Die Adware “MPC Cleaner” ist nicht gerade einfach von einem Windows-Computer zu entfernen. Unter Windows 10 scheint die Sache sogar noch schwieriger zu sein und (imho) am härtesten trifft es diejenigen, die sich soetwas auf einem Windows-Tablet einfangen.
Eine Familie brachte ihr HP Tablet zu uns, da sich seit dem Versuch OpenOffice zu installieren diverse Seiten im Internet einfach so öffnen und statt dem (vorinstallierten) Word eine Erotikseite aufging. Nach kurzer Begutachtung war klar, das es eine Adware sein musste. Das vermeintliche OpenOffice-Setup stammte zudem nicht vom eigentlichen Macher, damit war der Infektionsweg ebenfalls abgeklärt.
Ein Teil des Problems konnte mit bekannten Mitteln und etwas Handarbeit behoben werden, schwierig wurde es allerdings bei folgenden zwei Resten:
C:\Program Files (x86)\MPC Cleaner C:\Windows\System32\Drivers\MpcKpt.sys
Daneben gab es noch einen Dienst namens “MPC Core Protect Service” und den Treiber “MpcKpt”. Den Inhalt des Ordners unter “Program Files” und seiner Unterordner konnte nach Übernahme des Besitzes und Einrichten des Vollzugriffs entfernt werden, somit war der Dienst bereits lahmgelegt.
Aber weder der Ordner ansich, der Diensteintrag noch der Treiber liesen sich entfernen. Ein Ändern der Starteigenschaft des Treiber via Regedit war ebenso nicht möglich. Es half auch nichts das Tablet im abgesicherten Modus zu starten oder mit Systemrechten via “psexec -i -s cmd” zu arbeiten. Kurzum: Richtig hartnäckig. Tools wie FRST und AdwCleaner scheiterten ebenfalls.
Normalerweise hat man in solchen Fällen gute Chancen, wenn man den Computer von DVD oder einem Stick startet und dann via WinPE oder Linux dem Schädling auf die Pelle rückt. Das war wiederum ebenfalls nicht möglich, da das installierte Windows 10 mit einem Online-Konto verbunden ist, was wiederum zur Folge hat, das der Speicher mit BitLocker verschlüsselt ist.
Zumindest für WinPE wäre das kein Problem, solange man den Wiederherstellungsschlüssel zur Hand hat. Aber genau an dieser Stelle ging der Ärger weiter, da dieser nicht im Online-Konto gefunden werden konnte und der Kunde noch nicht mal wusste, das sein Tablet verschlüsselt ist.
Damit nun dennoch die Möglichkeit besteht, auf den Speicher zuzugreifen, wurde das Tablet entschlüsselt:
- Eingabeaufforderung mit erhöhten Rechten öffnen.
- “manage-bde C: -off” eingeben.
Dadurch wird BitLocker deaktiviert. Der aktuelle Status der Entschlüsselung kann mit “manage-bde – status” abgefragt werden.
Wichtig: Unbedingt eine Datensicherung vorher anlegen, für den Fall das etwas schief läuft. Die Datensicherung ist i.d.R. nicht verschlüsselt (siehe hier und hier).
Nach der Entschlüsselung konnte dann mit Hilfe einer Windows 10-DVD und einem USB-CD/DVD-Laufwerk gestartet und weiter bereinigt werden. Von da an war es kein Problem den Ordner als auch Treiber zu löschen.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Hallo, habe das gleiche Prob. kann Ordner mit Inhalt und Treiber nicht löschen.
Wie habt ihr es mit der Win 10 CD gemacht?
Danke für eine Antwort
Von CD/DVD starten und über die Computerreparaturoptionen zu einer Eingabeaufforderung wechseln. Von da gehts dann mit den entsprechenden Befehlen (del…) weiter. Alternativ kann man über den Öffnen-Dialog von Notepad (sozusagen “Quasi”-Dateimanager) tricksen.