I;Z;X;A connect вирус.

Информация и защита от вирусов

Модератор: YoungMax

I;Z;X;A connect вирус.

Сообщение Diesel » 05 мар 2009 17:25

появился вирусок диалер, который при активации любого сетевого подключения появляется в сетевых подключениях под видом Dial Up подключения, которое разрывает сессии и само лезет в интернет, перехватывая ваши данные. Будте бдительны, уже несколько случаев за 2 дня во фридоме..
http://virusinfo.info/showthread.php?t=38985
Последний раз редактировалось Diesel 22 мар 2009 11:17, всего редактировалось 1 раз.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение YoungMax » 05 мар 2009 19:24

авира спасет?
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Сообщение Alex 777 » 05 мар 2009 20:07

чем лечить???
Аватара пользователя
Alex 777
Наблюдатель
Наблюдатель
 
Сообщения: 16
Зарегистрирован:
05 май 2008 12:42

Сообщение Diesel » 05 мар 2009 23:44

-=YoungMax=- писал(а):авира спасет?
на авире вышло обновление только что. смотрите свои антивирусы , обновляйте. Мне помогло.
Кстати забавный вирус звонит на номер 000
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение nerch » 06 мар 2009 06:17

Diesel писал(а):Кстати забавный вирус звонит на номер 000

эт он время узнать хочет
Жизнь ломает то, что не в силах изменить
Все псы попадают в рай?© Цербер
Аватара пользователя
nerch
Штурман
Штурман
 
Сообщения: 974
Зарегистрирован:
03 авг 2008 00:40
Откуда: По ту сторону зеркал

Сообщение DELET » 06 мар 2009 11:17

:lol: (неудержался,сори)
DELET
Штурман
Штурман
 
Сообщения: 763
Зарегистрирован:
02 апр 2008 15:47

Сообщение Diesel » 22 мар 2009 11:31

Вроде как ни один антивирус бороться с этой напастью не может, а потому качаем, ставим и запускаем это(ftp://ftp.freedom-vrn.ru/incoming/avz/avz4.zip)

жмем "Файл" -> "Выполнить скрипт"
в открывшееся окно вставляем:

для вируса i-connect

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-24CX1C987132');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C642131');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe','');
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Rar$EX01.640\iPhone PC Suite 2.1\iPhone\iPhone PC Suite.exe','');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(6);
ExecuteRepair((IMG:style_emoticons/default/dirol.gif) ;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


для вируса z-connect

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Для вируса x-connect

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Jwrb.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\Jwrb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.


Нажимаем "Запустить" и молимся. После выполнения скрипта система перезагрузится.
Последний раз редактировалось Diesel 22 мар 2009 17:30, всего редактировалось 2 раз(а).
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Himano » 22 мар 2009 13:37

Так почему Касперыч неспишит защитить своих пользователей.
Аватара пользователя
Himano
На борту
На борту
 
Сообщения: 158
Зарегистрирован:
19 мар 2009 06:36

Сообщение Diesel » 22 мар 2009 21:09

все вопросы к касперскому
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Diesel » 10 июн 2009 13:06

ВНИМАНИЕ! СОХРАНИТЕ РЕЗЕРВНУЮ КОПИЮ РЕЕСТРА ПЕРЕД ВЫПОЛНЕНИЕМ ОПЕРАЦИЙ.

Симптомы:
1. Пустое соединение z-connect в "сетевых подключениях".
2. Процессы типа XDFXGHJ.EXE в Диспетчере задач.
3. Процесс с IEXPLORE.EXE. (Не путать с EXPLORER.EXE).
4. Продолжительность интернет соединения 2-3 минуты с последующим самостоятельным отключением.
5. Странное действие в списке "Какое действие следует выполнять..." при подключении usb носителей.
6. Наличие файла x:\windows\system32\vcrt80.exe, где x - имя диска, на котором установлены Форточки.

Моё решение (применимо к жестким дискам):
1. Заходим в DOS, не загружая Форточки. (Можно воспользоваться набором Hiren's Boot или загрузочной дискетой от 98/ME)
1.1. Удаляем файл x:\windows\system32\vcrt80.exe, где x - имя диска, на котором установлены Форточки.
2. Загружаемся в Форточки и запускаем Пуск\Выполнить\regedit.
2.1. Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ и удаляем строку, с текстом vcrt80.dll или что то вроде этого.
3. Запускаем WinRar или NortenCommander, либо другой файловый менеджер. НЕ ПРОВОДНИК!!!
3.1. Удаляем директории x:\Recycle, x:\System, x:\Recycled из ВСЕХ разделов жестких дисков.
3.2. Удаляем все x:\autorun.inf, x:\autorun.ini, x:\autorun.cfg из ВСЕХ разделов жестких дисков.
3.3. Удаляем все похожие на XDFXGHJ.EXE приложения из папок x:\Documents and Settings\DefaultUser\, x:\Documents and Settings\AllUsers\, x:\Documents and Settings\%ИМЯ%\, где %ИМЯ% - имя пользователя, а x: - имя диска, на котором установлены Форточки.
4. Пуск\Выключение Компьютера\Перезагрузка.

Моё решение (применимо к usb носителям):
1. Выполняем "Моё решение (применимо к жестким дискам)", если считаете, что зараза уже на компьютере.
1. Подсоединяем устройство.
2. В окне "Какое действие следует выполнять..." нажимаем ОТМЕНА.
3. Запускаем WinRar или NortenCommander, либо другой файловый менеджер. НЕ ПРОВОДНИК!!!
3.1. Удаляем директории x:\Recycle, x:\System, x:\Recycled из ВСЕХ разделов usb носителя.
3.2. Удаляем все x:\autorun.inf, x:\autorun.ini, x:\autorun.cfg из ВСЕХ разделов usb носителя.
3.3 Делаем безопасное извлечение usb устройства.

P.S. Вы выполняете все вышеописанные операции на свой риск и страх. Автор метода за порчу информации, нервов, имущества ответственности не несет.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: I(Z) connect вирус.

Сообщение Евввгений » 12 авг 2009 15:20

Народ, как боотся с x-connect????? NOD 32 не помогает.
Евввгений

 
Сообщения: 2
Зарегистрирован:
12 авг 2009 15:13

Re: I(Z) connect вирус.

Сообщение Diesel » 12 авг 2009 20:33

Основная проблема в том, что простым delete'ом вирус удалиться-то удаляется, но появляется на своем «законном» месте секунд через 10-15. Путей обхода (без привлечения знакомых с хардами и Live-CD) нашлось пока два:
1) Залезть в свойства паразитного соединения и исправить его — вбить адрес сервера, поправить настройки шифрования и прочее. Минут на 30-40 обрывов не будет, что вполне хватает, чтобы скачать обновления.

2) Удалить его и по-быстрому создать новое подключение, обозвав его тем же именем, что и паразитное (например: X-connect) — Windows просто не позволит коварному вирусу создать еще одно подключение с одинаковым именем. Качаем обновления, убиваем заразу.

Намного подробнее смотрите в этой статье в камментах.
http://free-pc-help.ru/virusy/virus-x-connect/
Ищите странные процессы у себя на компе.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Пробуют такое лечение

1. Убить процесс QSAF

2. Удалить запись из реестра

3. Удалить файл

4. Удалить x-connect

5. Перезагрузится
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: I(Z) connect вирус.

Сообщение Wassabi » 25 авг 2009 22:16

Wassabi

 
Сообщения: 1
Зарегистрирован:
25 авг 2009 21:55

Re: I(Z) connect вирус.

Сообщение Gulliver » 12 сен 2009 11:23

также может помочь вот эта штучка
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ссылка на ComboFix на нашем ftp
ftp://ftp.freedom-vrn.ru/incoming/ComboFix.exe
Аватара пользователя
Gulliver
король свалки
 
Сообщения: 4
Зарегистрирован:
17 фев 2009 10:13

Re: I;Z;X connect вирус.

Сообщение Diesel » 11 ноя 2009 14:23

Лечение a-connect
На время выполнения скриптов, отключитесь от сети, отключите антивирус и восстановление системы.
Пофиксите с помощью Hijackthis строки:
Код: Выделить всё
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: agblibP - {065C52C3-9AA2-4577-AFB0-33F17EA5686E} - C:\Documents and Settings\All Users\Application Data\agblib.dll (file missing)
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINDOWS\System32\KernelDrv.exe
O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)


Программа AVZ - файл - выполнить скрипт - выполните скрипт:
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Program Files\Tutor.exe','');
QuarantineFile('C:\WINDOWS\system32\JVM32.DLL','');
QuarantineFile('C:\A1\V1\try.exe','');
QuarantineFile('C:\Program Files\SGPSA\BHO.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\agblib.dll','');
QuarantineFile('C:\WINDOWS\system32\snti386.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe','');
QuarantineFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\Program Files\Tiny Utilities\Vitrite\VitriDLL.dll','');
QuarantineFile('C:\Program Files\QuickTime\QTSystem\QTCF.dll','');
QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\objc.dll','');
QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\ASL.dll','');
QuarantineFile('c:\program files\lovivkontakte\vkontakteservice.exe','');
QuarantineFile('c:\program files\tiny utilities\vitrite\vitrite.exe','');
DelBHO('{065C52C3-9AA2-4577-AFB0-33F17EA5686E}');
DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
BC_DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
BC_DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
BC_DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
DeleteService('catchme');
BC_DeleteSvc('catchme');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

перезагрузить комп.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря


Вернуться в Защита от вирусов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2