Вирус при подключении к интернету

@Usen · Регистрация: 15.06.2010

Студворк — интернет-сервис помощи студентам

Здравствуйте! При подключении к интернету антивирус выдает сообщение об атаке с anwaerters.com/knock.php.... Помогите, пожалуйста!

Логи прилагаются.

@MotherBoard · 15.06.2010, 17:31

Здравствуйте!
Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('splq.sys','');
 QuarantineFile('\\?\globalroot\systemroot\system32\5qswal9.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\dtpqjth.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\5qswal9.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\dtpqjth.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Комп перезагрузится
выполните скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксить в HJT следующие строчки

Code
1
2
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\5QsWaL9.exe,\\?\globalroot\systemroot\system32\DtpqJtH.exe,\\?\globalroot\systemroot\system32\N8Rtqk0.exe,\\?\globalroot\systemroot\system32\Q1WyNSs.exe,\\?\globalroot\systemroot\system32\tP5WIB6.exe,

Сделайте новые логи(стандартный скрипт 2 и 3) лог HJT плюс лог RSIT

@Usen · 15.06.2010, 19:19 **[ТС]**

Ответ Лаборатории:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

5qswal9.exe

Файл в процессе обработки.

dtpqjth.exe - Trojan-Dropper.Win32.Shiz.eh

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

@MotherBoard · 15.06.2010, 19:42

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\reset.exe','');
QuarantineFile('C:\WINDOWS\system32\I0s0wHB.exe','');
QuarantineFile('C:\WINDOWS\system32\1IS4Iy0.exe','');
QuarantineFile('C:\WINDOWS\ST4UNST.EXE','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\1IS4Iy0.exe');
DeleteFile('C:\WINDOWS\system32\I0s0wHB.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

комп перезагрузится
выполните скрипт

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемами?

@Usen · 16.06.2010, 01:26 **[ТС]**

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

1IS4Iy0.exe - Trojan.Win32.Scar.ckki
dtpqjth.exe - Trojan-Dropper.Win32.Shiz.eh
I0s0wHB.exe - Trojan.Win32.Scar.ckrf

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

5qswal9.exe,
fjhdyfhsn.bat,
thumbs.db,
avz00003.dta.eprims.zip.3 Segs Cube.mdl,
avz00003.dta.eprims.zip.Cone.mdl,
avz00003.dta.eprims.zip.Hero Glow.mdl,
avz00003.dta.eprims.zip.Hexagon.mdl,
avz00003.dta.eprims.zip.Octa Geosphere 2 segs.mdl,
avz00003.dta.eprims.zip.Pentagon.mdl,
avz00003.dta.eprims.zip.Plane.mdl,
avz00003.dta.eprims.zip.Pyramid.mdl,
avz00003.dta.eprims.zip.Readme.txt,
avz00003.dta.eprims.zip.Spiral1.mdl,
avz00003.dta.eprims.zip.Star.mdl,
avz00003.dta.eprims.zip.Torus.mdl,
avz00003.dta.geosettranslation.zip.Geose tTranslation.exe,
avz00003.dta.headinggenerator.zip.Headin gGenerator.exe,
avz00003.dta.mdlfinalizer.zip.MDLFinaliz er.exe,
avz00003.dta.objectidinserter.zip.Object IdInserter.exe,
avz00003.dta.particleadd.zip.ParticleAdd .exe,
avz00003.dta.redistributekeys.zip.Redist ributeKeys.exe,
00003.dta.vertexmodify.zip.Primitives.Ge osphere - 2 Segments.mdl,
avz00003.dta.vertexmodify.zip.Primitives .Cube.mdl,
avz00003.dta.vertexmodify.zip.Primitives .Cylinder - 6 Sides.mdl,
avz00003.dta.vertexmodify.zip.Primitives .Cylinder - 8 Sides.mdl,
avz00003.dta.vertexmodify.zip.Primitives .Sphere - 8 Segments.mdl,
avz00003.dta.vertexmodify.zip.Readme.txt ,
avz00003.dta.vertexmodify.zip.VertexModi fy.exe,
z00003.dta.vertexmodify.zip.Primitives.G eosphere - 1 Segment.mdl

Файлы в процессе обработки.

ST4UNST.EXE,
avz00003.dta.animtransfer.zip.AnimTransf er03.exe,
avz00003.dta.geosetmerger.zip.GeosetMerg er.exe

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

Вроде помогло...

Правда, при выполнении 1-го скрипта стали вылезать сообщения "Windows - диск отсутствует.
В устройстве нет диска. Вставьте диск в устройство."...

В любом случае, благодарю! Уже как минимум часов 5 вирус не беспокоит)

Пожалуйста, не закрывайте тему хотя бы в ближайший день. На всякий случай...

@thyrex · 16.06.2010, 01:32

Выполните скрипт в AVZ

Code
1
2
3
4
begin
ExecuteRepair(19);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сообщение пропало?

Где лог МВАМ?

@Usen · 16.06.2010, 01:40 **[ТС]**

Вот он.

@thyrex · 16.06.2010, 01:44

Скрипт из сообщения №6 выполнили? И на вопрос после него ответьте

@Usen · 16.06.2010, 01:49 **[ТС]**

Извиняюсь.
Да, выполнил, только что перезагрузил систему. Проверил, пока что сообщение пропало.

Новый лог МВАМ скоро выложу, программа запущена.

@Usen · 16.06.2010, 02:27 **[ТС]**

Новый лог.

@thyrex · 16.06.2010, 09:49

Чисто.

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Usen 0 / 0 / 0 Регистрация: 15.06.2010 Сообщений: 6
	16.06.2010, 01:26 [ТС]
	Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. 1IS4Iy0.exe - Trojan.Win32.Scar.ckki dtpqjth.exe - Trojan-Dropper.Win32.Shiz.eh I0s0wHB.exe - Trojan.Win32.Scar.ckrf В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. 5qswal9.exe, fjhdyfhsn.bat, thumbs.db, avz00003.dta.eprims.zip.3 Segs Cube.mdl, avz00003.dta.eprims.zip.Cone.mdl, avz00003.dta.eprims.zip.Hero Glow.mdl, avz00003.dta.eprims.zip.Hexagon.mdl, avz00003.dta.eprims.zip.Octa Geosphere 2 segs.mdl, avz00003.dta.eprims.zip.Pentagon.mdl, avz00003.dta.eprims.zip.Plane.mdl, avz00003.dta.eprims.zip.Pyramid.mdl, avz00003.dta.eprims.zip.Readme.txt, avz00003.dta.eprims.zip.Spiral1.mdl, avz00003.dta.eprims.zip.Star.mdl, avz00003.dta.eprims.zip.Torus.mdl, avz00003.dta.geosettranslation.zip.Geose tTranslation.exe, avz00003.dta.headinggenerator.zip.Headin gGenerator.exe, avz00003.dta.mdlfinalizer.zip.MDLFinaliz er.exe, avz00003.dta.objectidinserter.zip.Object IdInserter.exe, avz00003.dta.particleadd.zip.ParticleAdd .exe, avz00003.dta.redistributekeys.zip.Redist ributeKeys.exe, 00003.dta.vertexmodify.zip.Primitives.Ge osphere - 2 Segments.mdl, avz00003.dta.vertexmodify.zip.Primitives .Cube.mdl, avz00003.dta.vertexmodify.zip.Primitives .Cylinder - 6 Sides.mdl, avz00003.dta.vertexmodify.zip.Primitives .Cylinder - 8 Sides.mdl, avz00003.dta.vertexmodify.zip.Primitives .Sphere - 8 Segments.mdl, avz00003.dta.vertexmodify.zip.Readme.txt , avz00003.dta.vertexmodify.zip.VertexModi fy.exe, z00003.dta.vertexmodify.zip.Primitives.G eosphere - 1 Segment.mdl Файлы в процессе обработки. ST4UNST.EXE, avz00003.dta.animtransfer.zip.AnimTransf er03.exe, avz00003.dta.geosetmerger.zip.GeosetMerg er.exe Вредоносный код в файлах не обнаружен. С уважением, Лаборатория Касперского 123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru Вроде помогло... Правда, при выполнении 1-го скрипта стали вылезать сообщения "Windows - диск отсутствует. В устройстве нет диска. Вставьте диск в устройство."... В любом случае, благодарю! Уже как минимум часов 5 вирус не беспокоит) Пожалуйста, не закрывайте тему хотя бы в ближайший день. На всякий случай... 0

@thyrex 14447 / 7488 / 1580 Регистрация: 06.09.2009 Сообщений: 27,132
	16.06.2010, 01:44
	Скрипт из сообщения №6 выполнили? И на вопрос после него ответьте 0

@Usen 0 / 0 / 0 Регистрация: 15.06.2010 Сообщений: 6
	16.06.2010, 01:49 [ТС]
	Извиняюсь. Да, выполнил, только что перезагрузил систему. Проверил, пока что сообщение пропало. Новый лог МВАМ скоро выложу, программа запущена. 0

@thyrex 14447 / 7488 / 1580 Регистрация: 06.09.2009 Сообщений: 27,132
	16.06.2010, 09:49
	Чисто. Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Установите Adobe Acrobat 9.3 или удалите старый 0