-
ucdrv не удаляется
Привет, после установки проги для дров она за собой потянула целый караван всяких левых программ, в обширном кол-ве было от майла и еще uc browser. Почти все вычистил др.вебом и adwcleaner, но вот с ucdrv распрощаться не удается. Каждый раз при загрузке чищу его, перезагружаюсь - снова на месте. При каждой загрузке создает процесс kota.exe который грузит проц на 25% (процесс легко снимается).
При создании лога отключил микрософтовский антивирус, и когда открывался IE с ним открылся UC Browser, хотя я его везде поудалял.
Лог прикладываю и спасибо заранее
[URL]https://yadi.sk/d/Y75oT4Pm3Kvh7c[/URL]
-
Уважаемый(ая) [B]drtosha[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Здравствуйте!
Логи прикрепляйте к сообщению через кнопку Расширенный режим - Управление вложениями.
Через Панель управления - Удаление программ - удалите нежелательное ПО:
[quote]
AdwCleaner, версия 6.046
[/quote]
Настоящая программа не устанавливается в систему, а запускается из собственной папки. И версия устаревшая.
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\drtosha\appdata\roaming\iemiss2\kota.exe');
StopService('ucdrv');
QuarantineFile('C:\Program Files\UCBrowser\Security\uclauncher.exe','');
QuarantineFile('C:\Program Files\UCBrowser\Application\update_task.exe','');
QuarantineFile('C:\Program Files\UCBrowser\Application\UCService.exe','');
QuarantineFile('c:\users\drtosha\appdata\roaming\iemiss2\kota.exe','');
QuarantineFile('C:\Users\drtosha\AppData\Roaming\IeMiss2\IeMiss2.vbs', '');
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserSecureUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore" /F', 0, 15000, true);
DeleteFile('c:\users\drtosha\appdata\roaming\iemiss2\kota.exe','32');
DeleteFile('C:\Program Files\UCBrowser\Application\UCService.exe','32');
DeleteFile('C:\Program Files\UCBrowser\Application\update_task.exe','32');
DeleteFile('C:\Program Files\UCBrowser\Security\uclauncher.exe','32');
DeleteFile('C:\Users\drtosha\AppData\Roaming\IeMiss2\IeMiss2.vbs', '32');
DeleteService('ucdrv');
DeleteService('UCBrowserSvc');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IeMiss2.vbs');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
После перезагрузки, выполните такой скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
Подготовьте и прикрепите лог сканирования [url=http://virusinfo.info/showthread.php?t=146192]AdwCleaner[/url]. Качайте только по приведенной ссылке.
-
Привет! спасибо за ответ!
Скрипт выполнил, ПО удалил, карантин во вложении, логи, ссори не понял как к сообщению прицепить, вот ссылка на диск
[url]https://yadi.sk/d/9Pca4kQI3L3oZy[/url]
и отчет adwcleaner
[url]https://yadi.sk/i/rJdyJevc3L3og3[/url]
Задачу уже не создает, но adw находит зараженный драйвер
Спасибо за помощь!
-
[quote="drtosha;1457395"]ссори не понял как к сообщению прицепить[/quote]
Кнопка "Расширенный режим" - раздел Вложения, кнопка "Управление вложениями" - в новом окне "Добавить файлы"
-
Вложений: 2
-
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
-
Вложений: 2
отчеты во вложении
Shortcut.txt не создался
-
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
2017-06-18 03:00 - 2017-06-18 03:00 - 7307264 _____ () C:\Users\drtosha\AppData\Local\agent.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 0070800 _____ () C:\Users\drtosha\AppData\Local\Config.xml
2017-06-18 03:00 - 2017-06-18 03:00 - 1896509 _____ () C:\Users\drtosha\AppData\Local\Inchkaytone.tst
2017-06-18 02:58 - 2017-06-18 02:58 - 0140800 _____ () C:\Users\drtosha\AppData\Local\installer.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 0018432 _____ () C:\Users\drtosha\AppData\Local\Main.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 0005568 _____ () C:\Users\drtosha\AppData\Local\md.xml
2017-06-18 03:00 - 2017-06-18 03:00 - 0126464 _____ () C:\Users\drtosha\AppData\Local\noah.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 1895383 _____ () C:\Users\drtosha\AppData\Local\Sail-Bam.bin
2017-06-18 02:59 - 2017-06-18 02:59 - 0278509 _____ () C:\Users\drtosha\AppData\Local\Solobam.bin
2017-06-18 02:58 - 2017-06-18 04:04 - 0930816 _____ () C:\Users\drtosha\AppData\Local\test_db_cara.db
2017-06-18 03:00 - 2017-06-18 03:00 - 0032038 _____ () C:\Users\drtosha\AppData\Local\uninstall_temp.ico
ContextMenuHandlers01: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare 8\ASCExtMenu.dll -> No File
ContextMenuHandlers01: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
ContextMenuHandlers01: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers01: [JZContextMenuExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers02: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers04: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
ContextMenuHandlers04: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers06: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
Task: {15B41046-96DC-448F-A3B1-F811FF79F92C} - System32\Tasks\Display Desktop Wallpaper => C:\Windows\system32\rundll32.exe "C:\Program Files\Display Desktop Wallpaper\Display Desktop Wallpaper.dll",qLJFVzI <==== ATTENTION
Task: {34F36B21-89E2-437F-9C45-E0E4A5CB4688} - System32\Tasks\psv_ItTax => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Unozap.reg" & del "C:\ProgramData\Subair\Unozap.reg" & SCHTASKS /Delete /TN "psv_ItTax" /F <==== ATTENTION
Task: {B21E4ED2-E895-4C58-B795-AF2D1A2EE75A} - System32\Tasks\psv_TamRemflex => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Bigis.reg" & del "C:\ProgramData\Subair\Bigis.reg" & SCHTASKS /Delete /TN "psv_TamRemflex" /F <==== ATTENTION
Task: {C6BCE882-A3CC-4BB2-870A-4418F7DD8370} - System32\Tasks\psv_VivaZoztech => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Matflex.reg" & del "C:\ProgramData\Subair\Matflex.reg" & SCHTASKS /Delete /TN "psv_VivaZoztech" /F <==== ATTENTION
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [84370]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
FirewallRules: [{664C0663-EDE3-431F-9BB6-BD020372D4BF}] => (Allow) C:\Users\drtosha\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{71438A93-779C-46AB-8F37-E08943386397}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe
C:\Program Files\UCBrowser\
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
-
Вложений: 1
-
-
[QUOTE=Sandor;1458200]Что сейчас с проблемой?[/QUOTE]
Теперь вроде все хорошо ) спасибо!!
Единственное при скане adwcleaner выдает
***** [ Реестр ] *****
Найден ключ: HKLM\SOFTWARE\Classes\UCHTML
Найден ключ: HKLM\SOFTWARE\Classes\tschmna
Но мне кажется это уже не страшно
-
[quote="drtosha;1458367"]при скане adwcleaner выдает[/quote]
За это время его версия обновилась.
Сделайте очистку и покажите отчет: C:\AdwCleaner\AdwCleaner[Cx].txt - где x - цифра.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00977 seconds with 10 queries