Форум esetnod32.ru [тема: Win32/SpyVoltar.A + lsass.exe] http://forum.esetnod32.ru Новое в теме Win32/SpyVoltar.A + lsass.exe форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 14:25:25 +0300 Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, все нормально. нет переадресации в настройках IE на подключение к левому прокси.
------------
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
12.11.2012 10:49:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56344/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56344/ Mon, 12 Nov 2012 10:49:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог hijackthis до перезагрузки
лог hijackthis после перезагрузки
hijackthis_после.txt
hijackthis_до.log
12.11.2012 10:08:37, openid.mail.ru/mail/dmtet.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56340/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56340/ Mon, 12 Nov 2012 10:08:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог до перезагрузки:
и после

вроде как всё теперь?
mbam-log-2012-11-12 (11-20-54).txt
mbam-log-2012-11-12 (11-47-42).txt
12.11.2012 10:06:42, openid.mail.ru/mail/dmtet.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56339/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56339/ Mon, 12 Nov 2012 10:06:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
сделайте лог hijackthis
http://forum.esetnod32.ru/forum9/topic53/
только саму программу скачайте оtсюда
http://sourceforge.net/projects/hjt/
12.11.2012 09:33:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56336/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56336/ Mon, 12 Nov 2012 09:33:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, удалите найденное в мбам,
далее,
перегрузите систему и еще раз выполните быстрый мбам
12.11.2012 09:31:16, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56335/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56335/ Mon, 12 Nov 2012 09:31:16 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
мбам нашел 12 угроз:


жду решения. мбам пока не закрыл. Удалить объекты? -спрашивает
mbam-log-2012-11-12 (11-20-54).txt
12.11.2012 09:23:22, openid.mail.ru/mail/dmtet.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56334/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56334/ Mon, 12 Nov 2012 09:23:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте лог сканирования мбам
12.11.2012 08:51:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56331/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56331/ Mon, 12 Nov 2012 08:51:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
проблема решилась.

В онлайн банк с этого компа не захожу никогда.

ZOO отчет отправил на указанные почты
12.11.2012 08:42:08, openid.mail.ru/mail/dmtet.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56330/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56330/ Mon, 12 Nov 2012 08:42:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
по этой проблеме

====quote====
не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".
=============
отработаем после пролечивания системы.
12.11.2012 08:23:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56329/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56329/ Mon, 12 Nov 2012 08:23:04 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A206E9A5583348CF42B627DA804DEC9E946303A45714B5C894889985453A3384A2403DD7A7195CDEBF5921EBC1648FA7DADE6F168EE586D2D77D02A2E7B3873 8 Voltar.1112
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\APPLICATION DATA\LSASS.EXE
addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 8 Carberp.1112
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GFKD1RWT260.EXE
bl 6DA88992BCB668BE735CA35426B55B45 190464
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GFKD1RWT260.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TETERIN.PZSP\APPLICATION DATA\LSASS.EXE
chklst
delvir
delall LINKDEL.CMD
delref COPY
delref HTTP://BROWSERHELP2.RU
deltmp
delnfr
regt 14
czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
12.11.2012 08:04:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56328/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56328/ Mon, 12 Nov 2012 08:04:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/SpyVoltar.A + lsass.exe Win32/SpyVoltar.A + lsass.exe в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Помогите справиться с этим:

Клиническая картина: постоянно выскакивает сообщение "Яндекс.Защитник": изменилась домашняя страница, открывается сайт speed2 или browserhelp2 при открытии браузера, и не могу попасть в личный кабиинет в он-лан банке - выскакиваю на какую-то "подложку".
Первичный осмотр нодом: 8 троянов удалено, 1 удалить невозможно.
Оперативная память = C:\Users\********\AppData\Roaming\lsass.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.
=============

Та же самая картина и у меня возникла.
Еще при запуске любого браузера вылазила начальная страница speed2.ru


из автозагурзки пока отключил этот процесс:  lsass.exe

Жду помощи от вас.

файл Uvs приложен

из hosts убрал лишнее
KO-TETERIN_2012-11-12_09-12-12.7z
12.11.2012 07:29:10, dmtet@mail.ru.]]> http://forum.esetnod32.ru/messages/forum6/topic7596/message56327/ http://forum.esetnod32.ru/messages/forum6/topic7596/message56327/ Mon, 12 Nov 2012 07:29:10 +0400 Обнаружение вредоносного кода и ложные срабатывания