Проблема: Отказано в доступе к указанному устройству, пути или файлу. [Trojan-Downloader.Win32.Bandit.jr, HEUR:Trojan-Proxy.Win32.Glupteba.gen]

[trebunskihev]

Мой комп поразил вирус. Касперский фри не помог, вирус отлючил его при попытке лечения. Сначала експлорер отключался, а потом на часть программ появилось ограничение: Отказано в доступе к указанному устройству, пути или файлу. Антивирусы не устанавливались. Немного откатил систему (восстановление контрольной точки) и поставил AVG AntiVirus FREE, но отказ в доступе к другим программам остался. Хотелось бы удалить вирусы и восстановить полный доступ

[Info_bot]

Уважаемый(ая) trebunskihev, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[trebunskihev]

Файл сохранён как 180411_112706_virusinfo_files_DC-SEO-INKA_5acdf10a12227.zip
Размер файла 56009888
MD5 6f5b6833cb30c40abed8863a3651d990

[trebunskihev]

Есть тут кто нибудь? Я уже 3 дня жду ответ. Других способов удалить вирус и восстановить доступы пока не нашел

[Vvvyg]

А логи будут? Без них как-то сложно помочь...
И в карантин в основном мусор загрузили, т. к. правила не читали.

[trebunskihev]

Сори (использовал старую инструкцию). Вот новые логи:
Файл сохранён как 180416_105814_CollectionLog-2018.04.16-13.05_5ad481c6cc16a.zip
Размер файла 141733
MD5 fe6a6e78b0636cd90b5ada0df8ce566d

[Vvvyg]

Да зачем же Вы логи в карантин-то?
Прикрепляйте к сообщению в расширенном режиме.

[trebunskihev]

Хорошо

[Vvvyg]

Отключите временно антивирус, закройте все программы и выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\dvacom\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\users\dvacom\appdata\local\temp\csrss\cloudnet.exe', '');
 QuarantineFile('C:\Users\DvaCom\AppData\Local\Temp\jre-8u161-windows-au.exe', '');
 QuarantineFile('C:\Users\DvaCom\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\Users\DvaCom\AppData\Local\Mail.Ru\Mail.Ru.lnk');
 DeleteFile('c:\users\dvacom\appdata\local\temp\csrss\cloudnet.exe', '32');
 DeleteFile('C:\Users\DvaCom\AppData\Local\Temp\jre-8u161-windows-au.exe', '32');
 DeleteFile('C:\Users\DvaCom\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
 DeleteFile('c:\windows\rss\csrss.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{98A09B5B-806D-42BE-8441-5BC08076128F}" /F', 0, 15000, true);
 DeleteFileMask('c:\users\dvacom\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\dvacom\appdata\roaming\epicnet inc', '*', true);
 DeleteFileMask('c:\windows\rss', '*', true);
 DeleteDirectory('c:\users\dvacom\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\dvacom\appdata\roaming\epicnet inc');
 DeleteDirectory('c:\windows\rss');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QuietLeaf');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

[trebunskihev]

Инструкцию выполнил

- - - - -Добавлено - - - - -

Ничего не поменялось. Как было отказано в доступе так и осталось. Попробовал поставить Пробную версию Касперского и Нод32 - ошибка установки. Пришлось AVG Free обратно ставить (он работает, но все вирусы удалить не может). Если предложите еще скрипт - буду рад

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '32');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '32');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '32');
 DeleteService('Winmon');
 DeleteService('WinmonFS');
 DeleteService('WinmonProcessMonitor');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('Winmon');
 BC_DeleteSvc('WinmonFS');
 BC_DeleteSvc('WinmonProcessMonitor');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки - такой:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

и загрузите новый карантин.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[trebunskihev]

Готово

- - - - -Добавлено - - - - -

Вроде все ништяк Ярлыки стали доступны и Пробник Нод32 стал. Поработаю пару дней за компом - отпишусь, а так спасибки

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_46_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dua%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzutDtD0F0FyCtD0D0CzzyC0EzztDtCtCyCtN0D0Tzu0StCyEtDzytN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2SyE0D0FtC0AyC0AtCtGyDyByCyCtGyBtDtCtCtGyE0F0CtBtG0F0F0FyEyEyCyByDzyyD0C0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0E0Dzy0E0B0C0BtGyCyBzyyDtGyEyE0EtBtG0B0EyDzztGtB0EyDyCyEtB0A0C0EyDyBzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D1062544070%26a%3Dhdr_s_15_46_orgnl%26os%3DWindows%2B7%2BUltimate&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> {2F8BE058-F54E-4D7B-83AA-336BB37732CF} URL = hxxp://search.aol.com/aol/search?s_it=tb50winamp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> {6C41BC80-B2F7-4F1A-8320-328A0C8D9208} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> {E73F49DF-4872-438F-B9D9-34AB3DA101A2} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=SLS&o=APN10620&src=crm&q={searchTerms}&locale=&apn_ptnrs=^ADQ&apn_dtid=^YYYYYY^YY^UA&apn_uid=3a7c80b7-12ca-4c54-889f-fbaa3e402099&apn_sauid=8794A7D6-A519-46E9-BBCE-8058F1F82F2E
SearchScopes: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_46_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dua%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzutDtD0F0FyCtD0D0CzzyC0EzztDtCtCyCtN0D0Tzu0StCyEtDzytN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2SyE0D0FtC0AyC0AtCtGyDyByCyCtGyBtDtCtCtGyE0F0CtBtG0F0F0FyEyEyCyByDzyyD0C0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0E0Dzy0E0B0C0BtGyCyBzyyDtGyEyE0EtBtG0B0EyDzztGtB0EyDyCyEtB0A0C0EyDyBzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D1062544070%26a%3Dhdr_s_15_46_orgnl%26os%3DWindows%2B7%2BUltimate&p={searchTerms}
BHO: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File
Toolbar: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
Toolbar: HKU\S-1-5-21-3719690334-568251713-1291220845-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR StartupUrls: Default -> "hxxps://us.search.yahoo.com/yhs/web?hspart=elm&hsimp=yhs-001&type=hdr_s_15_46_orgnl&param1=1&param2=f%3D7%26b%3DChrome%26cc%3Dua%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzutDtD0F0FyCtD0D0CzzyC0EzztDtCtCyCtN0D0Tzu0StCyEtDzytN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2SyE0D0FtC0AyC0AtCtGyDyByCyCtGyBtDtCtCtGyE0F0CtBtG0F0F0FyEyEyCyByDzyyD0C0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0E0Dzy0E0B0C0BtGyCyBzyyDtGyEyE0EtBtG0B0EyDzztGtB0EyDyCyEtB0A0C0EyDyBzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D1062544070%26a%3Dhdr_s_15_46_orgnl%26os%3DWindows%2B7%2BUltimate","hxxp://www.mail.ru/cnt/9516"
CHR Profile: C:\Users\DvaCom\AppData\Local\Google\Chrome\User Data\System Profile [2018-04-18]
CHR HKU\S-1-5-21-3719690334-568251713-1291220845-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome.WIZXE3OQGWR2LYQ57YYLCXLFH4 - C:\Users\DvaCom\AppData\Local\Google\Chrome\Application\chrome.exe
OPR Extension: (MegaTest - Узнать результат) - C:\Users\DvaCom\AppData\Roaming\Opera Software\Opera Stable\Extensions\mpaghnpkgmnikepcgjddhckcedapomkp [2016-09-19]
R1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [229592 2017-10-18] (AO Kaspersky Lab)
S0 AD0F1057; system32\drivers\AD0F1057.sys [X]
S2 VBoxDRV; \??\D:\Portable.Office.2013.virtual\Portable.Office.2013.virtual\Files\app32\drivers\VBoxDrv\VBoxDrv.sys [X]
2017-03-20 17:44 - 2017-03-20 17:44 - 007680000 _____ () C:\Program Files\GUTD75B.tmp
ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
ContextMenuHandlers6: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
Task: {9FAA0BAA-D3A7-4C88-93AF-8C1D416E5579} - \MRT -> No File <==== ATTENTION
Task: {BA66BEB2-2266-490A-83B1-7F3E8F12CEE6} - no filepath
Task: {F9DC903F-AB3C-41B0-A386-76AC8572BC36} - \Avast Software\Overseer -> No File <==== ATTENTION
Task: C:\Windows\Tasks\update-S-1-5-21-3719690334-568251713-1291220845-1000.job => C:\Program Files\Skillbrains\Updater\Updater.exe
Task: C:\Windows\Tasks\update-sys.job => C:\Program Files\Skillbrains\Updater\Updater.exe
AlternateDataStreams: C:\ProgramData\TEMP:83893510 [135]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[trebunskihev]

Ок.

[Vvvyg]

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
Java 8 Update 162 v.8.0.1620.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 29 NPAPI v.29.0.0.113 Внимание! Скачать обновления
Adobe Flash Player 29 PPAPI v.29.0.0.113 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.65.0.3325.181 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Эти рекомендации обязательно выполните.

И программу CloudNet v.20170301 удалите.

[trebunskihev]

Спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 75
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\dvacom\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen
  2. c:\windows\rss\csrss.exe - Trojan-Downloader.Win32.Bandit.jr