Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите: lsass.exe - модифицированный Win32/SpyVoltar.A

RSS
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 00:03:38
Помогите справиться с этим:

Клиническая картина: постоянно выскакивает сообщение "Яндекс.Защитник": изменилась домашняя страница, открывается сайт speed2 или browserhelp2 при открытии браузера, и не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".
Первичный осмотр нодом: 8 троянов удалено, 1 удалить невозможно.
Оперативная память = C:\Users\Светлана\AppData\Roaming\lsass.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.
Прикрепляю файл: вроде образ автозапуска, - тупо сделала по написанному http://forum.esetnod32.ru/forum9/topic2687/ничего не понимая. :oops:

Что дальше делать, как излечить мою Соньку?

Ответы

Пред. 1 2 3 4 5
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.11.2012 20:16:28
1) скачать новую версию.
2) удалить с её помощью
Цитата

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unesxhange.com/JTtw23l/proxy.pac
F2 - REG:system.ini: UserInit=userinit.exe,
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
3) Перезагрузить PC
4) Сделать новый лог в новой версии.
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 20:32:56
Сделала лог, прикрепила. Но..Когда делала фиксинг вот что выскочило
что это.png (85.34 КБ)
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 20:40:37
эту строку не фиксили в hj
Цитата
F2 - REG:system.ini: UserInit=userinit.exe,
пофиксите еще раз,
+ сделайте новый образ автозапуска
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 20:50:52
этот файл не надо трогать в winsock, это легальный файл от микрософт
Цитата
Полное имя C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
Имя файла WLIDNSP.DLL
Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ DLL в автозапуске

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ DLL в автозапуске
Размер 145280 байт
Создан 21.09.2010 в 14:03:14
Изменен 21.09.2010 в 14:03:14
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Corporation

Оригинальное имя WlidNSP.dll
Описание Microsoft® Windows Live ID Namespace Provider
Производитель Microsoft Corp.

Доп. информация на момент обновления списка
SHA1 ECBC5D988F6D3338ED9B651201B217592BFB7DF0
MD5 9D4A1690AF93F233E15380398BEC7431

Процессы на момент обновления списка
Процесс C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\X86\EKRN.EXE
Процесс C:\PROGRAM FILES (X86)\SKYPE\PHONE\SKYPE.EXE
Процесс C:\PROGRAM FILES (X86)\OPERA\OPERA.EXE

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\N­ameSpace_Catalog5\Catalog_Entries\000000000008\LibraryPath

Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\N­ameSpace_Catalog5\Catalog_Entries\000000000009\LibraryPath
Изменено: santy - 03.11.2012 20:51:05
[ Как создать образ автозапуска? ]
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 21:27:57
Цитата
santy пишет:
этот файл не надо трогать в winsock, это легальный файл от микрософт
ой, а я что пыталась что-то сделать?
Вот новый образ
Изменено: Ластик - 03.11.2012 21:30:02
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 21:35:52
Ластик, что с проблемой?
есть нормальный доступ к сбербанку?
если проблема проявится еще раз - проверьте систему этой утилиткой
http://support.kaspersky.ru/faq/?qid=208643411

если эта программа создаст отчеты, то добавьте отчет на форум.
Изменено: santy - 03.11.2012 21:36:51
[ Как создать образ автозапуска? ]
 
Ластик
Ластик
Пользователь
Сообщений: 22
Баллов: 11
Регистрация: 02.11.2012
Размещено 03.11.2012 21:53:27
Цитата
santy пишет:
Ластик , что с проблемой?
есть нормальный доступ к сбербанку?
если проблема проявится еще раз - проверьте систему этой утилиткой
http://support.kaspersky.ru/faq/?qid=208643411

если эта программа создаст отчеты, то добавьте отчет на форум.
Спасибо, проверила ещё раз: всё работает - попадаю куда надо.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 03.11.2012 21:56:40
тогда выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5
Читают тему