startgo123 - nie mogę usunąć tego z systemu

[Henry]

Witam.

Z gory przepraszam, ze pisze bez polskich znakow.

Moj problem polega na tym, ze w obu przegladarkach, jakie posiadam, czyli Firefox i IE, po uruchomieniu pojawia sie strona: hxxp://xxx.startgo123.com, jako startowa, mimo tego, ze w opcjach przegladarek, nie widnieje jako strona startowa.

Zasiegnalem informacji na roznych forach dotyczacych tego problemu. Postepujac wg. instrukcji jakie tam znalazlem, usunalem z panelu sterowania rozne wg. mnie podejrzane i niepotrzebne alikacje.

Nastepnie usunalem z przegladarek ostatnio zainstalowane i podejrzane wtyczki oraz sprawdzilem w polu docelowym skrotu, czy nie ma tam wpisu: hxxp://xxx.startgo123.com, ktory zostalby wprowadzony po "C:\Program Files\Mozilla Firefox\firefox.exe". Sprawdzilem czy w stronie domowej nie figuruje ten sam wpis. Jezeli takowy znajdowalby sie tam, to mialem zmienic strone domowa na prawidlowa. Zmienilem takze domyslna przegladarke. Na koniec zrestartowalem obie przegladarki.

U mnie w zadnej z przegladarek nie znalazlem nigdzie tego wpisu:hxxp://xxx.startgo123.com . Przeprowadzilem skan programem adwCleaner (dziennik zalaczylem).

 

Odinstalowujac rozne podejrzane programy, natrafilem na program mpc cleaner, rowniez nie moge go w zaden sposob odinstalowac. Czy mam zalozyc osobny post dotyczacy tego watku?

 

Pozdrawiam serdecznie i dziekuje

AdwCleanerC3.txt

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[Henry]

Jak wspominalem w pierwszym poscie, po lekturze kilku forow dotyczacych mojego problemu (a dokladnie wzorujac sie na [wątpliwej jak powiedzieli poniżej] stronie usun wirusa)  na instrukcjach ze strony

probowalem, krok po kroku usuwac niepotrzebne programy, nastepnie w opcjach przegladarek, niepotrzebne wpisy i wtyczki. Na koniec reset przegladarek i skan programem adwCleaner (zalaczony dziennik skanowania).

Do tego po skanie adwCleanerem i usunieciu znalezionych problemow, podczas uruchamiania sie systemu pojawia sie okienko z trescia:

 

"MPC Error!!

LoadLibrary Database.dll Failed:126"

Kiedy klikne OK, pojawia sie nastepne:

"MPC Error!!

LoadLibrary BrowsePlugln.dll Failed:126",

i kolejne:

"MPC Error!!

LoadLibrary LogReport.dll Failed:126",

kolejne:

"MPC Error!!

LoadLibrary Cleaner.dll Failed:126"

 

I tak przy kazdym uruchamianiu sie systemu. Oczywiscie problem z przegladarkami istnieje nadal.

 

Pozdrawiam

Edytowane 5 Października 2016 przez Rucek

[Miszel03]

Mimak

 

Zapoznaj się proszę z zasadami działu: KLIK. Nie wolno Ci tu udzielać żadnych porad dot. usuwania infekcji etc. Po za tym: te strony są wątpliwe, reklamują, zachęcaj do pobrania nie ciekawych programów. 

 

Henry

 

Czekaj cierpliwie na odpowiedź picasso. Wykonaj również nowy zestaw raportów systemowych, bo pierwsze, które podałeś nie są aktualne po wykonaniu czynności ze strony usunwirusa.pl

[Henry]

Czynnosci ze strony: usunwirusa.pl wykonalem na samym poczatku. Kiedy nie przynioslo to skutku szukalem dalej. Natknalem sie na ta strone, gdzie byl poruszony ten sam problem co u mnie. Dopiero wtedy zrobilem zestaw raportow i przeslalem tutaj. Po tym nie podejmowalem zadnych innych akcji na systemie. Czekam cierpliwie na pomoc. Dziekuje

[Miszel03]

OK, złe Cię zrozumiałem. Tak jak mówiłem: proszę czekać. 

[Rucek]

Zbędne posty usunięte, linki edytowane.

Jak napisał Miszel - czekamy na Picasso.

@Henry - dodaj nowe logi - ale starych nie usuwaj, jeśli jeszcze nie usunąłeś.

[Henry]

Witam, przesylam nowe logi, tak jak prosiliscie.

Addition 5.10.txt

FRST 5.10.txt

Shortcut 5.10.txt

GMER 5.10.txt

[picasso]

Konsekwencją zastosowania "porad" z niepożądanej strony usunwirusa.pl było skorzystanie z lewego skanera SpyHunter. Instrukcje te wykonałeś wcześniej niż usunięty już stąd post kierujący w to miejsce, więc nie wiadomo co było przed podjęciem działań. Dostarczone tu zestawy logów nie różnią się zasadniczo. Przekierowania startgo123.com nie są widoczne w raportach, natomiast jest aktywny MPC Cleaner, odbudował się po rzekomym usuwaniu AdwCleaner, stąd te błędy przy starcie które zgłaszasz. To szkodliwy program i pochodzi z tej samej grupy instalacyjnej adware/PUP, zakładanie osobnych wątków na jego temat zbędne.

 

 

1. Deinstalacje:

 

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje z lukami: Java 8 Update 25, Java 8 Update 66.

 

- Wejdź do folderu C:\Program Files (x86)\MPC Cleaner i wyszukaj plik deinstalacyjny. Jeśli jest obecny, prawoklik na plik i "Uruchom jako administrator". Zresetuj system. Jeśli deinstalatora nie będzie, niestety trzeba będzie podjąć się usuwania w inny sposób (potem podam te instrukcje).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {15FBD52C-7921-4441-966F-2F70B10CA870} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Keine Datei 
Task: {62B40ACC-EE37-48FA-8500-4FEE3F41075E} - System32\Tasks\ExpertZappingHotkeyV2 => Rundll32.exe MicrocephalicPoorer.dll,main 7 1 
Task: {DE144036-80AE-4E19-B9B7-EE6AB6279202} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Keine Datei 
CustomCLSID: HKU\S-1-5-21-3156089239-1310930801-3429792385-1001_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\d3d10core.dll => Keine Datei 
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-10-02] ()
U0 avc3; kein ImagePath
S3 cpuz136; \??\C:\Users\Expert\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X]
S3 X6va062; \??\C:\Windows\SysWOW64\Drivers\X6va062 [X]
HKLM-x32\...\Run: [rec_en_77] => [X]
HKLM-x32\...\Run: [gmsd_de_005010205] => [X]
GroupPolicy: Beschränkung - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope {D435A9F0-C159-4564-B8A4-AC9E9DCDDCEF} URL =
SearchScopes: HKLM -> {1b31c9d2-7135-442b-bb93-7c002172adc6} URL =
SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-edebadaf&q={searchTerms}
SearchScopes: HKLM -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-edebadaf&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope Wert fehlt
SearchScopes: HKU\S-1-5-21-3156089239-1310930801-3429792385-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\autoexec.bat
C:\ProgramData\F863FC823BD0.dat
C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}
C:\Users\Expert\AppData\Local\ZappingHotkey
C:\Users\Expert\AppData\Roaming\sb78.dat
C:\Users\Expert\AppData\Roaming\Setup29822.exe
C:\Users\Expert\AppData\Roaming\Setup47895.exe
C:\Users\Expert\AppData\Roaming\Setup55010.exe
C:\Users\Expert\AppData\Roaming\Setup69424.exe
C:\Users\Expert\AppData\Roaming\Setup69447.exe
C:\Users\Expert\Documents\Programy\Booking.com.lnk
C:\Users\Expert\Documents\Programy\Booking.URL
C:\Users\Expert\Documents\Programy\Brick-Force.lnk
C:\Users\Expert\Documents\Programy\BrowserAir.lnk
C:\Users\Expert\Documents\Programy\Chromium.lnk
C:\Users\Expert\Documents\Programy\eBay.lnk
C:\Users\Expert\Documents\Programy\Hei*e Neuigkeiten.lnk
C:\Users\Expert\Documents\Programy\McAfee Security Scan Plus.lnk
C:\Users\Expert\Documents\Programy\MPC Cleaner.lnk
C:\Users\Expert\Documents\Programy\Note-Up.lnk
C:\Users\Expert\Documents\Programy\SpaceSoundPro.lnk
C:\Users\Default\Favorites\Booking.com.url
C:\Users\Expert\Favorites\Booking.com.url
C:\Windows\system32\Drivers\EsgScanner.sys
Hosts:
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Untersuchen (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują tytułowe przekierowania.

[Henry]

Witam ponownie,

wszystkie czynnosci wykonalem wg. instrukcji. Obydwie Jawy odinstalowane. Niestety, w folderze: C:\Program Files (x86)\MPC Cleaner, nie znalazlem pliku deinstalacyjnego. Bledy po restarcie systemu: MPC Error!! nadal wystepuja. W przegladarce nadal jako strona startowa uruchamia sie startgo123.com. Zalaczam nowe logi. Pozdrawiam

FRST 7.10.txt

Addition 7.10.txt

Fixlog 7.10.txt

[picasso]

Cóż, MPC musi zostać usunięty z poziomu środowiska zewnętrznego. Jest aktywny i chroni własne komponenty, a poprawną drogę jego deinstalacji odciąłeś poprzez zastosowanie AdwCleaner, który go częściowo uszkodził. Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej w nim:

 

R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-08-31] (DotC United Inc) 
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-31] (DotC United Inc) 
C:\Program Files (x86)\MPC Cleaner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop
C:\Users\Expert\AppData\Roaming\MCorp
C:\Users\Public\Desktop\MPC Desktop.lnk
C:\Users\Public\Desktop\MPC Cleaner.lnk
C:\Windows\System32\DRIVERS\MPCKpt.sys

 

Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pendrive. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Wybierz opcję Entfernen (Fix). Na pendrive powstanie plik fixlog.txt.

 

2. Zaloguj się z powrotem do Windows i zrób nowy log FRST (bez Addition i Shortcut). Dołącz też fixlog.txt.

[Henry]

Nareszcie , troche mi to zajelo, ale w koncu sukces. Nie moglem uruchomic srodowiska WinRE, Kiedy wchodzilem w : Zmien ustawienia komputera, okno sie pokazywalo na sekunde, po czym znikalo do paska i nie moglem wejsc w : aktualizacje i odzyskiwanie. Postanowilem uruchomic z USB instalacyjnego Windows, cos nie wyszlo i uruchomilem instalacje Windows8.1 bez czyszczenia danych i aplikacji.

Dopiero po tym zabiegu moglem wejsc w Zmien ustawienia komputera. Dalej poszlo juz gladko i bez problemow. Po aplikacji MPC i startgo123 ani sladu. .

Przesylam logi. Wielkie dzieki Picasso. Pozdrawiam

Fixlog.txt

FRST.txt

[picasso]

Tak jest, MPC pomyślnie usunięty z poziomu środowiska RE. Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, pobrany GMER, a także kopię FRST i jego logi z pendrive.

 

2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[Henry]

usunalem folder z pulpitu. Za pomoca programu DelFix usunalem używane narzędzia logów i czyszczące i wyczyscilem foldery przywracania systemu.

Jeszcze raz dziekuje serdecznie za pomoc.

DelFix.txt

DelFix1.txt

[picasso]

Nawiasem mówiąc, punkty Przywracania systemu miały być usunięte z poziomu konfiguracji Windows a nie za pomocą DelFix. Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam.