Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не запускается avp.exe, не работает Wi-Fi... (http://forum.oszone.net/showthread.php?t=288426)

berkut_174 24-09-2014 19:51 2406661
Не запускается avp.exe, не работает Wi-Fi...
 
Всем привет!

Подозрение на проделки вирусов, сам не могу решить проблему, прошу помощи.
Проблемы такие:
- не запускается avp.exe -- вылетает сообщение: эта программа заблокирована групповыми политиками...
- не работает wi-fi -- не могу подключиться к точке доступа
- при запуске exe от имени администратора, не выводится сообщения с подтверждением о запуске файла с правами админа (не критично, но странно)
- возможно чего-то ещё вирусы натворили...
С Windows давненько не пользовался, тем более не в курсе чего там про вирусы сейчас, порыл по всем Run, winlogon, etc, почистил через Kaspersky Removal Tool -- не помогло.
hijackthis по максимуму попытался пофиксить -- не помогло.
Логи прилагаю.
Заранее спасибо.

UPD1
- с Wi-Fi разобрался, был выключен через Fn+ (вечно я на этом колюсь :) сам не пользуюсь, забываю постоянно об этой возможности)
- с avp.exe сложнее, я попробовал вообще отключить клиент групповой политики, как здесь http://windowsnotes.ru/windows-7/otm...om-kompyutere/ -- ничего не вышло, также говорит, что программа заблокирована групповыми политиками.
- про подтверждение запуска файла с правами админа пока не понял где нужно изменить настройку

UPD2
Про avp.exe добавлю, при установке программа запускается нормально, я ввожу ключ, могу обновить базы, произвести проверку и т.д., но после перезагрузки avp.exe не запускается почему-то...

Sandor 25-09-2014 10:55 2406858
Здравствуйте!

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
BrowseMark
Funmoods
Ticno Indexator
Ticno multibar
Ticno Tabs
2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
 DeleteFile('c:\program files\relevantknowledge\rlservice.exe', '32');
 QuarantineFileF('c:\program files\relevantknowledge','*', true,'',0 ,0);
 DeleteFileMask('c:\program files\relevantknowledge', '*', true);
 DeleteDirectory('c:\program files\relevantknowledge');
 DeleteService('RelevantKnowledge');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

3. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

berkut_174 25-09-2014 12:30 2406884
Цитата:
Цитата Sandor
Funmoods
Ticno Indexator
Ticno multibar
Ticno Tabs »
Удалил.

BrowseMark не было в списке установленных программ, я просто удалил всю папку BrowseMark в ProgramFiles, после запуска скрипта в AVZ.
Цитата:
Цитата Sandor
DeleteService('RelevantKnowledge'); »
Выполнил.
Цитата:
Цитата Sandor
отправьте с помощью этой формы »
Отправил.
Цитата:
Цитата Sandor
C:\AdwCleaner\AdwCleaner[R0].txt »
В аттаче.

Спасибо за оперативность ! ;)

UPD:
avp.exe так и не запускается, пошёл через Kaspersky Rescue сканировать систему...

berkut_174 25-09-2014 20:26 2407048
Цитата:
Цитата berkut_174
AdwCleaner[R0].txt »
Ни стал ждать, выполнил очистку, выполнил перезагрузку -- эффекта ноль, kaspersky по-прежнему не хочет запускаться...
Что ещё можно сделать ?
Спасибо.

Sandor 26-09-2014 10:15 2407191
Подготовьте лог MBAM.

berkut_174 26-09-2014 13:23 2407262
Цитата:
Цитата Sandor
Подготовьте лог MBAM. »
Процесс оказался не быстрым...
В аттаче.
Спасибо.

Sandor 26-09-2014 13:46 2407273
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Цитата:
Ключи реестра:
Trojan.BHO, HKLM\SOFTWARE\CLASSES\TYPELIB\{A8954909-1F0F-41A5-A7FA-3B376D69E226}, , [be7da64c83f864d26940c1f82cd6817f],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\INTERFACE\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}, , [be7da64c83f864d26940c1f82cd6817f],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\INTERFACE\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}, , [be7da64c83f864d26940c1f82cd6817f],
Trojan.BHO, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [370427cb5a21e452639ee6d15ca6fa06],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\BhoNew.BhoApp, , [370427cb5a21e452639ee6d15ca6fa06],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\BhoNew.BhoApp.1, , [370427cb5a21e452639ee6d15ca6fa06],
Trojan.BHO, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [370427cb5a21e452639ee6d15ca6fa06],
PUP.Optional.FunMoods.A, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\funmoodsToolbar, , [241762906714db5bdca790caf80c32ce],

Файлы:
PUP.Optional.BrowseMark.A, C:\$Recycle.Bin\S-1-5-21-2983040175-3647955815-4105931876-1000\$RV3X2DW\bin\BrowseMark, , [f546ad45c5b6a49203ddd7a5f20f728e],
Trojan.Agent, C:\Windows\System32\rlls.dll, , [e655f2005d1e1323c8ac3e5343c0629e],
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

berkut_174 26-09-2014 14:28 2407285
Готово.

Sandor 26-09-2014 15:35 2407312
В логах чисто.
Если проблема с avp сохраняется, попробуйте переустановить с зачисткой.

berkut_174 26-09-2014 16:04 2407324
Цитата:
Цитата Sandor
В логах чисто.
Если проблема с avp сохраняется, попробуйте переустановить с зачисткой. »
В итоге ничего -- также не запускается.
Я смотрю через диспетчер, процесс avp.exe есть, запущен пользователем "система".
При запуске KES из меню вылазит окно с ошибкой (см. вложения), о которой писал выше.

Sandor 26-09-2014 16:40 2407333
AFAIK, KES - это корпоративный продукт и управляется сервером администрирования KSC. Если ваши администраторы так настроили, то это нормально.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

berkut_174 26-09-2014 17:40 2407357
Цитата:
Цитата Sandor
AFAIK, KES - это корпоративный продукт и управляется сервером администрирования KSC. Если ваши администраторы так настроили, то это нормально. »
Какие администраторы ? Какой сервер администрирования ? Я в курсе что это корпоративный продукт и что такое KSC и всё такое. Но никаких админов бородатых нет и не было! Ни к какому серверу администрирования KES не подключен, более того, при установке вообще был отключен коннектор для связи с сервером администрирования.
Всё же понятно, что вирус изменил какие-то настройки, как мне их отключить и разблокировать avp.exe ?
Просьба помочь.
Спасибо.

UPD
В подтверждение своих догадок, попробовал установить kis14,15 -- эти даже после установки не запускаются, вообще. KES хотя бы после установки даёт ключ установить и окно программы открывается. В KIS14 после окончания установки всё останавливается на (см. вложения). Я жму "Завершить", но ничего не происходит, приходится снимать задачу. В "Диспетчере задач" висит процесс avpui.exe (см. вложения). При попытке запустить программу из меню появляется ещё один процесс avpui.exe и полная тишина! Даже никаких ошибок нет.
Вот.

berkut_174 27-09-2014 10:05 2407500
В общем всё разрешилось.
Что сделал:
- несколько раз установил KIS14 потом его удалил через утилиту от Касперского, потом также поступил с KES10, далее аналогичную работу проделал с KAV6 for Windows Workstation (он кстати был установлен, когда вирусы пожрали компьютер)
- gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> ПКМ Политики ограниченного и использования программ -> Удалить политики ограниченного использования программ. Хотя там ничего и не было интересного...
- после этого установил KES10 с выборочной установкой, выбрал только ядро, почтовый, файловый и веб, всё остальное отключил. После установки ключ не устанавливал, снял галку в конце установки "Запустить KES10". Перезагрузил ПК, KES10 загрузился и всё настроил как надо.

Sandor
Спасибо большое за помощь! Вы мне очень помогли, без вас я бы эту заразу не вычистил!
Решено.

Sandor 27-09-2014 22:47 2407706
Это было всего лишь рекламное ПО.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

berkut_174 28-09-2014 09:40 2407805
Цитата:
Цитата Sandor
Это было всего лишь рекламное ПО. »
Ну это когда я уже Kaspersky Secure Disk вычистил вирусы... осталось только рекламное ПО.
Всё обновил, всё норм. Спасибо ещё раз!


Время: 06:16.

Время: 06:16.
© OSzone.net 2001-