Помогите, пожалуйста, удалить JS/Spy.Banker.BF - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 16.04.2015

Размещено 16.04.2015 11:38:14

Добрый день.
У меня похожая проблема, поймал вирус.
Постоянно выскакивает сообщение в правом углу
Объект- http://confpacs.com/Yd2s9w4/xemE.ury
Угроза - JS/Spy.Banker.BF троянская программа
Информация - соединение прервано-изолирован.
К сожалению, сам файл также удалил.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 11:55:09

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 16.04.2015

Размещено 16.04.2015 12:44:03

Файл образа

Прикрепленные файлы

KARCEV_2015-04-16_12-07-47.rar (595.28 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 12:56:44

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 16.04.2015

Размещено 16.04.2015 13:01:52

Лог журнала

Прикрепленные файлы

Лог_журнала.txt (44.3 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 14:08:54

странно что настроек прокси, тех что в логе обнаружения нет.
чуть позже попробуем разобраться.

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 14:10:58

выход в сеть у вас через роутер?

Цитата
Полное имя 192.168.1.234:3128 Имя файла 192.168.1.234:3128 Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям PROXYSERVER (ССЫЛКА ~ \INTERNET SETTINGS\PROXYSERVER)(1) OR Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3041039080-3904581052-472699196-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.1.234:3128 Ссылка HKEY_USERS\S-1-5-21-3041039080-3904581052-472699196-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.1.234:3128

Цитата

Полное имя 192.168.1.234:3128
Имя файла 192.168.1.234:3128
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
PROXYSERVER (ССЫЛКА ~ \INTERNET SETTINGS\PROXYSERVER)(1) OR

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3041039080-3904581052-472699196-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.1.234:3128

Ссылка HKEY_USERS\S-1-5-21-3041039080-3904581052-472699196-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.1.234:3128

проверьте настройки прокси в самом браузере Firefox, что там прописано

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 16.04.2015

Размещено 16.04.2015 14:35:42

При каждом выходе в Интернет, этот вирус меняет настройки сети, а если конкретно
В браузере в параметрах соединения ставит
URL автоматической настройки сервиса прокси - http://confpacs.com/Yd2S9W4/xemE.ury
Убираешь поле, ставишь без прокси, сохраняешь, при следующем открывании браузера, опять вставляет это значение

Сообщений: 5

Баллов: 2

Регистрация: 16.04.2015

Размещено 16.04.2015 14:43:26

Выход в сеть через роутер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 17:23:50

сделайте образ при включенном в ФФ левой настройке прокси.
потому что в предыдущем образе не было этой настройки. скорее всего вы убрали ее из ФФ
потом сделали образ, и передали его нам.

[ Как создать образ автозапуска? ]