Не могу удалить вирус MPC Cleaner!

[mike 1]

1. Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
2. Запустите Avenger от имени Администратора, скопируйте и вставьте текст ниже в окно выполнения скрипта
   
   Код:

   Drivers to disable:
   MPCBase
   MPCKpt
   
   Drivers to delete:
   MPCBase
   MPCKpt
   MPCProtectService
   
   Files to delete:
   C:\windows\system32\Drivers\MPCKpt.sys
   C:\windows\system32\Drivers\MPCBase.sys
   
   Folders to delete:
   
   Registry values to delete:
   
   Registry keys to delete:

   Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.
3. Нажмите Execute и подтвердите, нажав Yes
4. Avenger автоматически выполнит следующее:
   • Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
   • При перезагрузке кратковременно появится черное окно, это нормально
   • После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
   • Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.
5. Прикрепите содержимое файла c:\avenger.txt в следующее сообщение.

[Byba]

Готово!
Файлы MPCBase.sys и MPCKpt.sys больше не появляются, службы MPC Core Protect Service в диспетчере задач тоже нет.
В реестре остались папки
HKEY_LOCAL_MACHINE\SOFTWARE\MPC,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MPCBASE, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MPCKPT

[mike 1]

Еще раз для контроля сделайте логи FRST.txt, Addition.txt

+ Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите MPC, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

[Byba]

Сделала

[mike 1]

В AVZ отметьте для удаления только указанные ниже строки:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\MPC\ = 
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\Location = C:\Program Files\MPC Cleaner
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\mpcssp = 
HKEY_LOCAL_MACHINE\SOFTWARE\MPC\mpchpl =

Будьте внимательны!

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MPCBASE, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MPCKPT

Эти ключи реестра тоже можно удалить.

• Скачайте отсюда Malwarebytes' Anti-Malware или с зеркала.
• Установите MBAM с настройками по умолчанию.
• После установки в главном окне программы, выберите "Параметры".
• В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
• При появлении окошка предупреждения, нажмите "Yes".
• Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
• Сделайте настройки как показано на рисунке ниже:
  
  
  
• Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"
  
  Самостоятельно ничего не удаляйте!!!.
  
  
• По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
• Сохраните лог на рабочий стол.
• Прикрепите этот лог к следующему вашему сообщению.

[Byba]

Я не успеваю завершить проверку: уезжаю на праздники.
Спасибо большое за помощь! Счастливого Нового года и Рождества!

[mike 1]

Результат: Отменено

Нужна полная проверка.

Я не успеваю завершить проверку: уезжаю на праздники.

Продолжим позже.

Спасибо большое за помощь! Счастливого Нового года и Рождества!

Спасибо. Вас тоже с Наступающим Новым годом.

[Byba]

Здравствуйте! Проверку выполнила

[mike 1]

В MBAM поместите в карантин все найденное. После этого сделайте лог быстрого сканирования.

[Byba]

А сканирование мне надо сделать в МВАМ? Там быстрая проверка доступна только для премиум версии

[mike 1]

Тогда сделайте выборочную проверку, но для проверки отметьте только диск С.

[Byba]

Сделано

[mike 1]

Файл: 5
Worm.Brontok.Generic, C:\USERS\Любочка\APPDATA\LOCAL\KOSONG.BRON.TOK.TXT , Проигнорировано пользователем, [2639], [370222],1.0.3669
Worm.Brontok.Generic, C:\USERS\Любочка\APPDATA\LOCAL\BRON.TOK.A12.EM.BIN , Проигнорировано пользователем, [2639], [370222],1.0.3669
Worm.Brontok.Generic, C:\USERS\Любочка\APPDATA\LOCAL\UPDATE.12.BRON.TOK. BIN, Проигнорировано пользователем, [2639], [370222],1.0.3669
PUP.Optional.Dsrlte, C:\USERS\Любочка\APPDATA\ROAMING\MOZILLA\FIREFOX\P ROFILES\NAHD6HA2.DEFAULT\SEARCHPLUGINS\DSRLTE1.XML , Проигнорировано пользователем, [12782], [237957],1.0.3669
PUP.Optional.HijackHosts.Gen, C:\WINDOWS\SYSTEM32\EQIL\FANM\POC.DAT, Проигнорировано пользователем, [14708], [301768],1.0.3669

Это удалите.

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[Byba]

Готово!

[mike 1]

---------------------------- [ Antivirus_WMI ] ----------------------------
Microsoft Security Essentials (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Microsoft Security Essentials (выключен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.8.204.0

Установите антивирус, либо включите текущий антивирус. В противном случае от почтового червя Brontok будет проблематично избавится.

VLC media player v.2.1.5 Внимание! Скачать обновления
Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.3.2.35 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления
Adobe Flash Player 28 PPAPI v.28.0.0.137 [+]
Adobe Reader X (10.1.11) - Russian v.10.1.11 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera 12.17 v.12.17.1863 Внимание! Скачать обновления

[Byba]

Готово!

[mike 1]

Еще раз сделайте логи frst.txt, addition.txt

[Byba]

Готово!

[mike 1]

Все, выписываем Вас.

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run

На этом все.

[Byba]

Юхууу!
Спасибо большое!