Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Pewna infekcja komputera




  • Zamknięty Temat jest zamknięty
13 odpowiedzi w tym temacie

#1 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 17 06 2016 - 13:19

1)

trotux - Uninstall (HKLM-x32\...\{1799FF21-B82A-47C3-926D-EA6B4C5BADC8}) (Version: - ) <==== UWAGA

Odinstaluj ten program.

 

2)

MPC Cleaner (HKLM-x32\...\MPC) (Version: - DotC United Inc)

Z usunięciem tego programu będą duże problemy.

Na początek użyj  >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego "C"

 

Potem zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.

niechcący skasowałem Twój post

 

wirusolog



#2 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 17 06 2016 - 20:20

1)

trotux - Uninstall (HKLM-x32\...\{1799FF21-B82A-47C3-926D-EA6B4C5BADC8}) (Version: - ) <==== UWAGA

Odinstaluj ten program.

 

2)

MPC Cleaner (HKLM-x32\...\MPC) (Version: - DotC United Inc)

Z usunięciem tego programu będą duże problemy.

Na początek użyj  >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego "C"

 

Potem zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.



#3 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 18 06 2016 - 10:43

ADWCleaner C1:

Spoiler

 

Shortcut:

Spoiler

 

Addition:

Spoiler

 

FRST:

Spoiler

 

Wg Twoich instrukcji.



#4 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 18 06 2016 - 13:36

1. Uruchom Registry DeleteEx  http://www.novirusth...istry-deleteex/ .
Zaznacz opcję "Recursively delete all subkeys". W pasku adresów po kolei wklej te ścieżki i je usuń:

HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt
HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService

Zresetuj system.

2) Wejdź do folderu C:\Program Files\MPC Cleaner i uruchom deinstalator, o ile plik nadal jest. Zresetuj system.

3)  Wejdź do folderu C:\Program Files (x86)\MPC AdCleaner i wyszukaj plik deinstalatora, z prawokliku "Uruchom jako Administrator".

 

4) Otwórz Notatnik i wklej w nim:

C:\ProgramData\Quoteex
C:\ProgramData\Quoteexs
ShortcutWithArgument: C:\Users\Poker\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\Poker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Poker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\Poker\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Poker\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Poker\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
Task: {F78B30C8-539D-409A-8450-08771B38DFCF} - System32\Tasks\MPC Desktop => C:\Program Files (x86)\MPC Cleaner\MPCDesktop.exe [2016-06-17] (DotC United Inc)
Task: {094C8BD5-8A22-42DA-84D2-EC832B92F053} - System32\Tasks\{2B083A3A-CF0B-4596-BBD8-AD987F59D8DB} => pcalua.exe -a C:\Users\Poker\Downloads\Biznesmen_PRO.exe -d C:\Users\Poker\Downloads
C:\ProgramData\kmytnfun.aqy
2016-06-17 13:42 - 2016-06-17 13:42 - 6867968 _____ () C:\Users\Poker\AppData\Roaming\agent.dat
2016-06-17 13:42 - 2016-06-17 13:42 - 0054272 _____ () C:\Users\Poker\AppData\Roaming\ApplicationHosting.dat
2016-06-17 13:42 - 2016-06-17 13:42 - 0069072 _____ () C:\Users\Poker\AppData\Roaming\Config.xml
2016-06-17 13:42 - 2016-06-17 13:42 - 1106432 _____ () C:\Users\Poker\AppData\Roaming\Goldendonwarm.exe
2016-06-17 13:42 - 2016-06-17 13:42 - 1760384 _____ () C:\Users\Poker\AppData\Roaming\Goldendonwarm.tst
2016-06-17 13:42 - 2016-06-17 13:42 - 0018432 _____ () C:\Users\Poker\AppData\Roaming\InstallationConfiguration.xml
2016-06-17 13:42 - 2016-06-17 13:42 - 0128512 _____ () C:\Users\Poker\AppData\Roaming\Installer.dat
2016-06-17 13:42 - 2016-06-17 13:42 - 0126464 _____ () C:\Users\Poker\AppData\Roaming\lobby.dat
2016-06-17 13:42 - 2016-06-17 13:42 - 0018432 _____ () C:\Users\Poker\AppData\Roaming\Main.dat
2016-06-17 13:42 - 2016-06-17 13:42 - 0005568 _____ () C:\Users\Poker\AppData\Roaming\md.xml
2016-06-17 13:42 - 2016-06-17 13:42 - 1106432 _____ () C:\Users\Poker\AppData\Roaming\MedApstring.exe
2016-06-17 13:42 - 2016-06-17 13:42 - 0072704 _____ () C:\Users\Poker\AppData\Roaming\MedApstring.tst
2016-06-17 13:42 - 2016-06-17 13:42 - 0126464 _____ () C:\Users\Poker\AppData\Roaming\noah.dat
2016-06-17 13:42 - 2016-06-17 13:42 - 2279413 _____ () C:\Users\Poker\AppData\Roaming\Opennix.bin
2016-06-17 13:42 - 2016-06-17 13:42 - 0032038 _____ () C:\Users\Poker\AppData\Roaming\uninstall_temp.ico
2016-06-17 13:42 - 2016-06-17 13:42 - 0848437 _____ () C:\Users\Poker\AppData\Roaming\Zamfax.bin
2016-06-18 11:36 - 2016-06-18 11:36 - 00003132 _____ C:\Windows\System32\Tasks\MPC Desktop
2016-06-18 11:36 - 2016-06-18 11:36 - 00001790 _____ C:\Users\Public\Desktop\MPC Desktop.lnk
2016-06-18 11:36 - 2016-06-18 11:36 - 00001783 _____ C:\Users\Public\Desktop\MPC AdCleaner.lnk
2016-06-18 11:36 - 2016-06-18 11:36 - 00001735 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
2016-06-18 11:36 - 2016-06-18 11:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop
2016-06-18 11:36 - 2016-06-18 11:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner
2016-06-18 11:36 - 2016-06-18 11:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
2016-06-17 13:45 - 2016-06-18 11:36 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-06-17 13:45 - 2016-06-17 13:45 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
2016-06-17 13:45 - 2016-06-17 13:45 - 00008974 _____ C:\Windows\System32\Tasks\Reujosestogle Community
2016-06-17 13:44 - 2016-06-18 11:36 - 00000000 ____D C:\Program Files (x86)\Pheqeght
2016-06-17 13:44 - 2016-06-18 11:36 - 00000000 ____D C:\Program Files (x86)\Anonetionjse
2016-06-17 13:44 - 2016-06-17 13:45 - 00000000 ____D C:\Program Files (x86)\Reujosestogle
R3 ALSysIO; \??\C:\Users\Poker\AppData\Local\Temp\ALSysIO64.sys [X]
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-06-17] (DotC United Inc)
S2 ReujosestogleCmmS; "C:\Program Files (x86)\Reujosestogle\ReujosestogleCmmS.xhtm5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
R2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe [1106432 2016-06-17] () [Brak podpisu cyfrowego]
R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [351712 2016-06-17] (DotC United Inc)
CHR Extension: (Momentum) - C:\Users\Poker\AppData\Local\Google\Chrome\User Data\Default\Extensions\laookkfknpbbblfpciffpaejjkokdgca [2016-06-13]
FF SelectedSearchEngine: trotux
FF DefaultSearchEngine: trotux
AppInit_DLLs: C:\ProgramData\Quoteex\Caning.dll => C:\ProgramData\Quoteex\Caning.dll [363008 2016-06-17] ()
AppInit_DLLs-x32: C:\ProgramData\Quoteex\Konfix.dll => C:\ProgramData\Quoteex\Konfix.dll [257536 2016-06-17] ()
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

 

5) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.



#5 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 20 06 2016 - 09:26

 

 

1. Uruchom Registry DeleteEx  http://www.novirusth...istry-deleteex/ .
Zaznacz opcję "Recursively delete all subkeys". W pasku adresów po kolei wklej te ścieżki i je usuń:

HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt
HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService

Zresetuj system.

Failed to delete registry key mi wyskakuje.

 

Czy mam robić dalsze punkty?



#6 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 20 06 2016 - 10:56

Czy mam robić dalsze punkty?

 

Tak.



#7 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 20 06 2016 - 13:13

fixlog:

Spoiler

shortcut:

Spoiler

 

addition:

Spoiler

frst:

Spoiler

 

zrobione wg instrukcji.



#8 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 20 06 2016 - 14:09

1) Spróbuj odinstalować ten program:

SafeFinder (HKLM-x32\...\{45BA0449-179A-4C7F-8EBA-3D94B3C6DE0B}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

 

2) Otwórz Notatnik i wklej w nim:

Task: {9DADCD0F-2D3D-4386-A712-795317C7EE13} - \Reujosestogle Community -> Brak pliku <==== UWAGA
2016-06-18 11:41 - 2016-06-18 11:41 - 00000000 ____D C:\Users\Poker\AppData\Roaming\MCorp
2016-06-20 13:42 - 2016-06-20 13:42 - 00002397 _____ C:\Windows\SysWOW64\findit.xml
R3 ALSysIO; \??\C:\Users\Poker\AppData\Local\Temp\ALSysIO64.sys [X]
FF SearchPlugin: C:\Users\Poker\AppData\Roaming\Profiles\lnbq77v0.default\searchplugins\findit.xml [2016-06-20]
FF SearchPlugin: C:\Users\Poker\AppData\Roaming\Profiles\lnbq77v0.default\searchplugins\rsj6zcsm.xml [2016-06-17]
FF Homepage: C:\ProgramData\Quoteexs\ff.HP
FF NewTab: C:\ProgramData\Quoteexs\ff.NT
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
C:\Users\Poker\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk
C:\ProgramData\Quoteexs

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{45BA0449-179A-4C7F-8EBA-3D94B3C6DE0B}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{45BA0449-179A-4C7F-8EBA-3D94B3C6DE0B}
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

Registry DeleteEx - usuń ręcznie.

.



#9 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 20 06 2016 - 15:41

Niby kliknałem odinstaluj i po restarcie systemu już nie widzę tego safefinder ale czy go nie ma to nie wiem...

 

fixlog_1:

Spoiler

 

FRST:

Spoiler

 

Addition:

Spoiler

 

Shortcut:

Spoiler

 

Delete quarantine juz usuanlem, z reszta czekam jak potwierdzisz ze wszystko gra.



#10 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 20 06 2016 - 16:46

FF NewTab: C:\ProgramData\Quoteexs\ff.NT
FF Homepage: C:\ProgramData\Quoteexs\ff.HP

To dalej jest w logu, a więc i w Firefoxie.

 

Otwórz Notatnik i wklej w nim:

FF NewTab: C:\ProgramData\Quoteexs\ff.NT
FF Homepage: C:\ProgramData\Quoteexs\ff.HP
C:\ProgramData\Quoteexs
R3 ALSysIO; \??\C:\Users\Poker\AppData\Local\Temp\ALSysIO64.sys [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NoVirusThanks Registry DeleteEx_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NoVirusThanks Registry DeleteEx_is1
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Jeśli to nie zniknie, to przeinstalujesz Firefoxa.

.



#11 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 20 06 2016 - 17:02

fixlog:

Spoiler

 

i tyle w temacie?



#12 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 20 06 2016 - 17:10

chodzi mi o to, czy z Firefoxa to faktycznie zniknęło, czy nie, bo przy poprzednim usuwaniu też w "fixlog" pisało, że:

Firefox "newtab" pomyślnie usunięto
Firefox "homepage" pomyślnie usunięto

Jak to widzisz w Firefoxie?



#13 kkkacper

kkkacper

    First Rank

  • Użytkownicy
  • 7 postów

Napisano 21 06 2016 - 09:51

Niby czysto w firefoxie. Więc przechodzę do:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

Registry DeleteEx - usuń ręcznie.



#14 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5776 postów
  • Płeć:Mężczyzna

Napisano 21 06 2016 - 10:32

W takim razie zamykam temat.

.






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych