Зараза с сайта alwayssam.com

[Тамерлан]

Здравствуйте!
На операционной системе Windows Server 2003 Standart установлен антивирус NOD32. При подключении к Интернету всплывают сообщения NOD32 о блокировании обращений к сайту alayssam.com следующих файлов aaaa.exe, x3.exe, rm.exe, lal2. Лечил с помощью утилиты AVZ с соответсвующим скриптом. Безрезультатно. Как избваиться от этих троянов?

[Aleksandra]

Прочитайте и выполните правила.

[Тамерлан]

Вот логи

[Rene-gad]

Нарушения правил при сборе информации для раздела Помогите.


- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.

Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\iexplore.exe','');
 DeleteFile('C:\WINDOWS\system32\iexplore.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Тамерлан]

Выполнил ваши укзания. Собрал информацию. Высылаю.

[Rene-gad]

Зачем новая тема? Будем собирать Ваши темы по всему Рунету? И системное восстановление так и не отключили.

Код:

:http:www.my.mtw.ru/

Вам известен?
Больше ничего подозрительного.

[Тамерлан]

Этот сайт мне знаком, но почему он оказался на этом компьютере не понятно. С него на этот сайт ни разу не заходили. Как отключить обновление системных файлов для Windows Server 2003 у вас в советах нет. Nod 32 фиксирует вирус NewHeur_PE, но не лечит его, пишет в журнал сообщения о трояне Win32/Agent и вышеназванном вирусе.

[Rene-gad]

Этот сайт мне знаком, но почему он оказался на этом компьютере не понятно.

Internet Connection Wizard - нужен? Если нет -Пофиксите

Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.my.mtw.ru/

Как отключить обновление системных файлов для Windows Server 2003 у вас в советах нет.

Оно не устанавливается на сервере автоматически. В конце концов - это же Ваша система и Вы должны знать, какая педаль газует, какая - наоборот.

Nod 32 фиксирует вирус NewHeur_PE,

Где (файл/путь)? Выполните пункт 2 правил.

[Тамерлан]

Пофиксил рекомендуемую Вами строчку. NOD32 перестал ругаться. Система работает стабильно. Не зря оно вызвало подозрение. Ваше профессиональное мнение, как это попало на компьютер и как оно работало?

[Rene-gad]

как это попало на компьютер и как оно работало?

Попало, как любое подобное - вследстиве гуляния с отключенным внутренним механизмом защиты brain.exe и с неправильно настроенным проводником.
Почитайте тут: http://security-advisory.virusinfo.info/

[Тамерлан]

Как Вы классифицируете эту ссылку?

[Rene-gad]

Как Вы классифицируете эту ссылку?

ИМО - один из хостеров.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 0
• В ходе лечения вредоносные программы в карантинах не обнаружены