ucdrv не удаляется

**drtosha** · 10.07.2017, 23:52

Привет, после установки проги для дров она за собой потянула целый караван всяких левых программ, в обширном кол-ве было от майла и еще uc browser. Почти все вычистил др.вебом и adwcleaner, но вот с ucdrv распрощаться не удается. Каждый раз при загрузке чищу его, перезагружаюсь - снова на месте. При каждой загрузке создает процесс kota.exe который грузит проц на 25% (процесс легко снимается).
При создании лога отключил микрософтовский антивирус, и когда открывался IE с ним открылся UC Browser, хотя я его везде поудалял.
Лог прикладываю и спасибо заранее
https://yadi.sk/d/Y75oT4Pm3Kvh7c

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.07.2017, 23:53

Уважаемый(ая) drtosha, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 12.07.2017, 12:18

Здравствуйте!

Логи прикрепляйте к сообщению через кнопку Расширенный режим - Управление вложениями.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AdwCleaner, версия 6.046

Настоящая программа не устанавливается в систему, а запускается из собственной папки. И версия устаревшая.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\drtosha\appdata\roaming\iemiss2\kota.exe');
 StopService('ucdrv');
 QuarantineFile('C:\Program Files\UCBrowser\Security\uclauncher.exe','');
 QuarantineFile('C:\Program Files\UCBrowser\Application\update_task.exe','');
 QuarantineFile('C:\Program Files\UCBrowser\Application\UCService.exe','');
 QuarantineFile('c:\users\drtosha\appdata\roaming\iemiss2\kota.exe','');
 QuarantineFile('C:\Users\drtosha\AppData\Roaming\IeMiss2\IeMiss2.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserSecureUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdaterCore" /F', 0, 15000, true);
 DeleteFile('c:\users\drtosha\appdata\roaming\iemiss2\kota.exe','32');
 DeleteFile('C:\Program Files\UCBrowser\Application\UCService.exe','32');
 DeleteFile('C:\Program Files\UCBrowser\Application\update_task.exe','32');
 DeleteFile('C:\Program Files\UCBrowser\Security\uclauncher.exe','32');
 DeleteFile('C:\Users\drtosha\AppData\Roaming\IeMiss2\IeMiss2.vbs', '32');
 DeleteService('ucdrv');
 DeleteService('UCBrowserSvc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IeMiss2.vbs');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сделайте повторные логи по правилам. (CollectionLog)

Подготовьте и прикрепите лог сканирования AdwCleaner. Качайте только по приведенной ссылке.

**drtosha** · 14.07.2017, 08:56

Привет! спасибо за ответ!

Скрипт выполнил, ПО удалил, карантин во вложении, логи, ссори не понял как к сообщению прицепить, вот ссылка на диск
https://yadi.sk/d/9Pca4kQI3L3oZy
и отчет adwcleaner
https://yadi.sk/i/rJdyJevc3L3og3

Задачу уже не создает, но adw находит зараженный драйвер

Спасибо за помощь!

**Sandor** · 14.07.2017, 09:04

Сообщение от drtosha

ссори не понял как к сообщению прицепить

Кнопка "Расширенный режим" - раздел Вложения, кнопка "Управление вложениями" - в новом окне "Добавить файлы"

**drtosha** · 14.07.2017, 11:09

Спасибо!
Добавил

**Sandor** · 15.07.2017, 17:08

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**drtosha** · 19.07.2017, 00:19

отчеты во вложении
Shortcut.txt не создался

**Sandor** · 19.07.2017, 10:10

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
2017-06-18 03:00 - 2017-06-18 03:00 - 7307264 _____ () C:\Users\drtosha\AppData\Local\agent.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 0070800 _____ () C:\Users\drtosha\AppData\Local\Config.xml
2017-06-18 03:00 - 2017-06-18 03:00 - 1896509 _____ () C:\Users\drtosha\AppData\Local\Inchkaytone.tst
2017-06-18 02:58 - 2017-06-18 02:58 - 0140800 _____ () C:\Users\drtosha\AppData\Local\installer.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 0018432 _____ () C:\Users\drtosha\AppData\Local\Main.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 0005568 _____ () C:\Users\drtosha\AppData\Local\md.xml
2017-06-18 03:00 - 2017-06-18 03:00 - 0126464 _____ () C:\Users\drtosha\AppData\Local\noah.dat
2017-06-18 03:00 - 2017-06-18 03:00 - 1895383 _____ () C:\Users\drtosha\AppData\Local\Sail-Bam.bin
2017-06-18 02:59 - 2017-06-18 02:59 - 0278509 _____ () C:\Users\drtosha\AppData\Local\Solobam.bin
2017-06-18 02:58 - 2017-06-18 04:04 - 0930816 _____ () C:\Users\drtosha\AppData\Local\test_db_cara.db
2017-06-18 03:00 - 2017-06-18 03:00 - 0032038 _____ () C:\Users\drtosha\AppData\Local\uninstall_temp.ico
ContextMenuHandlers01: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare 8\ASCExtMenu.dll -> No File
ContextMenuHandlers01: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers01: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} =>  -> No File
ContextMenuHandlers01: [JZContextMenuExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} =>  -> No File
ContextMenuHandlers02: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} =>  -> No File
ContextMenuHandlers04: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers04: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} =>  -> No File
ContextMenuHandlers06: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
Task: {15B41046-96DC-448F-A3B1-F811FF79F92C} - System32\Tasks\Display Desktop Wallpaper => C:\Windows\system32\rundll32.exe "C:\Program Files\Display Desktop Wallpaper\Display Desktop Wallpaper.dll",qLJFVzI <==== ATTENTION
Task: {34F36B21-89E2-437F-9C45-E0E4A5CB4688} - System32\Tasks\psv_ItTax => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Unozap.reg" & del "C:\ProgramData\Subair\Unozap.reg" & SCHTASKS /Delete /TN "psv_ItTax" /F <==== ATTENTION
Task: {B21E4ED2-E895-4C58-B795-AF2D1A2EE75A} - System32\Tasks\psv_TamRemflex => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Bigis.reg" & del "C:\ProgramData\Subair\Bigis.reg" & SCHTASKS /Delete /TN "psv_TamRemflex" /F <==== ATTENTION
Task: {C6BCE882-A3CC-4BB2-870A-4418F7DD8370} - System32\Tasks\psv_VivaZoztech => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Matflex.reg" & del "C:\ProgramData\Subair\Matflex.reg" & SCHTASKS /Delete /TN "psv_VivaZoztech" /F <==== ATTENTION
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [84370]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
FirewallRules: [{664C0663-EDE3-431F-9BB6-BD020372D4BF}] => (Allow) C:\Users\drtosha\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{71438A93-779C-46AB-8F37-E08943386397}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe
C:\Program Files\UCBrowser\
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**drtosha** · 20.07.2017, 23:37

Готово

**Sandor** · 21.07.2017, 11:21

Что сейчас с проблемой?

**drtosha** · 23.07.2017, 00:02

Сообщение от Sandor

Что сейчас с проблемой?

Теперь вроде все хорошо ) спасибо!!
Единственное при скане adwcleaner выдает
***** [ Реестр ] *****

Найден ключ: HKLM\SOFTWARE\Classes\UCHTML
Найден ключ: HKLM\SOFTWARE\Classes\tschmna

Но мне кажется это уже не страшно

**Sandor** · 23.07.2017, 20:37

Сообщение от drtosha

при скане adwcleaner выдает

За это время его версия обновилась.
Сделайте очистку и покажите отчет: C:\AdwCleaner\AdwCleaner[Cx].txt - где x - цифра.

**CyberHelper** · 23.07.2017, 20:47

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения вредоносные программы в карантинах не обнаружены

ucdrv не удаляется (заявка № 213753)

Опции темы