не открывает контакт и не грузит каспа

[KRUCH]

проблема такая контакт просит оплотить смс каспа интернет секюрити не грузит там новый какойто не где нет кода разблокировки курейт нечего не находит в общем посмотрите пожалуста

[polword]

1. Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по gikhbqfc и выберите "Turn Run Off". Перезагрузку подтвердите.

2. Выполните скрипт в AVZ в безопасном режиме

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\айон(НЕ УДАЛЯТЬ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!)\bin32\aion.exe','');
 TerminateProcessByName('c:\windows\flqqqdr.exe');
 QuarantineFile('C:\WINDOWS\flqqqdr.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteService('mkdrv');
 QuarantineFile('C:\WINDOWS\mkdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\gikhbqfc.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\gikhbqfc.sys');
 DeleteFile('C:\WINDOWS\mkdrv.sys');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог MBAM

[KRUCH]

карантин отослан вот новые логи

[polword]

C:\Documents and Settings\Admin\Рабочий стол\айон(НЕ УДАЛЯТЬ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!)\bin32\ aion.exe

- это знакомо?

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\flqqqdr.exe');
 DeleteFile('c:\windows\flqqqdr.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\gikhbqfc.sys');
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('%windir%\system32\mssfc.dll');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
      begin
       CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
       AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
       SaveLog('sfcfiles.log');
      end
     else
      begin
       AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
       SaveLog('sfcfiles.log');
       if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
         begin
          if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
            begin
             CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
             AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             SaveLog('sfcfiles.log');
            end
           else 
            begin
             AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
             SaveLog('sfcfiles.log');
            end;
         end
        else
         begin
          AddToLog('Файл sfcfiles.dll отсутствует в i386');
          SaveLog('sfcfiles.log');
         end;
      end;
   end
  else
   begin
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('sfcfiles.log');
    if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
      begin
       if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
         begin
          CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
          AddToLog('Замена sfcfiles.dll успешно произведена из i386');
          SaveLog('sfcfiles.log');
         end
       else 
        begin
          AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
          SaveLog('sfcfiles.log');
        end;
      end
     else
      begin
       AddToLog('Файл sfcfiles.dll отсутствует в i386');
       SaveLog('sfcfiles.log');
      end;  
   end;
 DeleteFile('%windir%\system32\sfcfiles.bak');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\gikhbqfc.sys');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM !!!!

[KRUCH]

Да это игра !!!

вот что просил выкладиваю

[polword]

1. Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива.

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[KRUCH]

Извиняюсь за карантин что сюда прилипил что то прогнал не много
вот лог

[polword]

В логах подозрительного нет.

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[KRUCH]

все спасибо огромное!"!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.Agent.eywv ( DrWEB: Trojan.Botnetlog.509, BitDefender: Trojan.Generic.4748577, AVAST4: Win32:Malware-gen )
  2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
  3. c:\\windows\\flqqqdr.exe - Trojan-Clicker.Win32.Agent.nui ( DrWEB: Trojan.Click1.25551, BitDefender: Trojan.Generic.4660992, AVAST4: Win32:Malware-gen )
  4. c:\\windows\\mkdrv.sys - Rootkit.Win32.Qhost.a ( DrWEB: Trojan.Hosts.1215, BitDefender: Rootkit.39089, NOD32: Win32/Qhost.NZR trojan, AVAST4: Win32:Malware-gen )
  5. c:\\windows\\system32\\drivers\\gikhbqfc.sys - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )