[Sandor]

Здравствуйте!

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

BrowseMark Funmoods Ticno Indexator Ticno multibar Ticno Tabs

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
 DeleteFile('c:\program files\relevantknowledge\rlservice.exe', '32');
 QuarantineFileF('c:\program files\relevantknowledge','*', true,'',0 ,0);
 DeleteFileMask('c:\program files\relevantknowledge', '*', true);
 DeleteDirectory('c:\program files\relevantknowledge');
 DeleteService('RelevantKnowledge');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

3. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[berkut_174]

Цитата Sandor:

Funmoods Ticno Indexator Ticno multibar Ticno Tabs »

Удалил.

BrowseMark не было в списке установленных программ, я просто удалил всю папку BrowseMark в ProgramFiles, после запуска скрипта в AVZ.

Цитата Sandor:

DeleteService('RelevantKnowledge'); »

Выполнил.

Цитата Sandor:

отправьте с помощью этой формы »

Отправил.

Цитата Sandor:

C:\AdwCleaner\AdwCleaner[R0].txt »

В аттаче.

Спасибо за оперативность !

UPD:
avp.exe так и не запускается, пошёл через Kaspersky Rescue сканировать систему...

[berkut_174]

Цитата berkut_174:

AdwCleaner[R0].txt »

Ни стал ждать, выполнил очистку, выполнил перезагрузку -- эффекта ноль, kaspersky по-прежнему не хочет запускаться...
Что ещё можно сделать ?
Спасибо.

[Sandor]

Подготовьте лог MBAM.

[berkut_174]

Цитата Sandor:

Подготовьте лог MBAM. »

Процесс оказался не быстрым...
В аттаче.
Спасибо.

[Sandor]

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Цитата:

Ключи реестра: Trojan.BHO, HKLM\SOFTWARE\CLASSES\TYPELIB\{A8954909-1F0F-41A5-A7FA-3B376D69E226}, , [be7da64c83f864d26940c1f82cd6817f], Trojan.BHO, HKLM\SOFTWARE\CLASSES\INTERFACE\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}, , [be7da64c83f864d26940c1f82cd6817f], Trojan.BHO, HKLM\SOFTWARE\CLASSES\INTERFACE\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}, , [be7da64c83f864d26940c1f82cd6817f], Trojan.BHO, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [370427cb5a21e452639ee6d15ca6fa06], Trojan.BHO, HKLM\SOFTWARE\CLASSES\BhoNew.BhoApp, , [370427cb5a21e452639ee6d15ca6fa06], Trojan.BHO, HKLM\SOFTWARE\CLASSES\BhoNew.BhoApp.1, , [370427cb5a21e452639ee6d15ca6fa06], Trojan.BHO, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [370427cb5a21e452639ee6d15ca6fa06], PUP.Optional.FunMoods.A, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\funmoodsToolbar, , [241762906714db5bdca790caf80c32ce], Файлы: PUP.Optional.BrowseMark.A, C:\$Recycle.Bin\S-1-5-21-2983040175-3647955815-4105931876-1000\$RV3X2DW\bin\BrowseMark, , [f546ad45c5b6a49203ddd7a5f20f728e], Trojan.Agent, C:\Windows\System32\rlls.dll, , [e655f2005d1e1323c8ac3e5343c0629e],

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[berkut_174]

Готово.

[Sandor]

В логах чисто.
Если проблема с avp сохраняется, попробуйте переустановить с зачисткой.

[berkut_174]

Цитата Sandor:

В логах чисто. Если проблема с avp сохраняется, попробуйте переустановить с зачисткой. »

В итоге ничего -- также не запускается.
Я смотрю через диспетчер, процесс avp.exe есть, запущен пользователем "система".
При запуске KES из меню вылазит окно с ошибкой (см. вложения), о которой писал выше.