Ads by Albireo

[Kozial 0]

Witam, proszę o pomoc mam problem z wyskakującymi reklamami.

Jest jeszcze jakiś program MPC Cleaner, z któego usunięciem nie mogę sobie poradzić.

FRST: http://wklej.to/j9Zli

 

Z góry dziękuję za pomoc.

[Miszel03 0]

Skoro wykonałaś raporty z poziomu środowisko WinRE to rozumiem, że nie masz możliwości dostania się do systemu? Po za tym masz bardzo starą wersję FRST, bo z początku 2013 roku. Jeżeli masz dostęp do systemu to wykonaj raporty z poziomu normalnego za pomocą najnowszej wersji.

[Kozial 0]

Pobrałem nowszą wersje FRST i umieszczam jeszcze raz logi

FRST: http://wklej.to/Q07ij

Addition: http://wklej.to/f4Squ

Shortcut: http://wklej.to/q4aX3

 

Jestem trochę zielony w tych sprawach i nie za bardzo wiem o co chodzi. System uruchamia mi się normalnie i działa również normalnie jedynie utrudnione, a wręcz nie możliwe korzystanie z przeglądarek internetowych. FRST pobierałem za pomocą innego komputera, a następnie przenosiłem na komp zawirusowany za pomocą pendriva.

[Miszel03 0]

Jestem trochę zielony w tych sprawach i nie za bardzo wiem o co chodzi. System uruchamia mi się normalnie i działa

 

No właśnie, dlatego niepotrzebnie wygenerowałeś raporty z poziomu WinRE.

 

 

W Twoim przypadku mamy do czynienia z MPC Cleaner, który posługuje się bardzo inwazyjnymi sterownikami, które nakładają filtry na woluminy oraz pilnują komponentów. Sterowniki są nieusuwalne przez narzędzia pracujące nie na poziomie kernel, dlatego np. FRST nie da rady tego ruszyć.

 

Na początek:

 

1. Pobierz oraz uruchom narzędzie Registry DeleteEx Zaznacz opcję "Recursively delete all subkeys".

 

W pasku przy buttonie delete wklej po kolei te klucze i za pomocą opcji Delete usuń je. (Każdy ma być wklejony osobno i usunięty osobno)

 

HKLM\SYSTEM\CurrentControlSet\Services\MPCBase
HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt
HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService

 

Uruchom ponownie komputer.

 

2. Wejdź do folderu C:\Program Files\MPC Cleaner i uruchom deinstalator (o ile jest).

 

Uruchom ponownie komputer.

 

3. Zrób nowe raporty z FRST. (Zaznacz też Addition i ShortCup)

[Kozial 0]

Przy wciskaniu DELETE dla każdego powyższego klucza wyskakiwało okno z błędem "Failed to delete registry key" i wpisany klucz nie znikał z tego okna.

[Kozial 0]

A sformatowanie dysku pomogłoby? Może w ten sposób będzie prościej się tego wirusa pozbyć chociaż wolałbym tego uniknąć.

[Miszel03 0]

Pomogło by, ale czy pytanie czy Ty chcesz formatować?

[Kozial 0]

Wolałbym uniknąć formatowania więc proszę o dalszą pomoc

[Miszel03 0]

Na początku tak jak wspominałem kluczowe jest zdjęcie ochrony ze sterowników MPC Cleaner. Dopiero potem można zacząć usuwać tego szkodnika. Być może tych blokad nie ma? Przystąpimy do dezynfekcji, zobaczymy co wypluje Fixlog, jeżeli sterowniki będą nie do ruszenia przez niego to usuniemy je z poziomu WinRE.

 

Akcja:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CreateRestorePoint:
CHR HomePage: Default -> hxxp://rts.dsrlte.com
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com","hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP"
R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-05] (DotC United Inc)
2016-05-05 21:13 - 2016-05-05 21:13 - 00060136 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
C:\Program Files (x86)\MPC Cleaner
2016-05-06 08:14 - 2016-05-06 08:14 - 00001743 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
2016-05-06 08:14 - 2016-05-06 08:14 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
2016-05-05 23:38 - 2016-05-05 23:38 - 00000000 ____D C:\Users\Ja\AppData\Roaming\MCorp
R2 sewuqiqozbt; C:\Program Files (x86)\EC734AF0-1462475449-81E4-2F9A-F079591792D3\knsxB233.tmp [312320 2016-05-05] () [brak podpisu cyfrowego]
:\Program Files (x86)\EC734AF0-1462475449-81E4-2F9A-F079591792D3
R2 Yzaja; C:\Users\Ja\AppData\Roaming\Jaota\Jaota.exe [174936 2016-05-05] ()
C:\Users\Ja\AppData\Roaming\Jaota
U0 msahci; system32\drivers\msahci.sys [X]
2016-05-05 21:43 - 2016-05-05 23:29 - 00000000 ____D C:\Users\Ja\AppData\Roaming\KinynhFikre
2016-05-05 21:43 - 2016-05-05 21:43 - 00000000 ____D C:\Users\Ja\AppData\Roaming\Joxhieud
2016-05-05 21:13 - 2016-05-05 23:30 - 00000000 ____D C:\Users\Ja\AppData\Roaming\BiedaViur
2016-05-05 21:13 - 2016-05-05 21:43 - 00000000 ____D C:\Users\Ja\AppData\Local\Tempfolder
2016-05-05 21:13 - 2016-05-05 21:13 - 00000000 ____D C:\Program Files (x86)\Mputyqasied
2016-05-05 21:12 - 2016-05-05 21:12 - 00000000 ____D C:\Users\Public\Documents\dmp
2014-10-21 06:28 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2014-10-21 06:28 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2014-10-21 06:28 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Hosts:
EmptyTemp:

 

2. Wyczyść:

 

>> Google Chrome:

 

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone.
  
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
  

 

>> FireFox:

 

• Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  

 

3. Pobierz AdwCleaner uruchom go i kliknij szukaj a gdy uaktywni się przycisk usuń kliknij go.

 

4. Wstaw raport ze skryptu (Fixlog) i raport z Adwclaner (Raport z Adwcleaner znajduję się w tym folderze: C:\AdwCleaner) + zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

[Kozial 0]

Chyba się udało, reklamy nie wyskakują. Wielkie dzięki

 

AdwCleaner: http://wklej.to/Imw3d

Fixlog: http://wklej.to/vujjT

FRST: http://wklej.to/JjQsu

Addition: http://wklej.to/gM8Du

Shortcut:

http://wklej.to/eutzk

[Miszel03 0]

Udało się usunąć MPC Cleaner, najwidoczniej blokady zostały zdjęte wcześniej, bądź w ogóle ich nie było. Albireo też zostało pomyślnie usunięty.

 

W związku z tym NoVirusThanks Registry DeleteEx v1.0 możesz już odinstalować.

 

Teraz trzeba się zając pozycjami:

 

• HomePage
  
• StartupUrls
  

 

w, których są śmieciowe adresy (nie dające się usunąć) na razie diagnostyka, - pobieram dane z pliku Preferences oraz Secure Preferences.

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CHR HomePage: Default -> hxxp://rts.dsrlte.com
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com","hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP"
S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X]
CMD: type "C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Preferences"
CMD: type "C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences"
EmptyTemp:

 

2. Dostarcz Fixlog.TXT oraz zrób nowy raport FRST już bez Addition i ShortCup.

[Kozial 0]

Zrobiłem, proszę

FRST: http://wklej.to/JlDNh

Fixlog: http://wklej.to/gSjs9

[Miszel03 0]

• Zresetuj synchronizacja (o ile włączona) KLIK
  
• Jeżeli chcesz zatrzymać utworzone przez Ciebie zakładki wykonaj kombinację klawiszy: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  
• Odinstaluj Google Chrome, przy deinstalacji zaznacz opcję "Usuń także dane przeglądarki"
  
• Po deinstalacji ręcznie skasuj foldery: C:\Program Files\Google i C:\Users\Anna\AppData\Local\Google.
  
• Zainstaluj najnowszą wersję Google Chrome.
  

 

Zrób nowy log FRST. (Bez Addition i ShortCup)

[Kozial 0]

Zrobiłem wszytko jak było napisane. Nowe FRST: http://wklej.to/DpfFJ

Jeszcze raz dzięki za pomoc

[Miszel03 0]

Czy wszystko jest już w porządku?

[Kozial 0]

Tak wszytko śmiga bardzo dobrze, lepiej jak na nowym Wielki dzięki.

[Atak_Snajpera 63]

Udało się usunąć MPC Cleaner, najwidoczniej blokady zostały zdjęte wcześniej, bądź w ogóle ich nie było. Albireo też zostało pomyślnie usunięty.

Usługi najlepiej usuwać nie przez bezpośrednie grzebanie w rejestrze tylko przez komendę SC (uruchomioną jako administrator)

 

sc.exe delete [nazwa_usługi]

 

Sam się o tym przekonałem że system potrafi blokować dostęp do wyżej wymienionego klucza \CurrentControlSet\Services innym aplikacjom.

[Miszel03 0]

Ja mam swoje sprawdzone metody, których nie zamierzam zmieniać.

[Atak_Snajpera 63]

Ja mam swoje sprawdzone metody, których nie zamierzam zmieniać.

 

No to się potem nie dziw że użytkownicy będą zgłaszać problem z usuwaniem pewnych kluczy.

Przy pomocy oficjalnej metody jeszcze mi się nie zdarzyło aby pojawił się komunikat odmowy dostępu.

[Miszel03 0]

Metoda, którą ja stosuję jest stosowana na wielu szanowanych forach np. Bleeping Computer czy Fixitpc.pl

 

Przy pomocy oficjalnej metody jeszcze mi się nie zdarzyło aby pojawił się komunikat odmowy dostępu.

 

Taki komunikat się nie pojawił, owszem był komunikat związany z błędem usunięcia klucza, ale on był raczej związanych z jego brakiem - co potwierdziło bez problemowe usunięcie sterowników MPC Cleaner via FRST

[Atak_Snajpera 63]

Metoda, którą ja stosuję jest stosowana na wielu szanowanych forach np. Bleeping Computer czy Fixitpc.pl

 

 

 

Taki komunikat się nie pojawił, owszem był komunikat związany z błędem usunięcia klucza, ale on był raczej związanych z jego brakiem - co potwierdziło bez problemowe usunięcie sterowników MPC Cleaner via FRST

 

Tylko po co kazać ściągać dodatkowy soft typu NoVirusThanks Registry DeleteEx v1.0 skoro systemowa komenda zrobi to samo? Po co sobie tak komplikować życie?

[Miszel03 0]

Trochę się zaczynasz czepiać, przecież potem to malutkie narzędzie można odinstalować.

[Atak_Snajpera 63]

Czepiasz się..przecież potem można to malutkie narzędzie odinstalować.

 

Pytanie zasadnicze jest po co tak kombinować jak koń pod górkę?!

 

Wystarczyło napisać aby użytkownik odpalił cmd.exe jako administrator i wklepał te trzy krótkie linijki.

 

sc delete MPCBase

sc delete MPCKpt

sc delete MPCProtectService

 

Zamiast tego kombinujesz na około z jakimś dodatkowym softem. Nie czepiał się tylko pokazuje ci że jest prostszy sposób wywalania usług. A to że inne FixitPc czy tym podobne podstawowych komend windowsa nie znają to już nie moja broszka. Odwalasz bardzo dobrą robotę tutaj i za to czacun. Ja tylko sugeruję uproszczenie metody odśmiecania.

[Miszel03 0]

Takie mam już przyzwyczajenie, że klucze które muszą być usunięte z poziomu kernel traktuję tym właśnie narzędziem bo jest ono skuteczne. Twoja metodę znam, - jest równie skuteczna ale tak jak mówię - przyzwyczajenie to przyzwyczajenie.