Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите: lsass.exe - модифицированный Win32/SpyVoltar.A

RSS
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 00:03:38
Помогите справиться с этим:

Клиническая картина: постоянно выскакивает сообщение "Яндекс.Защитник": изменилась домашняя страница, открывается сайт speed2 или browserhelp2 при открытии браузера, и не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".
Первичный осмотр нодом: 8 троянов удалено, 1 удалить невозможно.
Оперативная память = C:\Users\Светлана\AppData\Roaming\lsass.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.
Прикрепляю файл: вроде образ автозапуска, - тупо сделала по написанному http://forum.esetnod32.ru/forum9/topic2687/ничего не понимая. :oops:

Что дальше делать, как излечить мою Соньку?

Ответы

Пред. 1 2 3 4 5 След.
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 19:01:18
Цитата
RP55 RP55 пишет:
Это вирус.
Сертификат левый.
Читаем тему:  http://www.securelist.com/ru/blog?print_mode=1&weblogid=207764045
прочитала. Я и так понимаю что вирус.:( Вопрос как от него избавиться? В ссылке, указанной Вами, увидела что надо проверить " конфигурацию интернет-соединения на наличие вышеупомянутой вредоносной настройки.":
В Opera: Settings -> Preferences -> Advanced -> Network -> Proxy Servers… -> Use automatic proxy configuration
У меня Опера по русски всё пишет. Где чего смотреть, подскажите пжлста. И вообще возможно от этой гадости избавиться?
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 19:02:23
Цитата
santy пишет:
возможно прокси прописан в настройках
сделайте лог hj
http://forum.esetnod32.ru/forum9/topic53/
сейчас попробую, спасибо.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 19:05:50
Цитата
Ластик пишет:
прочитала. Я и так понимаю что вирус.:( Вопрос как от него избавиться? В ссылке, указанной Вами, увидела что надо проверить " конфигурацию интернет-соединения на наличие вышеупомянутой вредоносной настройки.":
В Opera: Settings -> Preferences -> Advanced -> Network -> Proxy Servers… -> Use automatic proxy configuration
У меня Опера по русски всё пишет. Где чего смотреть, подскажите пжлста. И вообще возможно от этой гадости избавиться?
вируса скорее всего нет, но изменены настройки прокси в IE, а Опера использует настройки IE.
[ Как создать образ автозапуска? ]
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 19:06:31
Сохранила что получилось. Это то что нужно?
Изменено: Ластик - 03.11.2012 19:07:15
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 19:09:12
эту строку пофиксите в hj
Цитата
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unesxhange.com/JTtw23l/proxy.pac
затем, проверьте еще раз доступ к вашей банковской системе
[ Как создать образ автозапуска? ]
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 19:12:03
Цитата
Ластик пишет:
Сохранила что получилось. Это то что нужно?
Цитата
santy пишет:
эту строку пофиксите в hj
Цитата
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unesxhange.com/JTtw23l/proxy.pac
затем, проверьте еще раз доступ к вашей банковской системе
Что значит "пофиксите в hj"?:oops: Отметить галочкой и нажать Fix checked? Правильно?
Изменено: Ластик - 03.11.2012 19:14:16
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.11.2012 19:15:16
Как выполнить фикс в хайджеке:
http://pchelpforum.ru/f26/t24207/#post198214
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 19:15:29
Цитата
Что значит "пофиксите в hj"?smile:oops: Отметить галочкой и нажать Fix checked? Правильно?
да, именно так
Изменено: santy - 03.11.2012 19:16:04
[ Как создать образ автозапуска? ]
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 19:24:36
Цитата
santy пишет:
Цитата
Что значит "пофиксите в hj"?:oops: Отметить галочкой и нажать Fix checked? Правильно?
да, именно так
Сделала, удалилась эта строчка. Попробовала зайти в сбер он-лайн выдал сообщение безопасности (такое же как на скрине, который я ранее показала). Я выбрала отвергнуть. Есть ещё варианты?  Я уже в отчаянии.:cry:
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 19:27:02
еще раз сделайте лог hj
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 След.
Читают тему