MPC Protect Service, wirusy, prośba o pomoc

Kanoney · 10 Sierpień 2016 15:25

Cześć.

Mówiąc w dużym skrócie zawirusowałem sobie doszczętnie komputer. Udało mi się przeskanować wszystko ESET’em i AdwCleanerem, ale na dysku pozostał jeden nietykalny szajs, MPC Cleaner, a raczej to czego nie jestem w stanie usunąć… proszę o pomoc w postaci logfixa.

Pozostałości po tym programie:

https://scr.hu/OmMkJd

FRST:

http://wklej.org/id/2780892/

http://wklej.org/id/2780895/

Z góry dziękuję za pomoc

Atis · 11 Sierpień 2016 08:24

Skasowałeś plik Uninstall i teraz MPC można usunąć tylko z poziomu WinRE.

Nie wpadłeś samodzielnie na pomysł żeby uruchomić plik Uninstall?

Kanoney · 11 Sierpień 2016 11:11

Na samym początku usiłowałem usunąć program przez dodaj/usuń programy, nie zadziałało więc użyłem Unlockera i… potem zostało tylko to. Dopiero teraz widzę że mogłem tam zajrzeć wcześniej…

Atis · 11 Sierpień 2016 12:21

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Uruchom FRST z poziomu WinRE:

http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujących-windows/

Kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Później uruchom FRST w normalnym trybie Windows i pokaż nowe logi.

Kanoney · 11 Sierpień 2016 13:06

Wygląda na to że problem rozwiązany. Dzięki ^^

fixlog: http://wklej.org/id/2781471/

FRST: http://wklej.org/id/2781476/

Atis · 11 Sierpień 2016 13:35

Pokaż nowy log Addition.txt

Kanoney · 11 Sierpień 2016 13:39

http://wklej.org/id/2781495/

Atis · 11 Sierpień 2016 14:29

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM-x32 -> DefaultScope - brak wartości CHR StartupUrls: ChromeDefaultData -> “hxxp://kurs-c-plus-plus.cba.pl/?page_id=4”,“hxxp://facebook.pl/”,“hxxp://www.youtube.com/?gl=PL&hl=pl”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405202109&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405439376&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405588166&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405620757&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405624268&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405628699&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405634406&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405691737&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405697799&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405813693&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405869128&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405871849&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405884039&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405936267&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405967393&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1405978084&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1406019155&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://isearch.omiga-plus.com/?type=hppp&ts=1406030608&from=tt4u&uid=TOSHIBAXMK3252GSX_88LIF3I4SXX88LIF3I4S”,“hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHErA3QrBHQmC0…&v=20160731&uid=1A835412A9B5BE90EAED87F0DBB1E8E5&ptid=amz&mode=loadm” NETSVCx32: HpSvc -> Brak ścieżki do pliku. 2016-08-09 23:08 - 2016-08-09 23:36 - 00001619 _____ C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk 2016-08-09 23:08 - 2016-08-09 23:36 - 00000000 ____D C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-08-09 22:58 - 2016-08-09 22:58 - 07616340 _____ C:\Users\Karol\AppData\Roaming\setup.apk 2016-08-09 22:57 - 2016-08-09 22:57 - 00000888 _____ C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2016-08-09 22:56 - 2016-08-09 22:56 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 2016-08-09 22:54 - 2016-08-09 22:54 - 0848437 _____ () C:\Users\Karol\AppData\Roaming\Beta-Cof.bin 2016-08-09 22:55 - 2016-08-09 22:55 - 0071232 _____ () C:\Users\Karol\AppData\Roaming\Config.xml 2016-06-28 03:12 - 2016-06-28 03:12 - 0314434 ____N () C:\Users\Karol\AppData\Roaming\EYapp.apk 2016-08-09 22:55 - 2016-08-09 22:55 - 1900859 _____ () C:\Users\Karol\AppData\Roaming\HoldFan.tst 2016-08-09 22:53 - 2016-08-09 22:54 - 0018336 _____ () C:\Users\Karol\AppData\Roaming\InstallationConfiguration.xml 2016-08-09 22:55 - 2016-08-09 22:55 - 0005568 _____ () C:\Users\Karol\AppData\Roaming\md.xml 2016-08-09 22:58 - 2016-08-09 22:58 - 7616340 _____ () C:\Users\Karol\AppData\Roaming\setup.apk 2016-08-09 22:55 - 2016-08-09 22:55 - 0072841 _____ () C:\Users\Karol\AppData\Roaming\Tempsunla.tst 2016-08-09 22:56 - 2016-08-09 22:56 - 0032038 _____ () C:\Users\Karol\AppData\Roaming\uninstall_temp.ico Task: {0FC5B28B-52B1-4F78-A6EF-960DD44022FF} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\PROGRA~2\cjk30F4\xb23132.bat C:\PROGRA~2\cjk30F4 Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\CckServerService” /f Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dowidoly” /f Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gugevucyzbt” /f Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HrrschRkeinggolas.exe” /f Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MPCProtectService” /f Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\rijufoze” /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v “ProductUpdater” /f EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Kanoney · 12 Sierpień 2016 07:36

Fixlog: http://wklej.org/id/2781904/

FRST: http://wklej.org/id/2781905/

Atis · 12 Sierpień 2016 07:47

Usuń szkodliwą stronę startową omiga:

Otwieranie konkretnego zestawu stron

Skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Włącz przywracanie systemu dla dysku systemowego C:

http://www.tenforums.com/tutorials/4533-system-protection-turn-off-drives-windows-10-a.html