Не могу удалить вирус MPC Cleaner!

[list=1][*]Скачайте [B][url=http://swandog46.geekstogo.com/avenger2/download.php]Avenger by Swandog46[/url][/B] и распакуйте на рабочий стол.[*]Запустите [B]Avenger[/B] от имени Администратора, скопируйте и вставьте текст ниже в окно выполнения скрипта
[code]
Drivers to disable:
MPCBase
MPCKpt

Drivers to delete:
MPCBase
MPCKpt
MPCProtectService

Files to delete:
C:\windows\system32\Drivers\MPCKpt.sys
C:\windows\system32\Drivers\MPCBase.sys

Folders to delete:

Registry values to delete:

Registry keys to delete:
[/code]

[I][color=red]Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.[/color][/I][*]Нажмите [B]Execute[/B] и подтвердите, нажав [B]Yes[/B] [*]Avenger автоматически выполнит следующее:[list][*]Перезагрузит компьютер (в случае если скрипт содержит [B]Drivers to Delete[/B], Avenger перезагрузит компьютер [B]дважды[/B])[*]При перезагрузке кратковременно появится черное окно, это нормально[*]После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.[*]Avenger также сохранит удаляемые файлы в архиве [B]C:\avenger\backup.zip[/B].[/list][*]Прикрепите содержимое файла [B]c:\avenger.txt[/B] в следующее сообщение.[/list]

Готово!
Файлы MPCBase.sys и MPCKpt.sys больше не появляются, службы MPC Core Protect Service в диспетчере задач тоже нет.
В реестре остались папки
HKEY_LOCAL_MACHINE\SOFTWARE\MPC,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPCBASE, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPCKPT

Еще раз для контроля сделайте логи FRST.txt, Addition.txt

+ Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите MPC, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

Сделала

В AVZ отметьте для удаления только указанные ниже строки:

[CODE]
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\ =
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\Location = C:\Program Files\MPC Cleaner
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\mpcssp =
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\mpchpl =
[/CODE]

Будьте внимательны!

[QUOTE]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MPCBASE, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MPCKPT[/QUOTE]
Эти ключи реестра тоже можно удалить.

[list][*]Скачайте отсюда [url="https://www.malwarebytes.org/mwb-download/"]Malwarebytes' Anti-Malware[/url] или с [url="https://clck.ru/AvWPo"]зеркала[/url]. [*]Установите MBAM с настройками по умолчанию.[*]После установки в главном окне программы, выберите "[B]Параметры[/B]".[*]В параметрах перейдите на вкладку "[B]Личный кабинет[/B]" и нажмите на кнопку "[B]Деактивировать ознакомительную премиум версию[/B]".[*]При появлении окошка предупреждения, нажмите "[B]Yes[/B]".[*]Обновите базы, выберите "[b]Проверка[/b]" => "[B]Выборочное сканирование[/B]", нажмите "[b]Настроить сканирование[/b]".[*]Сделайте настройки как показано на рисунке ниже:

[img]http://i.imgur.com/Yx93IoF.png[/img]
[*]Для сканирование отметьте все доступные диски и нажмите "[B]Запустить проверку[/B]"

[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B].

[*]По окончанию проверки, нажмите на кнопку "[b]Сохранить результаты проверки[/b]", результат проверки сохраните в текстовой файл.[*]Сохраните лог на рабочий стол. [*]Прикрепите этот лог к следующему вашему сообщению.[/list]

Я не успеваю завершить проверку: уезжаю на праздники.
Спасибо большое за помощь! Счастливого Нового года и Рождества!

[QUOTE]Результат: Отменено
[/QUOTE]
Нужна полная проверка.

[QUOTE]Я не успеваю завершить проверку: уезжаю на праздники.[/QUOTE]
Продолжим позже.

[QUOTE]Спасибо большое за помощь! Счастливого Нового года и Рождества![/QUOTE]
Спасибо. Вас тоже с Наступающим Новым годом.

Здравствуйте! Проверку выполнила

В MBAM поместите в карантин все найденное. После этого сделайте лог быстрого сканирования.

А сканирование мне надо сделать в МВАМ? Там быстрая проверка доступна только для премиум версии

Тогда сделайте выборочную проверку, но для проверки отметьте только диск С.

Сделано

[QUOTE]Файл: 5
Worm.Brontok.Generic, C:\USERS\Любочка\APPDATA\LOCAL\KOSONG.BRON.TOK.TXT, Проигнорировано пользователем, [2639], [370222],1.0.3669
Worm.Brontok.Generic, C:\USERS\Любочка\APPDATA\LOCAL\BRON.TOK.A12.EM.BIN, Проигнорировано пользователем, [2639], [370222],1.0.3669
Worm.Brontok.Generic, C:\USERS\Любочка\APPDATA\LOCAL\UPDATE.12.BRON.TOK.BIN, Проигнорировано пользователем, [2639], [370222],1.0.3669
PUP.Optional.Dsrlte, C:\USERS\Любочка\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\SEARCHPLUGINS\DSRLTE1.XML, Проигнорировано пользователем, [12782], [237957],1.0.3669
PUP.Optional.HijackHosts.Gen, C:\WINDOWS\SYSTEM32\EQIL\FANM\POC.DAT, Проигнорировано пользователем, [14708], [301768],1.0.3669
[/QUOTE]
Это удалите.

[LIST][*]Для профилактики и защиты от повторных заражений загрузите [B]SecurityCheck by glax24[/B] [URL="https://clck.ru/9aDKp"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите отчет в вашей теме[/LIST]

Готово!

[QUOTE]---------------------------- [ Antivirus_WMI ] ----------------------------
Microsoft Security Essentials (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Microsoft Security Essentials (выключен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.8.204.0
[/QUOTE]
Установите антивирус, либо включите текущий антивирус. В противном случае от почтового червя Brontok будет проблематично избавится.

VLC media player v.2.1.5 [color=red][b]Внимание! [url=http://www.videolan.org/vlc/download-windows.ru.html]Скачать обновления[/url][/b][/color]
Java 8 Update 40 v.8.0.400 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^[/b][/color]
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.3.2.35 [color=red][b]Внимание! [url=https://www.apple.com/ru/itunes/download/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Для проверки новой версии используйте приложение Apple Software Update^[/b][/color]
Adobe Flash Player 24 ActiveX v.24.0.0.194 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 28 PPAPI v.28.0.0.137 [b][+][/b]
Adobe Reader X (10.1.11) - Russian v.10.1.11 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Reader XI или Adobe Acrobat Reader DC[/url][/b].
------------------------------- [ Browser ] -------------------------------
Opera 12.17 v.12.17.1863 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1218/int/Opera_1218_int_Setup.exe]Скачать обновления[/url][/b][/color]

Готово!

Еще раз сделайте логи frst.txt, addition.txt

Готово!

Все, выписываем Вас.

[LIST=1][*]Для удаления утилит, которые использовались в лечении скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][/LIST]

На этом все.

Юхууу!:clapping:
Спасибо большое!