Блокировка некоторых сайтов-Периодическое открытие ненужного контента [Trojan-PSW.Win32.Tepfer.dktd ]

[0h0tnik]

У меня 64-разрядная система и согласно правилам я пропустил 1 пункт Диагностики - это "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"!
Соответственно во вложении лог "...сбора информации..." и лог HijackThis!
В безопасном режиме проверял комп с помощью Dr.Web CureIt, но проблема не исчезла!


ЕСТЬ ДВЕ проблемы:
1. Блокировка происходит не всех сайтов, но примерно 60-70% всех открываемых сайтов!
И ещё иногда или же через определённое время, открывается порно-сайт "МОЙ ЭРО-мир"...
ДВА файла картинок во вложении, скрины которые показывают суть проблемы...


2. Не могу войти в соц.сети. Также не открывается у них восстановление пароля.


Прошу помощи!

[Info_bot]

Уважаемый(ая) 0h0tnik, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\0h0tnik\wgsdgsdgdsgsd.dll','');
 QuarantineFile('C:\Users\0h0tnik\appdata\roaming\winxarj\winzip.exe','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 DeleteFile('C:\Users\0h0tnik\appdata\roaming\winxarj\winzip.exe');
 DeleteFileMask('C:\Users\0h0tnik\appdata\roaming\winxarj','*', true);
 DeleteDirectory('C:\Users\0h0tnik\appdata\roaming\winxarj');
ExecuteSysClean;
 ExecuteRepair(13);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.

Интернет через роутер подключен?

[0h0tnik]

Блокировка пропала!

КАРАНТИН загружен:
Файл сохранён как 121225_074421_quarantine_50d959550493a.zip
Размер файла 1080230
MD5 4dca3d55bca9e5e5d292d77da74723d8

Интернет через роутер подключен?

ДА!
Вот схема:
WAN => Router TL-R460 => TL-SG1005D => DIR-300 => Ноут отца(его нету сейчас)

|

Мой комп

[thyrex]

C:\Users\0h0tnik\wgsdgsdgdsgsd.dll удалите + смените пароли от асек и почты, как минимум

Логи RSIT где?

[0h0tnik]

ЛОГИ!

- - - Добавлено - - -

Если есть информация откуда эта гадость пришла или же она спала до какого-то момента, прошу сообщить!

- - - Добавлено - - -

C:\Users\0h0tnik\wgsdgsdgdsgsd.dll удалите + смените пароли от асек и почты, как минимум

Придётся!

[thyrex]

Откройте файлы

C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job

в Блокноте и процитируйте их содержимое

[0h0tnik]

C:\Windows\tasks\At1.job


_П7w-vMўлMp]Л-F H <
s   *!Ь    $ ®
 c m d . e x e И " / c a t t r i b - H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s & & c o p y C : \ U s e r s \ 0 h 0 t n i k \ A p p D a t a \ L o c a l \ T e m p \ 3 7 0 3 2 2 9 7 a q C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y & & a t t r i b + H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s "  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d . 
0 Ь   $ 
 

„юrп%їdJї’*bHХфYoO№џ.rUЧ#ФrEКЈ‰A˜ЦКэЈ*azЕПЊb`ќжЄ6f4K.”)п4\P

C:\Windows\tasks\At2.job


.=Ј‘Тu¤@¤Яћ«ЕсF H <
s
  *!Ь    ' В  c m d . e x e И " / c a t t r i b - H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s & & c o p y C : \ U s e r s \ 0 h 0 t n i k \ A p p D a t a \ L o c a l \ T e m p \ 5 5 2 4 0 2 5 0 a q C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y & & a t t r i b + H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s "  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d . 
0 Ь   ' 
 

}3§eCИpѓ9rУВ
В‚cj№д^=5DwѓГ—rk¦F%PO3[СѓЩФ{Г`чЬQФҐH\wgR&

[thyrex]

Удалите эти файлы + файлы

C:\Users\0h0tnik\AppData\Local\Temp\37032297aq
C:\Users\0h0tnik\AppData\Local\Temp\55240250aq

Очистите куки и кэш браузеров, кэш Java

Что с проблемой?

[0h0tnik]

Удалите эти файлы + файлы
Очистите куки и кэш браузеров, кэш Java

Что с проблемой?

ГОТОВО!
Проблем не обнаруживаю с момента выполнения скрипта!
СПАСИБО!!!

- - - Добавлено - - -

Не ясно откуда вирь залез?

[thyrex]

Скорее всего через уязвимости Java. Возможно даже на каком-либо добропорядочном сайте типа фотохостинга могли подцепить

[0h0tnik]

Скорее всего через уязвимости Java. Возможно даже на каком-либо добропорядочном сайте типа фотохостинга могли подцепить

Понятно. Ну пока чисто всё! Спасибо за помощь! Удачных лечений!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\0h0tnik\\wgsdgsdgdsgsd.dll - Trojan-PSW.Win32.Tepfer.dktd ( BitDefender: Trojan.Generic.KDZ.2455 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !