[ Закрыто ] Помогите: lsass.exe - модифицированный Win32/SpyVoltar.A

RSS

Сообщений: 22

Баллов: 11

Регистрация: 02.11.2012

Размещено 03.11.2012 00:03:38

Помогите справиться с этим:

Клиническая картина: постоянно выскакивает сообщение "Яндекс.Защитник": изменилась домашняя страница, открывается сайт speed2 или browserhelp2 при открытии браузера, и не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".
Первичный осмотр нодом: 8 троянов удалено, 1 удалить невозможно.
Оперативная память = C:\Users\Светлана\AppData\Roaming\lsass.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.
Прикрепляю файл: вроде образ автозапуска, - тупо сделала по написанному http://forum.esetnod32.ru/forum9/topic2687/ничего не понимая. :oops:

Что дальше делать, как излечить мою Соньку?

Прикрепленные файлы

СВЕТЛАНА-VAIO_2012-11-02_23-43-05.7z (521.39 КБ)

Ответы

Пред. 1 2 3 4 5 След.

Сообщений: 22

Баллов: 11

Регистрация: 02.11.2012

Размещено 03.11.2012 17:32:02

Сейчас вот какое сообщение стал показывать

Прикрепленные файлы

Предуп.png (431.5 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 03.11.2012 17:35:50

у меня такой рисунок

---------
выполните скрипт, который написал вам выше

Изменено: santy - 03.11.2012 17:38:50

[ Как создать образ автозапуска? ]

Сообщений: 22

Баллов: 11

Регистрация: 02.11.2012

Размещено 03.11.2012 17:48:04

Сделала.

Прикрепленные файлы

СВЕТЛАНА-VAIO_2012-11-03_17-42-37.7z (521.78 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 03.11.2012 17:57:14

ip для esk.sbrf.ru такой 194.186.207.11

выполните еще такой скрипт:

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE CEXEC cmd /c"ping sberbank.ru" CEXEC cmd /c"tracert sberbank.ru" crimg

без перезагрузки, добавьте новый образ

[ Как создать образ автозапуска? ]

Сообщений: 22

Баллов: 11

Регистрация: 02.11.2012

Размещено 03.11.2012 18:19:49

Готово

Прикрепленные файлы

2012-11-03_18-13-39_log.txt (16.8 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 03.11.2012 18:27:54

что то у вас с DNS не в порядке

Цитата
CEXEC cmd /c"tracert sberbank.ru" -------------------------------------------------------- Запуск процесса под текущим пользователем... CMD /C"TRACERT SBERBANK.RU" -------------------------------------------------------- Упрощенный запуск процесса... Не удается разрешить системное имя узла SBERBANK.RU.

уточните у провайдера, ваши это днс или нет

Цитата
80.80.111.254,80.80.111.244

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.11.2012 18:29:34

Судя по IP - ее.
http://whois.domaintools.com/80.80.111.254
Ростов на Дону

Правильно заданный вопрос - это уже половина ответа

Сообщений: 22

Баллов: 11

Регистрация: 02.11.2012

Размещено 03.11.2012 18:31:43

Вот я вообще ничего не поняла из последних двух постов. Можно для блондинки, популярным языком объяснить - без математики - что делать :oops:

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.11.2012 18:42:49

Это вирус.
Сертификат левый.
Читаем тему: http://www.securelist.com/ru/blog?print_mode=1&weblogid=207764045

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 03.11.2012 18:53:27

возможно прокси прописан в настройках
сделайте лог hj
http://forum.esetnod32.ru/forum9/topic53/

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 5 След.