Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите вычистить реестр от "MPC Core Protect Service" (http://forum.oszone.net/showthread.php?t=318288)

webzen 29-08-2016 23:51 2664041
Помогите вычистить реестр от "MPC Core Protect Service"
 
Вложений: 1
Помогите жалуйста! Как удалить остатки заразы программы под названием "MPC Cleaner" из реестра ! Уже все перепробовал. По началу была эта зараза устанавливается в папку "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" и ее Папку с этой хренью ("MPC Cleaner" ) не получалось удалить даже в "безопасном режиме". Я загрузился с загрузочной флешки и удалил эту папку. Но в реестре по адресу "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCProtectService" все еще остались следы этой "программы" при попытки удалить этот раздел, выходит сообщение " Не удалось удалить раздел, отказано в доступе". Я перепробовал все антивирусные сканеры которые знал а также в безопасном режиме, и даже загружаться с загрузочной флешки через программу "uVS" все равно не получается удалить, пишет "нет доступа", столкнулся с этим уже на двух компьютерах. может быть я что то не так делаю или есть какой-то хороший руткит сканер способный убить этого зловреда ??
P/S/

Добавил логи, но ничего нового в них я не нашел. мне не понятно почему с загрузочной флешки через программу uVS не удаляет. может быть надо другую версию windows на загрузочную флешку устанавливать ??

Vadikan 29-08-2016 23:54 2664042
Перенесено из 10
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

iskander-k 04-09-2016 09:32 2665534
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 DeleteService('MPCKpt');
 SetServiceStart('MPCKpt', 4);
 StopService('MPCKpt');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','');
 DeleteService('MPCProtectService');
 SetServiceStart('MPCProtectService', 4);
 StopService('MPCProtectService');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
HiJackThis профиксить

Код:
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com

Код:
O1 - DNSApi: File is patched - C:\Windows\system32\dnsapi.dll
C:\Windows\System32\dnsapi.dll
C:\Windows\SysWOW64\dnsapi.dll

замените чистым с дистрибутива или скопируйте с аналогичной системы

сделайте лог Мбам при установке откажитесь от пробной версии, запустите МБАМ результаты сканирования сохраните в блокнот и выложите к сообщению. сами ничего не удаляйте.

webzen 05-09-2016 10:19 2665825
iskander-k, Спасибо! Вроде разобрался =)

Только у меня вот этот MPCProtectService.exe не удалялся даже из безопасного режима, писал что "нет доступа". Удалил только загрузившись с флешки через windows7 и запустив "uVS". Причем получилось удалить только загрузившись с загрузочной windows7, через live версию windows8 тоже почему-то не удалялось.


Время: 02:12.

Время: 02:12.
© OSzone.net 2001-