Не могу самостоятельно избавиться от баннеров и рекламных сайтов (например: goodcasino-x.com/casino...) в Opera (v. 12.12). OS Win 7 (64 бит). Баннеры, рекламные сайты были и в Mozille, и в Google. Их я снёс, а также самоустановившиеся браузеры (Amigo и др.). Оперу переустановил. Что-то вычистил вручную, что-то с помощью CureIt, Касперского Virus Removal Tool, AVZ, HijackThis, avast-browser-cleanup, tdsskiller... Но эти не уходят. Кстати, при попытке скачать по ссылке AutoLogger, выскакивает на заражённом компьютере сообщение о потенциально опасном сайте. Пришлось качать с "чистого" компьютера под Win XP. Логи и скриншот прилагаю.

Здравствуйте!

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\user\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Users\user\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
DeleteFile('C:\Users\user\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\user\AppData\Local\Microsoft\Windows\toolbar.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
DeleteFileMask('C:\Users\user\AppData\Local\Kometa\', '*', true);
DeleteDirectory('C:\Users\user\AppData\Local\Kometa\');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Всё выполнил. Отчёт AdwCleaner[R3].txt прикрепил.
На всякий случай и вчерашние, когда сам шаманил, прикрепил (AdwCleaner[R0,R1,R2,S0].txt).

Что с проблемой?
+
Подготовьте новый CollectionLog (http://safezone.cc/threads/pravila-oformlenija-zaprosa-o-pomoschi.15/). В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Проблема, в целом, осталась. Но! Нижний (жёлтый) баннер вылезает значительно реже, а также потерял свою жёлтую окраску. Осталось лишь содержимое. При переходе по ссылке "Прикрепить файл" в данном сообщении, кинуло на сайт с "Битвой престолов"...
Лог прикрепил, а также скриншоты.
Ухожу с работы, продолжить, к сожалению, смогу лишь завтра.

Реклама лезет в каком то одном браузере или в разных?
+
К интернету подключаетесь напрямую или через роутер?
+
Скачайте любой портабельный браузер и проверьте в нем, будет или нет реклама.
+
Отключайте\удаляйте расширения в браузерах, одно из них может быть источником рекламы.

- Машина сотрудницы, оставил пока Operу. Лезет в ней. Завтра поставлю заново Mozillу и Google (просит) и посмотрю. Подёргаю и IE.
- Через роутер (KEENETIC_GIGA-V1.00[USD.1.4]D0). Но на других машинах в локалке такого нет, в том числе и в Опере.
- Расширения уже поотрубал.
Сегодня ещё до конца вычистил из реестра остатки Kometa с производными, Netbox, 2inf.net...
В DNS, ярлыках чисто. В cookies и хранилище Оперы их адреса лежат, но после удаления снова возвращаются.

скачайте отсюда Оперу (http://www.opera-usb.com/ru/) и проверьте проблему в ней.

C:\Users\user\Favorites\Links\Интернет.url этот ярлык также удалите.

Malwarebytes Anti-Malware, версия 2.0.4.1028 - раз уж от себя поставили эту программу, то давайте её лог.

Malwarebytes Anti-Malware, версия 2.0.4.1028... От безысходности поставил, но до конца отработки не дождался, лога пока нет. Отработала почти до конца папки \WINDOWS\system32\, но ничего не нашла...
Ok! Завтра всё сделаю, выложу.

Opera@USB работает нормально, пока без единого банера. Все линки, кроме IE удалил.

Google Chrome и IE - чисто.

Ищите решение проблемы через отключение\удаление расширений в опере, которая у вас стоит изначально.

1) Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').


2) В проблемной Опере нажмите Ctrl + Shift + E - отключите все расширения и проверьте проблему.

3) MBAM деинсталируйте.

Расширений нет. Во всяком случае, Опера так утверждает. Отчёты FRST прикрепил. MBAM снёс.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1045849774-339281551-995723194-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1045849774-339281551-995723194-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1045849774-339281551-995723194-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1045849774-339281551-995723194-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
Task: {8587BDE5-55CC-4EF6-B75B-9CFAA3EBFC4D} - \nethost task No Task File <==== ATTENTION
Task: {DF11F1C0-5573-4A60-AE9E-A24BF453EDAA} - \SystemScript No Task File <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Сделал, прикрепил.

MurzVV, откройте пожалуйста при помощи блокнота этот файл и текст из него скопируйте в ответ
C:\Windows\SysWOW64\rmAds.bat

MurzVV, если для вас это затруднительно, тогда просто удалите его.
+
Почистите браузеры с помощью AVZ:
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Что с проблемой?

Нет, не затруднительно. Просто, "больной" компьютер сотрудницы на работе, а я уже дома :) ... Завтра всё выполню и отпишусь.
Самым простым представляется вновь снести Оперу, вычистить все остатки везде и заново установить. Но...
- Уже сносил и чистил, хотя, несколько торопливо;
- Снёс, вычистил и сегодня переустановил Google, а также Мозиллу... А до сноса и они болели тем же...
Т.е., нет гарантии что эта гадость не отсидится где-нибудь.
Да и, просто уже шлея под хвост попала:"...я тебя всё равно достану!..." :) .

- rmAds.bat - размер 0, внутри пустой, в смысле, без текста. Но, на всякий случай, убрал его из каталога.
- Браузеры почистил.
- Проблема жива. Сохраняются жёлтые рекламные банеры в верху и в низу страницы, забросы на рекламные сайты, на сайты-разводы "Вы нарушили закон!!!... Заплатите штраф", "Опасный сайт. Посещение этой страницы может представлять опасность. Страница была замечена в распространении вредоносного программного обеспечения...." и т.п. Например, при первой попытке печати данного ответа, при вбивании текста в поиске Оперы... Точнее, при переводе курсора в поле набора текста.
- Но, один вид банеров ушёл.