Как окончательно удалить UCBrowser?

[26423]

Приветствую, уважаемые!

Словил UCBrowser. Что смог - зачистил, вкладки в хроме ежеминутно уже не открываются, но комп явно подтормаживает и AdwCleaner после каждой перезагрузки вновь и вновь обнаруживает службу ucdrv и ключ реестра HKLM\SOFTWARE\Classes\UCHTML (пробовал удалять вручную, но появляется снова).

CCleaner, в свою очередь, стабильно обнаруживает устаревший раздел реестра HKCU\Software\UCBrowser, который также никак не желает удаляться.

Как окончательно избавиться от наследия этого чуда? Помогите, пожалуйста!

CollectionLog-2017.03.19-14.45.zip

Изменено 19 марта, 2017 пользователем 26423

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Gptykajetain Controls\local32spl.dll','');
 QuarantineFile('C:\Users\777\AppData\Local\Temp\79B2.tmp.sys','');
 QuarantineFile('C:\Windows\system32\drivers\flowhlp.dat','');
 SetServiceStart('ucdrv', 4);
 DeleteService('ucdrv');
 DeleteFile('C:\Program Files\UCBrowser\Security:ucdrv-x86.sys','32');
 DeleteFile('C:\Program Files\Gptykajetain Controls\local32spl.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[26423]

Re: quarantine.zip [KLAN-5981127832]

newvirus@kaspersky.com

Кому: ***

 

сегодня, 19:32

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

79B2.tmp.sys

flowhlp.dat

bcqr00003.dat

bcqr00004.dat

bcqr00005.dat

bcqr00006.dat

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

CollectionLog-2017.03.19-19.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[26423]

Готово

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Providers\q0tv0xwu: C:\Program Files\Gptykajetain Controls\local32spl.dll
ShellExecuteHooks: No Name - {5136B43A-0926-11E7-854F-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
HKU\S-1-5-21-3517145426-248102655-4174704585-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpawjrsswlyPdvfktRNR5l17eOisvPy1VNIwpzl-PgldkyOx1IIXN6LVp3a4SPj6XcSwXqzy2x77qylh05hBrvriiC5ucoFnpCi5me5UR_o5yGBizL5jyIEpQkdb74Y3Dsexct6GcQdetszo0Hsvmk9qehGo&q={searchTerms}
2017-03-18 17:31 - 2017-03-18 17:32 - 34757600 _____ (Kingsoft Corporation) C:\Users\777\AppData\Local\Temp\duba_u44036870_sv1_3_616.exe
Task: {562ECDA3-9E36-46CB-BB1D-37E559B6DECA} - \{D34B4659-58FF-4E74-8EFB-6EB69C70E678} -> No File <==== ATTENTION
Task: {8A8B75D0-798B-46BF-9C50-B5046BAE2A24} - \{22D3EFF3-BA8E-4DAA-82A8-B1A3F582C4C8} -> No File <==== ATTENTION
Task: {DF298BF6-D2B0-4963-BC84-463FCB66399C} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[26423]

Готово

Fixlog.txt

[thyrex]

Проблема решена?

[26423]

Проблема решена?

Да. Огромное человеческое спасибо!

AdwCleanerS20.txt

[thyrex]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[26423]

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]

WebSite: www.safezone.cc

DateLog: 20.03.2017 21:13:51

Path starting: C:\Users\777\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: 777

VersionXML: 4.04is-19.03.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)

Дата установки ОС: 19.05.2012 10:04:50

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE

Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [72.8 Гб] Свободно: [24.9 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x86 v.14.0.6029.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

COMODO Antivirus (включен и обновлен)

Malwarebytes (выключен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

COMODO Firewall (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Comodo Defense+ (включен и обновлен)

Malwarebytes (выключен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

McAfee Security Scan Plus v.3.8.150.1

COMODO Internet Security v.5.10.31649.2253

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.0.6.1469 v.3.0.6.1469

Adguard v.6.1.314.1628

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 12 v.12.0.72365

Архиватор WinRAR

OpenOffice.org 3.3 v.3.3.9567 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.10411.0 Внимание! Скачать обновления

TeamViewer 12 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.30 v.7.30.103 Внимание! Скачать обновления

^Необязательное обновление.^

QIP 2005 8095 v.8095

QIP 2010 3.1.5488 v.3.1.5488

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 67 v.7.0.670 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

QuickTime v.7.71.80.42 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Служба Bonjour (Bonjour Service) - Служба остановлена

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 25 ActiveX v.25.0.0.127

Adobe Flash Player 25 NPAPI v.25.0.0.127

Adobe Reader X (10.1.16) v.10.1.16 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Chromodo v.52.15.25.665

Google Chrome v.57.0.2987.110

Mozilla Firefox 52.0.1 (x86 ru) v.52.0.1

Opera 11.64 v.11.64.1403 Внимание! Скачать обновления

----------------------------- [ EmailClient ] -----------------------------

The Bat! 4.2.36.4

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Google\Chrome\Application\chrome.exe v.57.0.2987.110

C:\Program Files\COMODO\Chromodo\chromodo_updater.exe v.1.0.0.1

------------------ [ AntivirusFirewallProcessServices ] -------------------

Adguard Service (Adguard Service) - Служба работает

C:\Program Files\Adguard\AdguardSvc.exe v.6.1.314.1628

COMODO Internet Security Helper Service (cmdAgent) - Служба работает

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe v.8.4.0.5165

COMODO Virtual Service Manager (cmdvirth) - Служба остановлена

C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe v.8.4.0.5165

Malwarebytes Service (MBAMService) - Служба остановлена

McAfee Security Scan Component Host Service (McComponentHostService) - Служба остановлена

Защитник Windows (WinDefend) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Исправляйте указанное

[26423]

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]

WebSite: www.safezone.cc

DateLog: 20.03.2017 23:19:12

Path starting: C:\Users\777\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: 777

VersionXML: 4.04is-19.03.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)

Дата установки ОС: 19.05.2012 10:04:50

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe

Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [73.3 Гб] Свободно: [24.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба остановлена

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x86 v.14.0.6029.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

COMODO Antivirus (включен и обновлен)

Malwarebytes (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

COMODO Firewall (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Comodo Defense+ (включен и обновлен)

Malwarebytes (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

McAfee Security Scan Plus v.3.8.150.1

COMODO Internet Security v.5.10.31649.2253

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.0.6.1469 v.3.0.6.1469

Adguard v.6.1.314.1628

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 12 v.12.0.72365

Архиватор WinRAR

OpenOffice 4.1.3 v.4.13.9783

Microsoft Silverlight v.5.1.50905.0

TeamViewer 12 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.33 v.7.33.105

QIP 2005 8095 v.8095

QIP 2010 3.1.5488 v.3.1.5488

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 121 v.8.0.1210.13

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 25 ActiveX v.25.0.0.127

Adobe Flash Player 25 NPAPI v.25.0.0.127

Adobe Reader XI (11.0.19) - Russian v.11.0.19

------------------------------- [ Browser ] -------------------------------

Chromodo v.52.15.25.665

Google Chrome v.57.0.2987.110

Mozilla Firefox 52.0.1 (x86 ru) v.52.0.1

Opera 12.18 v.12.18.1872 Внимание! Скачать обновления

Opera Stable 43.0.2442.1144 v.43.0.2442.1144

----------------------------- [ EmailClient ] -----------------------------

The Bat! 4.2.36.4

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\COMODO\Chromodo\chromodo_updater.exe v.1.0.0.1

------------------ [ AntivirusFirewallProcessServices ] -------------------

Adguard Service (Adguard Service) - Служба работает

C:\Program Files\Adguard\AdguardSvc.exe v.6.1.314.1628

COMODO Internet Security Helper Service (cmdAgent) - Служба работает

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe v.8.4.0.5165

COMODO Virtual Service Manager (cmdvirth) - Служба остановлена

C:\Program Files\COMODO\COMODO Internet Security\cistray.exe v.8.4.0.5165

C:\Program Files\COMODO\COMODO Internet Security\cis.exe v.8.4.0.5165

C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe v.8.4.0.5165

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.0.0.912

Malwarebytes Service (MBAMService) - Служба работает

C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.415

McAfee Security Scan Component Host Service (McComponentHostService) - Служба остановлена

Защитник Windows (WinDefend) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

Изменено 20 марта, 2017 пользователем 26423

[thyrex]

Новых логов больше не нужно. Тем более и обновили не все

[26423]

Новых логов больше не нужно. Тем более и обновили не все

Обновил лог в п. #13.

Explorer и Opera до последних версий обновить не получается, это не критично? Остальное - ок?