Всем привет!

Подозрение на проделки вирусов, сам не могу решить проблему, прошу помощи.
Проблемы такие:
- не запускается avp.exe -- вылетает сообщение: эта программа заблокирована групповыми политиками...
- не работает wi-fi -- не могу подключиться к точке доступа
- при запуске exe от имени администратора, не выводится сообщения с подтверждением о запуске файла с правами админа (не критично, но странно)
- возможно чего-то ещё вирусы натворили...
С Windows давненько не пользовался, тем более не в курсе чего там про вирусы сейчас, порыл по всем Run, winlogon, etc, почистил через Kaspersky Removal Tool -- не помогло.
hijackthis по максимуму попытался пофиксить -- не помогло.
Логи прилагаю.
Заранее спасибо.

UPD1
- с Wi-Fi разобрался, был выключен через Fn+ (вечно я на этом колюсь :) сам не пользуюсь, забываю постоянно об этой возможности)
- с avp.exe сложнее, я попробовал вообще отключить клиент групповой политики, как здесь http://windowsnotes.ru/windows-7/otmenyaem-dejstvie-gruppovyx-politik-na-lokalnom-kompyutere/ -- ничего не вышло, также говорит, что программа заблокирована групповыми политиками.
- про подтверждение запуска файла с правами админа пока не понял где нужно изменить настройку

UPD2
Про avp.exe добавлю, при установке программа запускается нормально, я ввожу ключ, могу обновить базы, произвести проверку и т.д., но после перезагрузки avp.exe не запускается почему-то...

Здравствуйте!

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
BrowseMark
Funmoods
Ticno Indexator
Ticno multibar
Ticno Tabs

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe', '32');
QuarantineFileF('c:\program files\relevantknowledge','*', true,'',0 ,0);
DeleteFileMask('c:\program files\relevantknowledge', '*', true);
DeleteDirectory('c:\program files\relevantknowledge');
DeleteService('RelevantKnowledge');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

3. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4.
Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Funmoods
Ticno Indexator
Ticno multibar
Ticno Tabs »
Удалил.

BrowseMark не было в списке установленных программ, я просто удалил всю папку BrowseMark в ProgramFiles, после запуска скрипта в AVZ.
DeleteService('RelevantKnowledge'); »
Выполнил.
отправьте с помощью этой формы »
Отправил.
C:\AdwCleaner\AdwCleaner[R0].txt »
В аттаче.

Спасибо за оперативность ! ;)

UPD:
avp.exe так и не запускается, пошёл через Kaspersky Rescue сканировать систему...

AdwCleaner[R0].txt »
Ни стал ждать, выполнил очистку, выполнил перезагрузку -- эффекта ноль, kaspersky по-прежнему не хочет запускаться...
Что ещё можно сделать ?
Спасибо.

Подготовьте лог MBAM (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/).

Подготовьте лог MBAM. »
Процесс оказался не быстрым...
В аттаче.
Спасибо.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/#post-179055) только:
Ключи реестра:
Trojan.BHO, HKLM\SOFTWARE\CLASSES\TYPELIB\{A8954909-1F0F-41A5-A7FA-3B376D69E226}, , [be7da64c83f864d26940c1f82cd6817f],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\INTERFACE\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}, , [be7da64c83f864d26940c1f82cd6817f],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\INTERFACE\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}, , [be7da64c83f864d26940c1f82cd6817f],
Trojan.BHO, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [370427cb5a21e452639ee6d15ca6fa06],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\BhoNew.BhoApp, , [370427cb5a21e452639ee6d15ca6fa06],
Trojan.BHO, HKLM\SOFTWARE\CLASSES\BhoNew.BhoApp.1, , [370427cb5a21e452639ee6d15ca6fa06],
Trojan.BHO, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [370427cb5a21e452639ee6d15ca6fa06],
PUP.Optional.FunMoods.A, HKU\S-1-5-21-2983040175-3647955815-4105931876-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\funmoodsToolbar, , [241762906714db5bdca790caf80c32ce],

Файлы:
PUP.Optional.BrowseMark.A, C:\$Recycle.Bin\S-1-5-21-2983040175-3647955815-4105931876-1000\$RV3X2DW\bin\BrowseMark, , [f546ad45c5b6a49203ddd7a5f20f728e],
Trojan.Agent, C:\Windows\System32\rlls.dll, , [e655f2005d1e1323c8ac3e5343c0629e],

Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Готово.

В логах чисто.
Если проблема с avp сохраняется, попробуйте переустановить с зачисткой (http://support.kaspersky.ru/common/service.aspx?el=1464).

В логах чисто.
Если проблема с avp сохраняется, попробуйте переустановить с зачисткой. »
В итоге ничего -- также не запускается.
Я смотрю через диспетчер, процесс avp.exe есть, запущен пользователем "система".
При запуске KES из меню вылазит окно с ошибкой (см. вложения), о которой писал выше.

AFAIK, KES - это корпоративный продукт и управляется сервером администрирования KSC. Если ваши администраторы так настроили, то это нормально.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24 (http://safezone.cc/resources/25/download?version=47).
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения. (http://www.cyberforum.ru/viruses-faq/thread430326.html)

AFAIK, KES - это корпоративный продукт и управляется сервером администрирования KSC. Если ваши администраторы так настроили, то это нормально. »
Какие администраторы ? Какой сервер администрирования ? Я в курсе что это корпоративный продукт и что такое KSC и всё такое. Но никаких админов бородатых нет и не было! Ни к какому серверу администрирования KES не подключен, более того, при установке вообще был отключен коннектор для связи с сервером администрирования.
Всё же понятно, что вирус изменил какие-то настройки, как мне их отключить и разблокировать avp.exe ?
Просьба помочь.
Спасибо.

UPD
В подтверждение своих догадок, попробовал установить kis14,15 -- эти даже после установки не запускаются, вообще. KES хотя бы после установки даёт ключ установить и окно программы открывается. В KIS14 после окончания установки всё останавливается на (см. вложения). Я жму "Завершить", но ничего не происходит, приходится снимать задачу. В "Диспетчере задач" висит процесс avpui.exe (см. вложения). При попытке запустить программу из меню появляется ещё один процесс avpui.exe и полная тишина! Даже никаких ошибок нет.
Вот.

В общем всё разрешилось.
Что сделал:
- несколько раз установил KIS14 потом его удалил через утилиту от Касперского, потом также поступил с KES10, далее аналогичную работу проделал с KAV6 for Windows Workstation (он кстати был установлен, когда вирусы пожрали компьютер)
- gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> ПКМ Политики ограниченного и использования программ -> Удалить политики ограниченного использования программ. Хотя там ничего и не было интересного...
- после этого установил KES10 с выборочной установкой, выбрал только ядро, почтовый, файловый и веб, всё остальное отключил. После установки ключ не устанавливал, снял галку в конце установки "Запустить KES10". Перезагрузил ПК, KES10 загрузился и всё настроил как надо.

Sandor
Спасибо большое за помощь! Вы мне очень помогли, без вас я бы эту заразу не вычистил!
Решено.

Это было всего лишь рекламное ПО.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24 (http://safezone.cc/resources/25/download?version=47).
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения. (http://www.cyberforum.ru/viruses-faq/thread430326.html)

Это было всего лишь рекламное ПО. »
Ну это когда я уже Kaspersky Secure Disk вычистил вирусы... осталось только рекламное ПО.
Всё обновил, всё норм. Спасибо ещё раз!