Баннеры вконтакте, не исчезают после чистки

Koza Nozdri · Отправлено: **22:30, 17-01-2015** | #2

Смотрю тему.

Koza Nozdri · Отправлено: **22:56, 17-01-2015** | #3

Rondinella, удалите через установку и удаление программ:
jads
AnyMedia Player

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

>>> [RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Chrome.lnk"      -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firеfox.lnk"  -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"  -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.arepo.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Public\Desktop\Gоogle Chrоme.lnk"   -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Public\Desktop\Мozilla Firefох.lnk"           -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk"          -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk"           -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk"          -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Eхрlorеr (Nо Аdd-ons).lnk"           -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Сhrome.lnk"          -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Explorer.lnk"         -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrer (64-bit).lnk"          -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\Desktop\Програмы\Мozillа Firefoх.lnk"        -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat"  -> "hxxp://9sn.ru"]
>>> [RO][MASK] "C:\Users\Rondinella\Desktop\Програмы\Оpеra.lnk"        -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.arepo.bat"  -> "hxxp://9sn.ru"]

>>> [RO] "C:\Users\Rondinella\Desktop\Програмы\Тhe Еldеr Sсrolls 5.Skyrim.(Лаунчер).lnk"   -> ["C:\Users\Rondinella\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat"  -> "hxxp://9sn.ru"]

Вам знакомы эти программы?
WebTablet FB Plugin
WizBrother

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.arepo.bat', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Program Files\KMSpico\Log.cmd', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveAs Plus\Configure Opera Plugin.lnk','');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.arepo.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Смените пароли.

Rondinella · Отправлено: **23:30, 17-01-2015** | #4

Спасибо за быстрый ответ!
К сожалению, не помогло. Файл с карантином отправила по форме
WebTablet FB Plugin - это скорее всего от моего планшета, а WizBrother мне не знакома
AdwCleaner ничего не нашел, файл с отчетом прикрепляю к сообщению

Koza Nozdri · Отправлено: **07:37, 18-01-2015** | #5

Цитата Koza Nozdri:

Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: »

Это забыли.

Эти dns адреса сами вам знакомы?

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{11C2FA49-DA32-4D2A-A2DB-50F886DFB65C}: NameServer = 217.66.145.1 217.66.145.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{685FA59A-3EFE-4E0E-8C05-79C6342327D7}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{11C2FA49-DA32-4D2A-A2DB-50F886DFB65C}: NameServer = 217.66.145.1 217.66.145.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{11C2FA49-DA32-4D2A-A2DB-50F886DFB65C}: NameServer = 217.66.145.1 217.66.145.2

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SetServiceStart('VersionUpdService', 4);
 StopService('VersionUpdService');
 QuarantineFile('C:\Program Files (x86)\Jads\Jads\VersionUpdaterService.exe', '');
 QuarantineFileF('C:\Program Files (x86)\Jads', '*', true, '', 0 , 0);
 QuarantineFile('C:\Windows\system32\mintcastnetworksOff.ini', '');
 QuarantineFile('C:\Windows\SYSWOW64\mintcastnetworks.dll', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.arepo.bat', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Program Files\KMSpico\Log.cmd', '');
 QuarantineFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveAs Plus\Configure Opera Plugin.lnk','');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.arepo.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\Rondinella\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
 DeleteFile('C:\Program Files (x86)\Jads\Jads\VersionUpdaterService.exe');
 DeleteFile('C:\Windows\system32\mintcastnetworksOff.ini');
 DeleteFile('C:\Windows\SYSWOW64\mintcastnetworks.dll');
 DeleteService('AdobeFlashPlayerUpdateSvc');
 DeleteFileMask('C:\Program Files (x86)\Jads', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Jads', '');
 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Цитата Rondinella:

а WizBrother мне не знакома »

Извините,а SaveAs Plus вам знаком? Используете?

Почистите браузеры с помощью AVZ:
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

Цитата:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

После выполнения скрипта проверьте остались ли проблемы.