Szkodliwe oprogramowania itp

[aresorek]

Witam, pierwszy raz od wieków takie coś mi się zdarzyło...

 

Nie wiem od czego, ale teraz otwiera mi się multum programów których nie instalowałem, a nawet ich nie szukałem. Każdy wie o co chodzi.

 

Robiłem ADWclener, ale do końca to nie pomogło, może usunęło połowę.

Różne niechcniane procesy nadal mam.

 

Dałbym logi, ale zapomniałem co i jak. Jakieś przypomnienie?

 

Pomocy, proszę :/

[aresorek]

@DnaloP

http://wklej.org/id/2443472/

Nie wiem czy Ty to zrobiłeś, ale teraz nie mam w ogóle folderu do SnapDo, ale one same nadal są w Cclenerze.

Ten program MPC odinstalowałem przez uninst.exe w ich folderze. Nie restartowałem PC po tym, więc nie wiem czy to pomogło.

[Andraf]

NIE SŁUCHAJ DEBILI, KTÓRZY ZARAZ CI POLECĄ COMBOFIXA

 

wrzuć logi z HijackThis

[Dzienny]

@aresorek http://www.mpcforum.pl/topic/1364875-jak-wykonać-logi/?p=12866201

[Janusz.]

NIE SŁUCHAJ DEBILI, KTÓRZY ZARAZ CI POLECĄ COMBOFIXA

 

wrzuć logi z HijackThis

Hijack jest przestarzały, lepiej zrobić logi FRST. (link wyżej) 

[aresorek]

@DnaloP

To z DNS zrobiłem przed naprawą.

 

Fix- http://wklej.org/id/2444068/

 

Program jak był, tak jest i nadal nie można go odinstalować, bo "program przestał działać" przy odpalaniu programu do odinstalowania w ich folderze. A same procesy jego są w mendżerze zadań.

 

@Edit

Jakbym zaktualizował na Win10 to może to jakoś pomóc? xp

[Janusz.]

Tencet usunięty, MPC prawdopodobnie też. SnapDO ruszałem tylko w pierwszym fixie. Wykonaj teraz nowe logi FRST

[aresorek]

Shortcut- http://wklej.org/id/2439295/

Addition- http://wklej.org/id/2439338/

FRST- http://wklej.org/id/2439359/

 

Jeszcze jakieś dać? Jeżeli tak, to dam jutro.

Dzięki.

[Janusz.]

Odinstaluj SnapDo (będą dwie wersje tego)

Wejdź do folderu C:\Program Files (x86)\Tencent\QQPCMgr\jakiś numerek. Tam będzie plik deinstalacyjny, prawdopodobnie o nazwie "uninst.exe", uruchom go i

- pierwsze okienko klikasz biały przycisk

- drugie okienko klikasz biały przycisk

- trzecie okienko zaznaczasz wszystkie "ptaszki", klikasz czerwony przycisk i przycisk po lewej

- po deinstalacji naciśnij "krzyżyk"

 

Closeprocesses:
Task: {23827DBD-B187-4F66-A211-A7466DEAD086} - System32\Tasks\Plsesh Community => C:\Program Files (x86)\Plsesh\plscmmTask.exe [2016-05-23] () <==== UWAGA
Task: {EBCFA028-AE83-4066-ACF9-DED06232EB2E} - System32\Tasks\tasklist => c:\programdata\setup_qg00.exe [2016-05-22] () <==== UWAGA
HKU\S-1-5-21-3752512784-499302472-3136531769-1000\...\Run: [QGuan00] => c:\programdata\setup_qg00.exe [1920512 2016-05-22] ()
CHR HomePage: ChromeDefaultData -> hxxp://google.pl/
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1429391668&from=obw&uid=SAMSUNGXSP4002H_0487J1CW501018","hxxp://www.mysites123.com/?type=hp&ts=1455372205&z=d59da0137b761864c441021gdz0w4w3cfm1o8oee8w&from=amt&uid=samsungxsp4002h_0487j1cw501018","hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAHIkC0..&v=20160523&uid=1052DE26743651B2AC040D803BF91B1A&ptid=ftp&mode=loadm"
CHR DefaultSearchURL: ChromeDefaultData -> hxxps://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8
CHR DefaultSuggestURL: ChromeDefaultData -> hxxps://www.google.com/complete/search?q={searchTerms}
R2 Ruogvudna; C:\Users\aresorek\AppData\Roaming\Ciiwkh\Ciiwkh.exe [170496 2016-05-24] () [Brak podpisu cyfrowego]
S2 plscmmService; C:\Program Files (x86)\Plsesh\plscmmService.exe [985752 2016-05-23] ()
R2 Ofugqa; C:\Users\aresorek\AppData\Roaming\SidzafPokpo\Peake.exe [121344 2016-05-24] () [Brak podpisu cyfrowego]
R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-24] (DotC United Inc)
R2 Kosmy; C:\Users\aresorek\AppData\Roaming\VunhhIkh\Dagop.exe [121344 2016-05-24] () [Brak podpisu cyfrowego]
R2 Hiawnefi; C:\Users\aresorek\AppData\Roaming\Okodaa\Okodaa.exe [170496 2016-05-24] () [Brak podpisu cyfrowego]
S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X]
R1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsDefenseBT64.sys [X]
S3 VIAHdAudAddService; system32\drivers\viahduaa.sys [X]
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-24] (DotC United Inc)
C:\ProgramData\TXQMPC
2016-05-24 21:25 - 2016-05-24 21:25 - 00000000 ____D C:\Users\aresorek\AppData\Roaming\VunhhIkh
2016-05-24 21:25 - 2016-05-24 21:25 - 00000000 ____D C:\Users\aresorek\AppData\Roaming\SidzafPokpo
2016-05-24 21:25 - 2016-05-24 21:25 - 00000000 ____D C:\Users\aresorek\AppData\Roaming\Okodaa
2016-05-24 21:25 - 2016-05-24 21:25 - 00000000 ____D C:\Users\aresorek\AppData\Roaming\Ciiwkh
2016-05-24 21:24 - 2016-05-24 22:43 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-05-24 21:24 - 2016-05-24 21:24 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys






CMD: dir /a "C:\Users\aresorek\appdata\Local"
CMD: dir /a "C:\Users\aresorek\appdata\Roaming"
CMD: dir /a "C:\Users\aresorek\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"

RemoveProxy:
EmptyTemp:

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum.

[aresorek]

@ref

[Zaciesz]

Zamykam na prośbę (raport).

[Janusz.]

Wykonaj poprzedni fix w trybie awaryjnym

[aresorek]

@DnaloP

Ten program MPC wrócił. I teraz nie mogę go odinstalować, bo wyskakuje, że program przestał działać.

 

Frst- http://wklej.org/id/2443799/

Addition- http://wklej.org/id/2443800/

Shortcut- http://wklej.org/id/2443801/

[aresorek]

@DnaloP

Co do SnapDo, to racja, jest ich dwie. W Cclenerze nie mogę tego odinstalować.

A w ich folderze nie ma pliku do odinstalowania :/

 

 

 

 

fixlog- http://wklej.org/id/2443228/

 

Nie wiem czy wszystko oprócz tego programu MPC Cleaner zostało usunięte, ale to jedno na pewno jest. Ahh, jeszcze SnapDo

[Janusz.]

Closeprocesses:
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1429391668&from=obw&uid=SAMSUNGXSP4002H_0487J1CW501018","hxxp://www.mysites123.com/?type=hp&ts=1455372205&z=d59da0137b761864c441021gdz0w4w3cfm1o8oee8w&from=amt&uid=samsungxsp4002h_0487j1cw501018","hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAHIkC0..&v=20160523&uid=1052DE26743651B2AC040D803BF91B1A&ptid=ftp&mode=loadm"
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-24] (DotC United Inc)
R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-24] (DotC United Inc)
2016-05-25 16:34 - 2016-05-25 16:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
2016-05-24 21:24 - 2016-05-25 16:18 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-05-24 21:24 - 2016-05-24 21:24 - 00060136 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys




CMD: dir /a "C:\Users\aresorek\appdata\Local"
CMD: dir /a "C:\Users\aresorek\appdata\Roaming"
CMD: dir /a "C:\Users\aresorek\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"

Hosts:
RemoveProxy:
EmptyTemp:

Jako Fixlist.txt

http://windows.microsoft.com/pl-pl/windows/change-tcp-ip-settings#1TC=windows-7

zmień DNS http://i.imgur.com/Y6R4EIk.png na dole "Użyj następujących adresów serwerów DNS:" ustaw w pierwszym polu 8.8.8.8 w drugim 8.8.4.4

[Janusz.]

Closeprocesses:

Unlock: C:\Program Files (x86)\MPC Cleaner

Unlock: C:\ProgramData\Tencent

Unlock: C:\Program Files (x86)\Tencent

C:\Program Files (x86)\MPC Cleaner

C:\ProgramData\Tencent

C:\Program Files (x86)\Tencent

zapisz jako Fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum.