Решена - Порно-баннер удалить

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Ивантец, 13 окт 2011.

Статус темы:
Закрыта.
  1. Доброй ночи, уважаемые.
    На ноуте сидит вот такой паразит.
    Чем его только непытался удалить порно банер - не выходит. Антивирусники его отказываются видеть. Проявляет себя только в Опере.
    http://webfile.ru/5602899
    http://webfile.ru/5602902
    http://webfile.ru/5602903
     

    Вложения:

  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\WINDOWS\system32\Macromed\Flash\Flash11c.ocx');
     DeleteFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A00000000001}\SC_Reader_PM.ico');
     DeleteFile('C:\WINDOWS\system32\FlashPlayerCPLApp.cpl');
     DeleteFile('C:\WINDOWS\Installer\a512b.msi');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O8 - Extra context menu item:  Найти с  помощью   Рамблера  - res://C:\Program Files\Rambler  Assistant\ramblertoolbarU5950.dll/search.htm
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
  3. oleg

    oleg Expert Вирусоборец

    удалите браузер опера через установку и удаление программ, перезагрузите компьютер и установите оперу повторно.
     
  4. Не помогло.
     
  5. Аваст поставил, вот такое сообщение он выдал при открытии Оперы.\Может это поможет понять, какой файл надо убить.
     

    Вложения:

  6. oleg

    oleg Expert Вирусоборец

    откройте браузер опера и не закрывая сделайте логи AVZ еще раз.
     
  7. Nod

    Nod Moderator

    Загрузитесь в безопасном режиме, и выполните сканирование утилитой AVPTool, по завершению которого, отпишитесь здесь о статусе вашей проблемы.
     
  8. Ничего не нашел в безопасном режиме, а гадость эта вылезает :(
     
  9. oleg

    oleg Expert Вирусоборец

    вылезает при открытии браузера Опера? или при открытии в этом браузере определенном страницы или любой?

    Проверьте автозагрузку и удалите из нее все подозрительное, а лучше сделайте скриншот автозагрузки.
    Как сделать:
    Пуск-Выполнить, вводите msconfig и нажимайте Ентер.
    В окне переходим на вкладку "Автозагрузка", делаем скриншот и выкладываем суда.
     
    Последнее редактирование: 19 окт 2011
  10. При открытии любой страницы в Опере.
     

    Вложения:

  11. oleg

    oleg Expert Вирусоборец

    Откройте браузер OPERA.
    - нажмите одновременно CTRL+F12
    - в окне настроек, перейдите на вкладку "Расширенные"
    - в левой части окна отметьте строку "Содержимое",
    - в правой части нажмите кнопку "Настроить Java Script...", откроется окно
    - в этом окне, внизу под строкой "Папка пользовательских файлов JavaScript:"
    прописан произвольный путь, скопируйте его, после чего сотрите!!! и нажмите ОК - OK.
    -Закройте OPERA!

    Далее, вставьте скопированный путь в адрессную строку проводника и удалите корневую папку этого пути.

    После чего, сообщите о проблеме.
     
  12. Папка пуста. Удалять нечего.
    Обновил Аваст, прогнал им при загрузке, ничего не нашел. Но баннер перестал появляться. Так я и не понял, что помогло. Спасибо за то ,что отвечаете на любые вопросы!
     
  13. oleg

    oleg Expert Вирусоборец

    Обращайтесь. ;)
     
Статус темы:
Закрыта.

Поделиться этой страницей