Ein Tablet, Windows 10, BitLocker und die Adware “MPC Cleaner”

Die Adware “MPC Cleaner” ist nicht gerade einfach von einem Windows-Computer zu entfernen. Unter Windows 10 scheint die Sache sogar noch schwieriger zu sein und (imho) am härtesten trifft es diejenigen, die sich soetwas auf einem Windows-Tablet einfangen.

Eine Familie brachte ihr HP Tablet zu uns, da sich seit dem Versuch OpenOffice zu installieren diverse Seiten im Internet einfach so öffnen und statt dem (vorinstallierten) Word eine Erotikseite aufging. Nach kurzer Begutachtung war klar, das es eine Adware sein musste. Das vermeintliche OpenOffice-Setup stammte zudem nicht vom eigentlichen Macher, damit war der Infektionsweg ebenfalls abgeklärt.

Ein Teil des Problems konnte mit bekannten Mitteln und etwas Handarbeit behoben werden, schwierig wurde es allerdings bei folgenden zwei Resten:

C:\Program Files (x86)\MPC Cleaner
C:\Windows\System32\Drivers\MpcKpt.sys

Daneben gab es noch einen Dienst namens “MPC Core Protect Service” und den Treiber “MpcKpt”. Den Inhalt des Ordners unter “Program Files” und seiner Unterordner konnte nach Übernahme des Besitzes und Einrichten des Vollzugriffs entfernt werden, somit war der Dienst bereits lahmgelegt.

Aber weder der Ordner ansich, der Diensteintrag noch der Treiber liesen sich entfernen. Ein Ändern der Starteigenschaft des Treiber via Regedit war ebenso nicht möglich. Es half auch nichts das Tablet im abgesicherten Modus zu starten oder mit Systemrechten via “psexec -i -s cmd” zu arbeiten. Kurzum: Richtig hartnäckig. Tools wie FRST und AdwCleaner scheiterten ebenfalls.

Normalerweise hat man in solchen Fällen gute Chancen, wenn man den Computer von DVD oder einem Stick startet und dann via WinPE oder Linux dem Schädling auf die Pelle rückt. Das war wiederum ebenfalls nicht möglich, da das installierte Windows 10 mit einem Online-Konto verbunden ist, was wiederum zur Folge hat, das der Speicher mit BitLocker verschlüsselt ist.

Zumindest für WinPE wäre das kein Problem, solange man den Wiederherstellungsschlüssel zur Hand hat. Aber genau an dieser Stelle ging der Ärger weiter, da dieser nicht im Online-Konto gefunden werden konnte und der Kunde noch nicht mal wusste, das sein Tablet verschlüsselt ist.

Damit nun dennoch die Möglichkeit besteht, auf den Speicher zuzugreifen, wurde das Tablet entschlüsselt:

  • Eingabeaufforderung mit erhöhten Rechten öffnen.
  • “manage-bde C: -off” eingeben.

Dadurch wird BitLocker deaktiviert. Der aktuelle Status der Entschlüsselung kann mit “manage-bde – status” abgefragt werden.

Wichtig: Unbedingt eine Datensicherung vorher anlegen, für den Fall das etwas schief läuft. Die Datensicherung ist i.d.R. nicht verschlüsselt (siehe hier und hier).

Nach der Entschlüsselung konnte dann mit Hilfe einer Windows 10-DVD und einem USB-CD/DVD-Laufwerk gestartet und weiter bereinigt werden. Von da an war es kein Problem den Ordner als auch Treiber zu löschen.

2 Kommentare

  1. Andrea

    Hallo, habe das gleiche Prob. kann Ordner mit Inhalt und Treiber nicht löschen.
    Wie habt ihr es mit der Win 10 CD gemacht?
    Danke für eine Antwort

  2. andy

    Von CD/DVD starten und über die Computerreparaturoptionen zu einer Eingabeaufforderung wechseln. Von da gehts dann mit den entsprechenden Befehlen (del…) weiter. Alternativ kann man über den Öffnen-Dialog von Notepad (sozusagen “Quasi”-Dateimanager) tricksen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑