Win32/SpyVoltar.A + lsass.exe - Форум технической поддержки ESET NOD32

Сообщений: 3

Баллов: 1

Регистрация: 12.11.2012

Размещено 12.11.2012 07:29:10

Цитата
Помогите справиться с этим: Клиническая картина: постоянно выскакивает сообщение "Яндекс.Защитник": изменилась домашняя страница, открывается сайт speed2 или browserhelp2 при открытии браузера, и не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку". Первичный осмотр нодом: 8 троянов удалено, 1 удалить невозможно. Оперативная память = C:\Users\********\AppData\Roaming\lsass.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.

Цитата

Помогите справиться с этим:

Клиническая картина: постоянно выскакивает сообщение "Яндекс.Защитник": изменилась домашняя страница, открывается сайт speed2 или browserhelp2 при открытии браузера, и не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".
Первичный осмотр нодом: 8 троянов удалено, 1 удалить невозможно.
Оперативная память = C:\Users\********\AppData\Roaming\lsass.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.

Та же самая картина и у меня возникла.
Еще при запуске любого браузера вылазила начальная страница speed2.ru

из автозагурзки пока отключил этот процесс: lsass.exe

Жду помощи от вас.

файл Uvs приложен

из hosts убрал лишнее

Прикрепленные файлы

KO-TETERIN_2012-11-12_09-12-12.7z (391.56 КБ)

Изменено: [email protected] - 12.11.2012 07:41:18

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2012 08:04:38

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A206E9A5583348CF42B627DA804DEC9E946303A45714B5C894889985453A3384A2403DD7A7195CDEBF5921EBC1648FA7DADE6F168EE586D2D77D02A2E7B3873 8 Voltar.1112 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\APPLICATION DATA\LSASS.EXE addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 8 Carberp.1112 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GFKD1RWT260.EXE bl 6DA88992BCB668BE735CA35426B55B45 190464 delall %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GFKD1RWT260.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\APPLICATION DATA\LSASS.EXE chklst delvir delall LINKDEL.CMD delref COPY delref HTTP://BROWSERHELP2.RU deltmp delnfr regt 14 czoo restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A206E9A5583348CF42B627DA804DEC9E946303A45714B5C894889985453A3384A2403DD7A7195CDEBF5921EBC1648FA7DADE6F168EE586D2D77D02A2E7B3873 8 Voltar.1112
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\APPLICATION DATA\LSASS.EXE
addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 8 Carberp.1112
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GFKD1RWT260.EXE
bl 6DA88992BCB668BE735CA35426B55B45 190464
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GFKD1RWT260.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\APPLICATION DATA\LSASS.EXE
chklst
delvir
delall LINKDEL.CMD
delref COPY
delref HTTP://BROWSERHELP2.RU
deltmp
delnfr
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2012 08:23:04

по этой проблеме

Цитата
не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".

отработаем после пролечивания системы.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 12.11.2012

Размещено 12.11.2012 08:42:08

проблема решилась.

В онлайн банк с этого компа не захожу никогда.

ZOO отчет отправил на указанные почты

Изменено: openid.mail.ru/mail/dmtet - 12.11.2012 08:42:34

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2012 08:51:33

добавьте лог сканирования мбам

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 12.11.2012

Размещено 12.11.2012 09:23:22

мбам нашел 12 угроз:

жду решения. мбам пока не закрыл. Удалить объекты? -спрашивает

Прикрепленные файлы

mbam-log-2012-11-12 (11-20-54).txt (4.58 КБ)

Изменено: openid.mail.ru/mail/dmtet - 12.11.2012 09:24:07

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2012 09:31:16

да, удалите найденное в мбам,
далее,
перегрузите систему и еще раз выполните быстрый мбам

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2012 09:33:56

+
сделайте лог hijackthis
http://forum.esetnod32.ru/forum9/topic53/
только саму программу скачайте оtсюда
http://sourceforge.net/projects/hjt/

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 12.11.2012

Размещено 12.11.2012 10:06:42

лог до перезагрузки:
и после

вроде как всё теперь?

Прикрепленные файлы

mbam-log-2012-11-12 (11-20-54).txt (4.58 КБ)
mbam-log-2012-11-12 (11-47-42).txt (2.2 КБ)

Сообщений: 9

Баллов: 4

Регистрация: 12.11.2012

Размещено 12.11.2012 10:08:37

лог hijackthis до перезагрузки
лог hijackthis после перезагрузки

Прикрепленные файлы

hijackthis_после.txt (8.89 КБ)
hijackthis_до.log (9.06 КБ)

Изменено: openid.mail.ru/mail/dmtet - 12.11.2012 10:09:50

[ Закрыто ] Win32/SpyVoltar.A + lsass.exe