Jasiek Opublikowano 18 Lutego 2017 Zgłoś Udostępnij Opublikowano 18 Lutego 2017 (edytowane) Przez moją nie uwagę przypadkowo zainstalowałem MPC Skanowałem komputer kilkanaście razy i to wszystko na nic nie wykryło tego syfu .(Próbowałem też przez FRST fixlist.txt i nie pomogło naprawiało sie 2h i nic 0 powiadomień o skutku więc wyłaczyłem FRST i napisałem do was z tym problmem) Co zrobiłem 1.Odinstalowałem MPC 2.Usunołem wszystkie pliki MPC z pulpitu W sieci jest porada aby go odinstalować poprzez dodaj/usuń programy ale tam go nie ma. Już nie wiem co zrobić proszę o szybką odpowiedź Mój system to Windows 7 64bit'owy Załączam potrzebne pliki Addition.txt FRST.txt Fixlog.txt Edytowane 19 Lutego 2017 przez Miszel03 Usuwam zbędne formatowanie z postu. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2017 Zgłoś Udostępnij Opublikowano 18 Lutego 2017 Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. MPC Cleaner jest bardzo trudno usunąć jeśli jest aktywny i wymagana jest jego poprawna deinstalacja. W jaki sposób była ona wykonywana? A jeśli MPC Cleaner rzeczywiście się odinstalował, a po tym wrócił, to pewnie go odbudowało zadanie adware ChelfNotify zlokalizowane w Harmonogramie zadań. FRST nie przetworzy obiektów MPC Cleaner z poziomu załadowanego systemu, gdyż MPC Cleaner chroni własne komponenty. A w raporcie widać też inne problemy wynikające z adware, w tym uszkodzony łańcuch Winsock i fałszywy Firefox. Poza tym, przeglądarka Googe Chrome jest niepoprawnie odinstalowana lub zainstalowana: nie widnieje jako zainstalowana, ale na dysku są definitywnie jej komponenty i będę je usuwać. Wstępne działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Jeśli jest tam nadal plik uninstall, to z prawokliku na plik "Uruchom jako administrator". Po akcji zresetuj system. Jeśli pliku nie będzie lub deinstalacja się nie powiedzie, podam potem inny typ usuwania z poziomu niezaładowanego systemu. 2. Jeśli Google Chrome działa i masz w nim cenne zakładki, to je wyeksportuj, gdyż poniższy skrypt usunie elementy Chrome. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean64.exe MSCONFIG\Services: FirefoxU => 2 MSCONFIG\Services: InstallerWrapperService => 2 MSCONFIG\Services: MPCProtectService => MSCONFIG\startupreg: AvgUi => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {0F74C6A7-4056-475D-9E4D-C182B4BCDD83} - System32\Tasks\BirdsarahUpdateTaskMachineUA => C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe Task: {2F6BB819-A820-441B-AD57-4FFB1F9B0848} - System32\Tasks\{4947FFE5-AD90-4208-8F47-BF5D5A394F5B} => pcalua.exe -a "C:\Users\Adrian\Downloads\Mario Bros.exe" -d C:\Users\Adrian\Downloads Task: {30E58CE5-80EB-41F5-9937-F324D28227EB} - System32\Tasks\{38B5F331-531C-4474-A74A-5852623C1011} => pcalua.exe -a C:\Users\Admin\Desktop\MinecraftZyczu.exe -d C:\Users\Admin\Desktop Task: {33AD8994-DF38-4E71-8325-94EDE58243ED} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe Task: {4406763A-D2F1-4F99-B02F-6B32989589C5} - System32\Tasks\PED_Torrent_Search => Rundll32.exe ARWOMlQ.dll,#67 Task: {4C743893-AF61-4ABC-BB19-61FD00391EED} - System32\Tasks\HPCustParticipation HP Deskjet 2510 series => C:\Program Files\HP\HP Deskjet 2510 series\Bin\HPCustPartic.exe Task: {59298CF3-1A68-4DD5-9842-FAA931FCC1CC} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\A39D5258EC5643F62A682A04474188BF\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {5DBD724B-3552-4F51-BFCF-514D8D08126E} - \BirdsarahUpdateTaskMachineCore -> Brak pliku Task: {938720D2-B31E-4A2E-99D2-A83805F4A252} - System32\Tasks\{C9C28585-8B96-4321-AD12-542D4C12FB71} => pcalua.exe -a C:\Users\Adrian\Desktop\MinecraftZyczu.exe -d C:\Users\Adrian\Desktop Task: {A442EE28-2823-4857-A5AF-B636A0A750AA} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) Task: {C6836C85-FBC9-404F-BAB6-1A160093CA46} - System32\Tasks\Dravsynlether Core => C:\Program Files (x86)\Dravsynlether\Drvcoretsk.exe [2016-04-26] () GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-606423241-2395403675-1338386720-1007\...\ChromeHTML: -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-606423241-2395403675-1338386720-1007 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\TrueKey C:\Program Files (x86)\Google C:\Program Files (x86)\Firefox C:\Program Files (x86)\TXQQBrowser C:\ProgramData\ChelfNotify C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Admin\Downloads\*-dp*.exe C:\Users\Admin\AppData\Local\Google C:\Users\Dominik\AppData\Local\Google C:\Users\Mati\AppData\Local\AVG C:\Users\Mati\AppData\Local\Google C:\Users\Mati\AppData\Local\Firefox C:\Users\Mati\AppData\Local\LogMeIn Hamachi C:\Users\Mati\AppData\Roaming\Firefox C:\Users\Mati\AppData\Roaming\Mozilla C:\Users\Mati\AppData\Roaming\TuneUp Software C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\Mati\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po przetworzeniu w/w skryptu na liście zainstalowanych programów ujawni się Google Update Helper, odinstaluj to. 4. Na razie nie instaluj żadnej przeglądarki i ustaw jako domyślną Internet Explorer. Aktualnie domyślną jest nieistniejąca w systemie Opera. 5. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. I pytaniem jest czy można usunąć foldery C:\Users\Admin + C:\Users\Dominik, gdyż takich kont w systemie nie ma. Odnośnik do komentarza
Jasiek Opublikowano 18 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2017 Nie da się usunąć Konta Dominik ale teraz będę usuwał tego MPC Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2017 Zgłoś Udostępnij Opublikowano 18 Lutego 2017 Foldery tych martwych kont zapewne mają zablokowane obiekty (np. linki symboliczne). Tym się nie martw, jest do tego sposób w skrypcie, ale to podam dopiero po uzyskaniu wyników zadanych powyżej działań. Odnośnik do komentarza
Jasiek Opublikowano 18 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2017 Chwila już po naprawie tylko tera patrze czy da się to usunąć Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2017 Zgłoś Udostępnij Opublikowano 18 Lutego 2017 Jasiek, proszę nie usuwaj nic ręcznie, tylko podaj wyniki działań o które proszę. Odnośnik do komentarza
Jasiek Opublikowano 18 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2017 (edytowane) Zrobiłem wszystko tak jak prosiłaś i nic.. Nie odinstalował się wogule Ps. Nie robię nic ręcznie EDIT: Tylko po tym skrypcie wyskoczyło mi 13 updatów windowsa i nie wiem czy je zakutalizować czy dalej czekać@Ref Edytowane 19 Lutego 2017 przez Miszel03 Łącze dwa zbędne posty. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 19 Lutego 2017 Zgłoś Udostępnij Opublikowano 19 Lutego 2017 Jasiek, każdy kto tutaj prosi o pomoc musi wykazać inicjatywę ze swojej strony. Dostarcz wyniki działań, o której prosi picasso. Odnośnik do komentarza
Jasiek Opublikowano 19 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2017 No co mam napisać MPC Cleaner nie udało się usunąć bo nie znalazłem unistall itp. Odnośnik do komentarza
Miszel03 Opublikowano 19 Lutego 2017 Zgłoś Udostępnij Opublikowano 19 Lutego 2017 No co mam napisać MPC Cleaner nie udało się usunąć bo nie znalazłem unistall itp. Przeczytaj końcówkę pkt. 1 i wykonaj kroki, których nie wykonałeś. Przyłóż się do pkt. 5 (folderów martwych kont nie ruszaj). Odnośnik do komentarza
Jasiek Opublikowano 19 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2017 Proszę to skutki Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2017 Zgłoś Udostępnij Opublikowano 19 Lutego 2017 Na przyszłość: proszę nie uruchamiaj opcji "Fix" więcej niż raz. Skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Uruchomiłeś go aż 4 razy. I jak mówiłam, Fix nie zawierał żadnym elementów MPC, gdyż FRST spod Windows go nie usunie, wyraźnie mówiłam że podam inną metodę w przypadku niepowodzenia. Kolejne instrukcje: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-01] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-01] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live\S.K.I.L.L. - Special Force 2.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Default\Desktop\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Gość\Desktop\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\MCorp C:\Users\Public\Desktop\MPC AdCleaner.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Public\Desktop\MPC Desktop.lnk C:\Windows\System32\drivers\MPCKpt.sys RemoveDirectory: C:\Users\Admin RemoveDirectory: C:\Users\Dominik Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. FRST oraz plik fixlist.txt umieść na pendrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Klik w Fix (Napraw), na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows. Zainstaluj wybraną przeglądarkę. I zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Jasiek Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Niestety nie udało się nic zrobić, ponieważ w połowie naprawy program wywalał spróbowałem go zainstalować ponownie i nadal wywalało nie wiem z czego ręcznie nic nie grzebałem Dołaczam pliki Fixlog.txt Odnośnik do komentarza
Jasiek Opublikowano 23 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2017 @ref Odnośnik do komentarza
Miszel03 Opublikowano 24 Lutego 2017 Zgłoś Udostępnij Opublikowano 24 Lutego 2017 Skrypt nie wykonał się, bo uruchomiłeś go w złym środowisku. Przeczytaj końcówkę pkt. 1 i cały pkt. 2. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się