MPC Protect Service - pozostałości po MPC Cleaner - jak usunąć? [Win10]

Wierzchu · 20 Lipiec 2016 22:17

Dzień dobry, a właściwie dobry wieczór.

Od kilku godzin męczę się z usunięciem jakiś śmieci, które zainstalowały się na moim laptopie.

Generalnie część odinstalowałem CCleanerem (Programy i funkcje), tych których się nie dało wywaliłem przy pomocy Unlockera, ale został katalog MPC Cleaner. Trochę pogrzebałem w internecie i przetestowałem AdwCleanera i FRST - ten pierwszy po przeskanowaniu i próbie usuwania zatrzymuje się, ale z użyciem FRST’a kilka rzeczy udało się usunąć, natomiast nie wszystkie. Co prawda przeglądarki już działają prawidłowo, ale został jeszcze proces, którego nie można wyłączyć, mianowicie “MPCProtectService.exe”.

Prosiłbym Was o pomoc, ponieważ już mi ręce opadają…

Poniżej raporty z FRST i AdwCleanera.

AdwCleaner: http://www.wklej.org/id/2769062/

FRST.txt: http://www.wklej.org/id/2769064/

Addition.txt: http://www.wklej.org/id/2769063/

Z góry dziękuję za pomoc

Atis · 20 Lipiec 2016 22:24

Otwórz folder: C:\Program Files (x86)\MPC Cleaner

Kliknij prawym na pliku Uninstall i wybierz uruchom jako administrator.

W panelu sterowania odinstaluj Setup.
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).
Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.

Wierzchu · 20 Lipiec 2016 22:30

Dzięki za szybką reakcję;

Niestety nie ma tam takiego pliku. To jest to co tam zostało:
https://1drv.ms/i/s!Al-xI6yi_f-kkjUvmfx6ihljszRb

W panelu sterowania nie ma tego programu.

Atis · 20 Lipiec 2016 22:58

Zamiast napisać na forum to skomplikowałeś sprawę usuwając pliki.

Teraz można to usunąć tylko z poziomu WinRE:

http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujących-windows/#entry179852

Wierzchu · 21 Lipiec 2016 14:24

Pewnie napisałbym na forum, ale niestety nie mogłem włączyć żadnej przeglądarki

Użyłem FRST z poziomu WinRE - poniżej log:

http://wklej.org/id/2769715/

Atis · 21 Lipiec 2016 16:40

Naprawę wykonaj z poziomu WinRE.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32…\Run: [win_en_77] => [X] S2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-07-20] (DotC United Inc) S2 MqsengineSrv; “C:\Program Files (x86)\Muqisy\MqsengineSrv.html5” {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S2 rakeryomarymntNqs.exe; “C:\Program Files (x86)\Gtwardanmly\rakeryomarymntNqs.exe” {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] S1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-07-20] (DotC United Inc) S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] S1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-04] (Huorong Borui (Beijing) Technology Co., Ltd.) C:\AdwCleaner C:\Windows\System32\ikh C:\Users\p_wie\AppData\Local\SunnyDay21 C:\Windows\System32\Tasks\UCBrowserUpdater C:\Users\p_wie\AppData\Local\UCBrowser C:\Windows\System32\Drivers\ucguard.sys C:\Users\p_wie\AppData\Roaming\Rhfiulseof C:\Windows\System32\Drivers\bsdpf64.sys C:\Windows\System32\Drivers\bsdpr64.sys C:\Users\p_wie\AppData\Local\tuto_monetize_120160720 C:\Users\p_wie\AppData\Local\Tempfolder C:\Windows\System32\Drivers\etc\hp.bak C:\ProgramData\Logic Handler C:\Program Files (x86)\MPC Cleaner C:\Windows\System32\Drivers\MPCKpt.sys C:\Users\p_wie\AppData\Local\app C:\Users\p_wie\AppData\Roaming\agent.dat C:\Users\p_wie\AppData\Roaming\Bluelab.bin C:\Users\p_wie\AppData\Roaming\Hotlex.tst C:\Users\p_wie\AppData\Roaming\noah.dat C:\Users\p_wie\AppData\Roaming\lobby.dat C:\Users\p_wie\AppData\Roaming\Ranfix.tst C:\Users\p_wie\AppData\Roaming\Config.xml C:\Users\p_wie\AppData\Roaming\ApplicationHosting.dat C:\Users\p_wie\AppData\Roaming\Main.dat C:\Users\p_wie\AppData\Roaming\md.xml C:\Windows\SysWOW64\findit.xml C:\ProgramData\Quoteexs C:\ProgramData\CloudPrinter C:\Users\p_wie\AppData\Roaming\Ranfix.exe C:\Users\p_wie\AppData\Roaming\Hotlex.exe C:\Windows\chromebrowser.exe C:\Users\p_wie\AppData\Roaming\Zooflex.bin C:\Users\p_wie\AppData\Roaming\soos - Copy.exe C:\Users\p_wie\AppData\Roaming\Installer.dat C:\Users\p_wie\AppData\Roaming\InstallationConfiguration.xml C:\ProgramData{E6BAC835-2683-4B88-A967-6EF6093B576E} C:\ProgramData{972BEEDB-39CF-495B-A950-BFDB60512E9F} C:\ProgramData{0E511DF6-1923-4AF4-9BFD-A9426C94FCD7} Hosts: EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Uruchom system w normalnym trybie.

Kliknij w TELECHARGER i pobierz RepairDNS
Kliknij GO i pokaż raport RepairDNS zapisany na pulpicie.

Kliknij Skanuj (Scan) i pokaż nowy raport z FRST i Addition.

Wierzchu · 21 Lipiec 2016 16:56

Ok, fixlist zamienił się w Fixlog:

http://wklej.org/id/2769835/

RepairDNS: http://wklej.org/id/2769836/

FRST: http://wklej.org/id/2769837/

Addition: http://wklej.org/id/2769838/

EDIT:

Niby pliki MPC Cleanera zniknęły z dysku, ale teraz mam problemy z internetem.

Miałem zainstalowanego firefoxa, chcę go włączyć - błąd. Po kliknięciu uruchom ponownie to samo.

Włączyłem IE - nie działa nic. Włączyłem Edge’a - tu o dziwo wszystko działa, więc pobrałem Safari i mam informację, że niby komputer nie jest połączony z internetem…

Raporty:

FRST: http://wklej.org/id/2769977/

Addition: http://wklej.org/id/2769978/

EditAfterEdit:

Odpaliłem jeszcze raz RepairDNS - podziałało

Był jakiś problem z plikiem dnsapi.dll.

Atis · 21 Lipiec 2016 19:30

Jak można zrobić taki syf w systemie?

Naciśnij klawisz z logo Windows + X i wybierz Wiersz polecenia administrator
Wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\dnsapi.dll

sfc /scanfile=C:\Windows\syswow64\dnsapi.dll

Po restarcie pokaż nowy log FRST.txt

Wierzchu · 21 Lipiec 2016 20:33

Wiem nie od dziś, że jestem zdolny

FRST: http://wklej.org/id/2770064/

Addition:http://wklej.org/id/2770062/

Atis · 21 Lipiec 2016 20:58

SFC przywrócił plik systemowy. Czy nadal masz problem z przeglądarkami.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Tcpip…\Interfaces{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 104.197.191.4 Tcpip…\Interfaces{2f4ec1a0-dbf1-4eac-8e90-8997a0cbc4bf}: [NameServer] 104.197.191.4 Tcpip…\Interfaces{486c385e-60d6-4b9a-a824-ab1fb9779dcc}: [NameServer] 104.197.191.4 Tcpip…\Interfaces{6bb4f047-2706-11e5-9bbe-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip…\Interfaces{6c07e89a-93de-4b4a-8022-fc2c159d760a}: [NameServer] 104.197.191.4 Tcpip…\Interfaces{c9c519ef-2bf2-415e-a537-df1ea3527ce0}: [NameServer] 104.197.191.4 Tcpip…\Interfaces{c9c519ef-2bf2-415e-a537-df1ea3527ce0}: [DhcpNameServer] 150.207.1.3 HKU\S-1-5-21-3975087386-176211898-502052143-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4Eq-0UKfVZnGEkfPBQgJTN-w4uSyhGW0wvAENZySA3QegzN5Tjo26Chv4hi10-WVN0HCKYQQRgNcj9rJ_94JJqWQsw8,&q={searchTerms} HKU\S-1-5-21-3975087386-176211898-502052143-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4EqyYjBcMbDpyf2vh3UNz4vMtBC2SgwslqDP_SG1CsQEIaacazy35n6F-u78IV-vt45zPnpJGvfhF2skW_s2EmrNA8g, HKU\S-1-5-21-3975087386-176211898-502052143-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4Eq-0UKfVZnGEkfPBQgJTN-w4uSyhGW0wvAENZySA3QegzN5Tjo26Chv4hi10-WVN0HCKYQQRgNcj9rJ_94JJqWQsw8,&q={searchTerms} HKU\S-1-5-21-3975087386-176211898-502052143-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4Eq-0UKfVZnGEkfPBQgJTN-w4uSyhGW0wvAENZySA3QegzN5Tjo26Chv4hi10-WVN0HCKYQQRgNcj9rJ_94JJqWQsw8,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4Eq-0UKfVZnGEkfPBQgJTN-w4uSyhGW0wvAENZySA3QegzN5Tjo26Chv4hi10-WVN0HCKYQQRgNcj9rJ_94JJqWQsw8,&q={searchTerms} SearchScopes: HKU.DEFAULT -> DefaultScope {0F74F15A-DDB7-4869-A89F-520530F2A0C0} URL = SearchScopes: HKU.DEFAULT -> {0F74F15A-DDB7-4869-A89F-520530F2A0C0} URL = SearchScopes: HKU\S-1-5-21-3975087386-176211898-502052143-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4Eq-0UKfVZnGEkfPBQgJTN-w4uSyhGW0wvAENZySA3QegzN5Tjo26Chv4hi10-WVN0HCKYQQRgNcj9rJ_94JJqWQsw8,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3975087386-176211898-502052143-1001 -> {0F74F15A-DDB7-4869-A89F-520530F2A0C0} URL = SearchScopes: HKU\S-1-5-21-3975087386-176211898-502052143-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ68tTjUoh2bM5dVcorB9p4qAkycR51Fn2lZYZRRG-7920sbIUHG5XYqGhfr1pX4Eq-0UKfVZnGEkfPBQgJTN-w4uSyhGW0wvAENZySA3QegzN5Tjo26Chv4hi10-WVN0HCKYQQRgNcj9rJ_94JJqWQsw8,&q={searchTerms} FF NewTab: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqCH0oB34lB0…&v=20160719&uid=24ADE600BA16418719C7F3CBD36A0576&ptid=csdi&mode=loadm FF DefaultSearchEngine: hohosearch FF DefaultSearchEngine.US: data:text/plain,browser.search.defaultenginename.US=hohosearch FF SelectedSearchEngine: hohosearch FF Keyword.URL: hxxp://d2ucfwpxlh3zh3.cloudfront.net/chrome.php?uid=24ADE600BA16418719C7F3CBD36A0576&ptid=csdi&ts=AHEqCH0oB34lB0…&v=20160719&mode=ffexttoolbar&q= FF SearchPlugin: C:\Users\p_wie\AppData\Roaming\Mozilla\Firefox\Profiles\h8pmbm0e.default\searchplugins\nvx4pul3.xml [2016-07-20] FF SearchPlugin: C:\Users\p_wie\AppData\Roaming\Profiles\u1gmbxaf.default\searchplugins\k4eo1bp6.xml [2016-07-20] FF SearchPlugin: C:\Users\p_wie\AppData\Roaming\Profiles\x1z21gyc.default\searchplugins\k4eo1bp6.xml [2016-07-20] FF SearchPlugin: C:\Users\p_wie\AppData\Roaming\Profiles\x1z21gyc.default\searchplugins\nvx4pul3.xml [2016-07-20] FF Extension: GsearchFinder - C:\Users\p_wie\AppData\Roaming\Profiles\u1gmbxaf.default\Extensions@90B817C8-8A5C-413B-9DDD-B2C61ED6E79A.xpi [2016-07-20] 2016-07-21 19:37 - 2016-07-21 19:37 - 00000000 ____D C:\Users\p_wie\AppData\Local\Tempzxpsignf1015b3c352620ed 2016-07-21 19:37 - 2016-07-21 19:37 - 00000000 ____D C:\Users\p_wie\AppData\Local\Tempzxpsignbf7c5e71d675e375 2016-07-21 19:37 - 2016-07-21 19:37 - 00000000 ____D C:\Users\p_wie\AppData\Local\Tempzxpsigna7e9ae8fb1dc58f5 2016-07-21 19:29 - 2016-07-21 22:28 - 00000000 ____D C:\ProgramData\boost_interprocess 2016-07-20 21:52 - 2016-07-20 21:52 - 00001620 _____ C:\Users\p_wie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk 2016-07-20 21:52 - 2016-07-20 21:52 - 00000000 ____D C:\Users\p_wie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-07-20 21:51 - 2016-07-21 22:28 - 00000488 _____ C:\Windows\Tasks\UCBrowserUpdater.job 2016-07-19 20:03 - 2016-07-19 20:03 - 00000000 ____D C:\Users\p_wie\AppData\LocalLow\Temp 2016-07-18 01:02 - 2015-12-29 02:37 - 00000000 ____D C:\Program Files\Common Files\McAfee 2016-07-20 21:43 - 2016-07-20 21:43 - 0032038 _____ () C:\Users\p_wie\AppData\Roaming\uninstall_temp.ico CustomCLSID: HKU\S-1-5-21-3975087386-176211898-502052143-1001_Classes\CLSID{0E270DAA-1BE6-48F2-AC49-A8DD8D4B210E}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku Task: {50FB8ECB-29CF-4054-A387-2A1DF82A6B54} - System32\Tasks\Muqisy Engine => C:\Program Files (x86)\Muqisy\MqsengineTsk.exe <==== UWAGA Task: {61EEBC56-6078-4173-AF5D-293ED31897A9} - System32\Tasks\Rakeryomary Monitor => C:\Program Files (x86)\Gtwardanmly\rakeryomarymntCtp.exe Task: {8F11FFB2-F4D5-4CF4-A506-D16A69F4DD60} - \UCBrowserUpdater -> Brak pliku <==== UWAGA Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => “”=“Service” FirewallRules: [{602BB9F4-397B-40E1-9658-A501A0EB5209}] => (Allow) C:\Users\p_wie\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{C072BF6D-7087-4CBD-A96C-F04D98FCED00}] => (Allow) C:\Users\p_wie\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{602BB9F4-397B-40E1-9658-A501A0EB5209}] => (Allow) C:\Users\p_wie\AppData\Local\Temp\MPCOnline\MPCDownload.exe CMD: ipconfig /flushdns EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Wierzchu · 21 Lipiec 2016 21:16

Przeglądarki już mi działają po użyciu RepairDNS - tak jak pisałem wcześniej

Fixlog: http://wklej.org/id/2770099/

FRST: http://wklej.org/id/2770100/

Atis · 21 Lipiec 2016 22:52

Skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Włącz przywracanie dla dysku systemowego C:

http://www.tenforums.com/tutorials/4533-system-protection-turn-off-drives-windows-10-a.html

Wierzchu · 22 Lipiec 2016 09:09

Usunąłem FRST z dysku C,

przeskanowałem dysk C Malwarebytes Anti-Malware

Raport: http://wklej.org/id/2770550/

Włączyłem przywracanie dla dysku systemowego C.

Czy teraz już jest lepiej?

Atis · 22 Lipiec 2016 09:40

Usuń wszystkie wykryte zagrożenia i to wszystko.

Wierzchu · 22 Lipiec 2016 09:43

Gotowe, dzięki

Wiszę Ci Wieeeelkiego Browara