Wyskakujące reklamy (MPC Cleaner)

[kodimaster]

Witam.

 

Mam problem prawdopodobnie z MPC Cleaner i być może coś jeszcze. Antywirus co chwile pokazuje jakieś alerty, w przeglądarce otwierają się strony.

Wrzucam logi w załączniku.

System Windows 10 64bit

 

AdwCleaner nie radzi sobie z problemem.

 

Mogę prosić o pomoc?

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

MPC Cleaner już zdewastowany w dużej części, ale to nie jedyny problem. Jest tu także infekcja DNS (ustawione rosyjskie adresy IP) oraz infekcja WMI i skrótów. Operacje do wdrożenia:

 

1. Sugeruję deinstalację YTD Video Downloader 5.1.1 (instalatory sponsorowane przez adware).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Tcpip\..\Interfaces\{94a3c708-b67c-4a8a-a520-2a927c10945a}: [NameServer] 188.120.239.115,8.8.8.8
WMI_ActiveScriptEventConsumer_ASEC: 
GroupPolicy: Ograniczenia - Chrome 
ShortcutWithArgument: C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MaTii\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
CHR DefaultSearchURL: Default -> hxxp://sc-downloader.com/?utm_source=cws-addon
CHR DefaultSearchKeyword: Default -> lp
CHR Session Restore: Default -> [funkcja włączona]
FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [brak pliku]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1436825657&z=ca3dbf97e090f4f1187b6e7g3z8ccqab0ofw3q6z9w&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1436825657&z=ca3dbf97e090f4f1187b6e7g3z8ccqab0ofw3q6z9w&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&q={searchTerms}
HKU\S-1-5-21-122393886-2402834969-4264950312-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131182763146670752&GUID=BA938CF2-7B82-4DA2-8DC6-0E843CB1F8A6
SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&ts=1436825672&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&ts=1436825672&type=default&q={searchTerms}
R1 {699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64; C:\Windows\System32\drivers\{699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64.sys [48784 2015-07-13] (StdLib)
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-06] () [brak podpisu cyfrowego] 
R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.2.4.1\WsAppService.exe [417792 2016-07-12] (Wondershare) [brak podpisu cyfrowego]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] 
S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X]
Task: {2B1BEFF4-F03B-45E1-98BB-5AC2422683B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {3D830C81-1DCB-4356-9C02-1D2DADEE7FA7} - System32\Tasks\{BE01AE9E-FE9F-49D6-A500-A9107FEBF637} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe" -c --appletID="DWA_UI" --appletVersion="2.0" --mode="Uninstall" --mediaSignature="{793C2BF7-A4FE-4608-91C9-9282C5801C21}"
Task: {464A9C76-72A1-4F6B-A44D-1CA539E95AC1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {588F3A9E-BBC4-4C09-A04F-5B3A16E73E6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {869D9A8D-737D-490B-9EB5-8DC2EFD2B97C} - \CCleanerSkipUAC -> Brak pliku 
Task: {9DDD24DB-C30B-4EBD-ACFC-C47A908D4B97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {B1DA4348-C111-4CE9-B7D5-28C756B12836} - \Bidaily Synchronize Task[973b] -> Brak pliku 
Task: {C54A051F-7BDE-4241-A365-734BB47DEBE4} - System32\Tasks\Perotainghernerry System => C:\Program Files (x86)\Kazushsicty\shehuch.exe
Task: {C89CBA81-177C-4546-91F8-06ECE914D94E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {CE8B7790-821A-44CD-9D84-BFEE0E9C9B18} - System32\Tasks\Cjaythituther Core => C:\Program Files (x86)\Shoqeent\cjycrLiterpyprwch.exe
Task: {CEAAAD92-4C70-4C4E-96A8-C6B9FEDAB731} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {D6B307DD-F784-49DD-8EE8-519279478097} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {DB6176F2-99F8-4A17-907B-162D963D3710} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {EC1E7DF8-2E29-433A-8F04-85FB93412781} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {EDC201D7-61E5-4695-BB10-85933C9F0279} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {FD55AA12-0616-41A2-945B-1139F3AE078D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{4fdce565-d225-1a2f-4fdc-ce565d229597}\setup_product_27839.exe 
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKLM-x32\...\Run: [] => [X]
HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0"
HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "EADM"
HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "AirDroid 3"
HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "MailStylerWarmup"
FirewallRules: [{61ACB03D-D3EB-4EAF-B55C-0B335EF8BBAB}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{54DA602D-4D06-4575-921C-66C5C0236DE5}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\7zS7ACA\HPDiagnosticCoreUI.exe
FirewallRules: [{CB878BC1-B4E1-496E-9C96-E81C80B50767}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\7zS7ACA\HPDiagnosticCoreUI.exe
FirewallRules: [{1A62BBBB-E291-46E7-B65F-91D4F8867BEC}] => (Allow) C:\Users\MaTii\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{086263FF-7441-400A-A686-B5CECC6E103B}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\2.1.20.1931\GeePlayer.exe
FirewallRules: [{D1DFB400-51C4-4F4D-9D4C-6564327B75C4}] => (Allow) C:\Users\MaTii\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{145C7443-E946-4E9B-B656-E00E99D41778}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\2.1.20.1931\GeePlayer.exe
FirewallRules: [{2836A2DD-0D9F-4870-8286-BB7F26330A10}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{85A265A0-7995-4689-BB3F-819FCAC6C0DA}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{FD264E4A-8DF8-4D83-94C9-7AD808E5201E}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\00025266\inst_buychannel_37.exe
FirewallRules: [{12F18B45-AC30-4D6F-AD4B-6669B9E56441}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\00025266\inst_buychannel_37.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C}
C:\Program Files (x86)\DrFoneAndroid_Temp
C:\Program Files (x86)\KMSPico 10.0.6
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\sbqh
C:\Program Files (x86)\Shoqeent
C:\Program Files (x86)\Wondershare
C:\ProgramData\mntemp
C:\ProgramData\rxsmznjf.zcp
C:\ProgramData\AVAST Software
C:\ProgramData\Avg
C:\ProgramData\Avira
C:\ProgramData\Wondershare
C:\ProgramData\wsr
C:\ProgramData\Microsoft\Windows\Start Menu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InsERT
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk
C:\Users\MaTii\.android
C:\Users\MaTii\AppData\Local\{65EE4718-B44C-4891-91B7-8CA860D4CA38}
C:\Users\MaTii\AppData\Local\Kabeghtjerpoing
C:\Users\MaTii\AppData\Roaming\09ED6CC2-1436825761-3449-A18F-2C316B87DAF5
C:\Users\MaTii\AppData\Roaming\ClassicShell
C:\Users\MaTii\AppData\Roaming\GameLauncher
C:\Users\MaTii\AppData\Roaming\HMYGSetting
C:\Users\MaTii\AppData\Roaming\Wondershare
C:\Users\MaTii\AppData\Roaming\IObit\Advanced SystemCare V7
C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk
C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk
C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome
C:\Users\MaTii\AppData\Roaming\Microsoft\Word\cv-katarzyna-jozefiak305442872836301973\cv-katarzyna-jozefiak.docx.lnk
C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Kasiarz GT.lnk
C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Novitus wgrywanie grafiki i animacji.lnk
C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Sello.lnk
C:\Windows\System32\drivers\{699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64.sys
C:\WINDOWS\System32\drivers\MPCKpt.sys
C:\WINDOWS\system32\Drivers\RegDeleteEx.sys
C:\WINDOWS\SysWOW64\dllhost.exe.config
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

* Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny.

 

3. Zresetuj ustawienia przeglądarek:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

[kodimaster]

Zrobiłem wszystko wg instrukcji. W załączniku logi.

Przeglądarka google chrome po tych operacjach przestała działać.

Nie ma chyba także przeglądarki Internet Explorer.

 

Co dalej?

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Przeglądarka google chrome po tych operacjach przestała działać.

Nie ma chyba także przeglądarki Internet Explorer.

Co konkretnie masz na myśli? Na czym polega niedziałanie Chrome? A w skrypcie FRST były usuwane zmanipulowane przez infekcję skróty Chrome i IE. Czy Ty aby nie mylisz zaniku skrótów z zanikiem całej przeglądarki IE? Przeglądarka jest w systemie (wykryta w nagłówku FRST). Te skróty i tak mają podrzędne znaczenie, bo na Windows 10 IE jest właśnie domyślnie "schowany", główną przeglądarką jest Edge a nie IE.

 

 

MPC Cleaner nie usunął się. Musimy go załatwić z poziomu środowiska zewnętrznego RE. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] 
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-06] (DotC United Inc) 
C:\Program Files (x86)\MPC Cleaner
C:\WINDOWS\system32\Drivers\MPCKpt.sys

 

Plik zapisz pod nazwą fixlist.txt. Plik ten razem z FRST64.exe umieść na pendrive.

 

2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. W FRST klik w Napraw (Fix). Na pendrive powstanie plik fixlog.txt.

 

3. Zaloguj się z powrotem do Windows i zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[kodimaster]

Chrome już działa, skróty po prostu zrobiły się nieaktywne.

 

Po kolejnych krokach wygląda to tak:

Fixlog.txt

FRST.txt

[picasso]

Wszystko pomyślnie wykonane. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q C:\WINDOWS\system32\Drivers\RegDeleteEx.sys
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[kodimaster]

Super, już jest chyba wszystko ok

Dziękuję bardzo za pomoc.

 

Trochę poza tematem. Mogę się jakoś zabezpieczyć przed takimi i podobnymi rzeczami?

Mam ESET Smart Security 9 ale jak widać nie pomógł...

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Jeszcze na wszelki wypadek zrób skan w Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), przedstaw raport.

 

 

Trochę poza tematem. Mogę się jakoś zabezpieczyć przed takimi i podobnymi rzeczami?

Mam ESET Smart Security 9 ale jak widać nie pomógł...

Popatrz na listę programów tutaj: KLIK. Przykładowo z darmowych programów blokujących instalacje adware/PUP to Unchecky, z komercyjnych pełna wersja MBAM czy Emsisoft. Antywirusy jako takie słabo adresują temat zagrożeń adware/PUP.

[kodimaster]

Hitman nie wykrył żadnych zagrożeń ale log wrzucam.

 

Dzięki za informację, zainstaluję któryś z nich.

 

I jeszcze raz dzięki za pomoc

HitmanPro_20160920_2302.txt

[picasso]

Jak to nie wykrył zagrożeń? W logu dużo szczątków adware (sekcja Potential Unwanted Programs), także Cookies oraz kopie FRST (to się nie liczy). Wszystko usuń za pomocą programu, w tym kopie FRST bo są zbędne.

 

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[kodimaster]

Sugerowałem się tym że była informacja "wykryte zagrożenia: 0"

Tym razem nie znalazło nic.

 

Foldery przywracania systemu usunięte.

 

Czy jeszcze coś powinienem zrobić? Albo wypadałoby zrobić?

DelFix.txt

HitmanPro_20160921_0000.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

 

To wszystko.

[kodimaster]

OK. Dzięki wielkie