task: {C6836C85-FBC9-404F-BAB6-1A160093CA46} - System32\Tasks\Dravsynlether Core => C:\Program Files (x86)\Dravsynlether\Drvcoretsk.exe [2016-04-26] () 
GroupPolicy: Ograniczenia - Chrome 
HKU\S-1-5-21-606423241-2395403675-1338386720-1007\...\ChromeHTML: -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/
HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms}
SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-606423241-2395403675-1338386720-1007 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\TrueKey
C:\Program Files (x86)\Google
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\TXQQBrowser
C:\ProgramData\ChelfNotify
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Admin\Downloads\*-dp*.exe
C:\Users\Admin\AppData\Local\Google
C:\Users\Dominik\AppData\Local\Google
C:\Users\Mati\AppData\Local\AVG
C:\Users\Mati\AppData\Local\Google
C:\Users\Mati\AppData\Local\Firefox
C:\Users\Mati\AppData\Local\LogMeIn Hamachi
C:\Users\Mati\AppData\Roaming\Firefox
C:\Users\Mati\AppData\Roaming\Mozilla
C:\Users\Mati\AppData\Roaming\TuneUp Software
C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\Mati\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
CMD: netsh advfirewall reset
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Po przetworzeniu w/w skryptu na liście zainstalowanych programów ujawni się Google Update Helper, odinstaluj to.

 

4. Na razie nie instaluj żadnej przeglądarki i ustaw jako domyślną Internet Explorer. Aktualnie domyślną jest nieistniejąca w systemie Opera.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. I pytaniem jest czy można usunąć foldery C:\Users\Admin + C:\Users\Dominik, gdyż takich kont w systemie nie ma.

Odnośnik do komentarza

Zrobiłem wszystko tak jak prosiłaś i nic.. Nie odinstalował się wogule
 
Ps. Nie robię nic ręcznie
 
EDIT:
 
Tylko po tym skrypcie wyskoczyło mi 13 updatów windowsa i nie wiem czy je zakutalizować czy dalej czekać
@Ref

Edytowane przez Miszel03
Łącze dwa zbędne posty. //Miszel03
Odnośnik do komentarza

Na przyszłość: proszę nie uruchamiaj opcji "Fix" więcej niż raz. Skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Uruchomiłeś go aż 4 razy. I jak mówiłam, Fix nie zawierał żadnym elementów MPC, gdyż FRST spod Windows go nie usunie, wyraźnie mówiłam że podam inną metodę w przypadku niepowodzenia. Kolejne instrukcje:

 

1. Otwórz Notatnik i wklej w nim:

 

R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-01] (DotC United Inc) 
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-01] (DotC United Inc) 
C:\Program Files (x86)\MPC Cleaner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live\S.K.I.L.L. - Special Force 2.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Default\Desktop\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Gość\Desktop\Google Chrome.lnk
C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Mati\AppData\Roaming\MCorp
C:\Users\Public\Desktop\MPC AdCleaner.lnk
C:\Users\Public\Desktop\MPC Cleaner.lnk
C:\Users\Public\Desktop\MPC Desktop.lnk
C:\Windows\System32\drivers\MPCKpt.sys
RemoveDirectory: C:\Users\Admin
RemoveDirectory: C:\Users\Dominik

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. FRST oraz plik fixlist.txt umieść na pendrive.

 

2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Klik w Fix (Napraw), na pendrive powstanie plik fixlog.txt.

 

3. Zaloguj się z powrotem do Windows. Zainstaluj wybraną przeglądarkę. I zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...