Решена - Порно-баннер удалить

Доброй ночи, уважаемые.
На ноуте сидит вот такой паразит.
Чем его только непытался удалить порно банер - не выходит. Антивирусники его отказываются видеть. Проявляет себя только в Опере.
http://webfile.ru/5602899
http://webfile.ru/5602902
http://webfile.ru/5602903

 

Забыл добавить, что паразит этот пытается перевести на адрес: xkinoonline.info/billing/check.php

 

Доброе время суток!

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\WINDOWS\system32\Macromed\Flash\Flash11c.ocx');
 DeleteFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A00000000001}\SC_Reader_PM.ico');
 DeleteFile('C:\WINDOWS\system32\FlashPlayerCPLApp.cpl');
 DeleteFile('C:\WINDOWS\Installer\a512b.msi');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O8 - Extra context menu item:  Найти с  помощью   Рамблера  - res://C:\Program Files\Rambler  Assistant\ramblertoolbarU5950.dll/search.htm

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

 

Не помогло
http://webfile.ru/5605003
http://webfile.ru/5605005
http://webfile.ru/5605007
http://webfile.ru/5605010
http://webfile.ru/5605012

 

удалите браузер опера через установку и удаление программ, перезагрузите компьютер и установите оперу повторно.

 

Не помогло.

 

Аваст поставил, вот такое сообщение он выдал при открытии Оперы.\Может это поможет понять, какой файл надо убить.

 

откройте браузер опера и не закрывая сделайте логи AVZ еще раз.

 

http://webfile.ru/5610386
http://webfile.ru/5610389
http://webfile.ru/5610391

 

Загрузитесь в безопасном режиме, и выполните сканирование утилитой AVPTool, по завершению которого, отпишитесь здесь о статусе вашей проблемы.

 

Ничего не нашел в безопасном режиме, а гадость эта вылезает

 

вылезает при открытии браузера Опера? или при открытии в этом браузере определенном страницы или любой?

Проверьте автозагрузку и удалите из нее все подозрительное, а лучше сделайте скриншот автозагрузки.
Как сделать:
Пуск-Выполнить, вводите msconfig и нажимайте Ентер.
В окне переходим на вкладку "Автозагрузка", делаем скриншот и выкладываем суда.

 

При открытии любой страницы в Опере.

 

Откройте браузер OPERA.
- нажмите одновременно CTRL+F12
- в окне настроек, перейдите на вкладку "Расширенные"
- в левой части окна отметьте строку "Содержимое",
- в правой части нажмите кнопку "Настроить Java Script...", откроется окно
- в этом окне, внизу под строкой "Папка пользовательских файлов JavaScript:"
прописан произвольный путь, скопируйте его, после чего сотрите!!! и нажмите ОК - OK.
-Закройте OPERA!

Далее, вставьте скопированный путь в адрессную строку проводника и удалите корневую папку этого пути.

После чего, сообщите о проблеме.

 

Папка пуста. Удалять нечего.
Обновил Аваст, прогнал им при загрузке, ничего не нашел. Но баннер перестал появляться. Так я и не понял, что помогло. Спасибо за то ,что отвечаете на любые вопросы!

 

Обращайтесь.