Возникают вкладки с рекламой, не могу удалить UbarDriver.sys

@sqroll · Регистрация: 10.06.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте Sandor!
Cразу же после запуска компьютера открывается браузер с вкладкой с рекламой. Грешу на файл UbarDriver.sys, так как только его не могу удалить с компьютера, даже в реестре не нашел данную пакость. Надеюсь на Вашу помощь!

@severnyj · 10.06.2016, 21:03

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\sqroll\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69\35A67BA5-CE30-4B25-B17E-7E96AB1ABACB.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe', '');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe', '32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\sqroll\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('C:\Users\sqroll\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69\35A67BA5-CE30-4B25-B17E-7E96AB1ABACB.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\sqroll\AppData\Local\Amigo\Application\vk.exe', '32');
 DeleteFile('C:\Users\sqroll\AppData\Local\Amigo\Application\ok.exe', '32');
 DeleteFile('C:\Users\sqroll\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Users\sqroll\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\fupdate', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MailRuUpdater', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69', '64');
 DeleteService('UbarCalloutDriver');
 DeleteService('Updater.Mail.Ru');
 DeleteService('UbarPolicyProvider');
 DeleteService('mrupdsrv');
 DeleteFileMask('C:\ProgramData\Microsoft\Macromed\Flash Player\4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69\', '*', true);
 DeleteDirectory('C:\ProgramData\Microsoft\Macromed\Flash Player\4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69\');
 DeleteFileMask('C:\ProgramData\KRB Updater Utility\', '*', true);
 DeleteDirectory('C:\ProgramData\KRB Updater Utility\');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{7815BE26-237D-41A8-A98F-F7BD75F71086}');
 DelBHO('{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amigo');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ghbvhvspvh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '4FA0F3CE-6B9D-468E-8FDE-1FEF9B2A0F69');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'KRB Updater Utility');
BC_ImportAll;
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте через форму вверху страницы:

Отправить файлы карантина
Разрешенные имена файлов: quarantine.zip, virusinfo_autoquarantine.zip
Максимальное количество файлов: 2
Максимальный размер одного файла: 16.00 Мб

или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Прикреплять карантин к сообщению запрещено!!!

- Перетащите лог Check_Browsers_LNK.log из папки с распакованным Autologger'ом на утилиту ClearLNK.

Отчёт о работе прикрепите.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@sqroll · 10.06.2016, 21:55 **[ТС]**

Теперь все отлично работает! Благодарю severnyj за оперативную поддержку и помощь.
Прикрепляю отчет и Лог.

P.S.
Дабы в будущем, если возникнут данные неполадки, как можно научиться самому все исправить? Может есть у Вас такие курсы или же ссылка на форуме. Буду крайне признателен за отклик!

@severnyj · 10.06.2016, 22:00

Сообщение от sqroll

как можно научиться самому все исправить? Может есть у Вас такие курсы или же ссылка на форуме. Буду крайне признателен за отклик!

https://www.cyberforum.ru/viru... ment9.html

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@sqroll · 10.06.2016, 22:09 **[ТС]**

Еще раз спасибо!!

Лог:
___________________________________________________________________________

SecurityCheck by glax24 & Severnyj v.1.4.0.40 [21.05.16]
WebSite: www.safezone.cc
DateLog: 10.06.2016 22:08:12
Path starting: C:\Users\sqroll\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: sqroll
VersionXML: 3.05is-10.06.2016
___________________________________________________________________________

Windows 10(6.3.10586) (x64) Core Lang: Russian(0419)
Дата установки ОС: 13.12.2015 01:57:10
Статус лицензии: Windows(R), Core edition Постоянная активация прошла успешно.
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [212.4 Гб] Занято: [134.2 Гб] Свободно: [78.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.306.10586.0
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба веб-публикаций (W3SVC) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
avast! Antivirus (выключен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
avast! Antivirus (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
avast! Antivirus (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Internet Security v.10.3.2223
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.41212.0
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.22 v.7.22.109 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
MediaGet Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 91 v.8.0.910.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.2.6.0.19120 Внимание! Скачать обновления
Adobe Flash Player 21 NPAPI v.21.0.0.242
Adobe Reader X (10.1.0) MUI v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.51.0.2704.84
Mozilla Firefox 46.0.1 (x86 ru) v.46.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.15.4.3502.0922
Почта Windows Live v.15.4.3502.0922
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.51.0.2704.84
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.10.3.2223.1143
C:\Program Files\AVAST Software\Avast\avastui.exe v.10.3.2223.1147
Avast Firewall (avast! Firewall) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
MediaGet Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@severnyj · 10.06.2016, 22:11

Обновляйте программы по ссылкам и читайте: Рекомендации после удаления вредоносного ПО

@sqroll · 10.06.2016, 22:15 **[ТС]**

Ок. Уже прочитал

Возникают вкладки с рекламой, не могу удалить UbarDriver.sys

Решение

Решение

Решение

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	10.06.2016, 22:00	4
	Сообщение было отмечено sqroll как решение Решение Сообщение от sqroll как можно научиться самому все исправить? Может есть у Вас такие курсы или же ссылка на форуме. Буду крайне признателен за отклик! https://www.cyberforum.ru/viru... ment9.html Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Временно выгрузите антивирус, файрволл и прочее защитное ПО. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 1

@sqroll 0 / 0 / 0 Регистрация: 10.06.2016 Сообщений: 4
	10.06.2016, 22:09 [ТС]	5
	Еще раз спасибо!! Лог: ___________________________________________________________________________ SecurityCheck by glax24 & Severnyj v.1.4.0.40 [21.05.16] WebSite: www.safezone.cc DateLog: 10.06.2016 22:08:12 Path starting: C:\Users\sqroll\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: sqroll VersionXML: 3.05is-10.06.2016 ___________________________________________________________________________ Windows 10(6.3.10586) (x64) Core Lang: Russian(0419) Дата установки ОС: 13.12.2015 01:57:10 Статус лицензии: Windows(R), Core edition Постоянная активация прошла успешно. Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [212.4 Гб] Занято: [134.2 Гб] Свободно: [78.2 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.306.10586.0 Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Загружать автоматически обновления и устанавливать по заданному расписанию Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба веб-публикаций (W3SVC) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2013 x86 v.15.0.4569.1506 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (выключен и обновлен) avast! Antivirus (выключен и устарел) ---------------------------- [ Firewall_WMI ] ----------------------------- avast! Antivirus (отключен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) avast! Antivirus (выключен и устарел) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Internet Security v.10.3.2223 --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.5.1.41212.0 --------------------------------- [ IM ] ---------------------------------- Skype™ 7.22 v.7.22.109 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- MediaGet Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 91 v.8.0.910.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.2.6.0.19120 Внимание! Скачать обновления Adobe Flash Player 21 NPAPI v.21.0.0.242 Adobe Reader X (10.1.0) MUI v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.51.0.2704.84 Mozilla Firefox 46.0.1 (x86 ru) v.46.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ ----------------------------- [ EmailClient ] ----------------------------- Windows Live Mail v.15.4.3502.0922 Почта Windows Live v.15.4.3502.0922 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.51.0.2704.84 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Avast Antivirus (avast! Antivirus) - Служба работает C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.10.3.2223.1143 C:\Program Files\AVAST Software\Avast\avastui.exe v.10.3.2223.1147 Avast Firewall (avast! Firewall) - Служба работает Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена Служба Защитника Windows (WinDefend) - Служба остановлена Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- MediaGet Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	10.06.2016, 22:11	6
	Сообщение было отмечено sqroll как решение Решение Обновляйте программы по ссылкам и читайте: Рекомендации после удаления вредоносного ПО 1

@sqroll 0 / 0 / 0 Регистрация: 10.06.2016 Сообщений: 4
	10.06.2016, 22:15 [ТС]	7
	Ок. Уже прочитал 0