появился вирусок диалер, который при активации любого сетевого подключения появляется в сетевых подключениях под видом Dial Up подключения, которое разрывает сессии и само лезет в интернет, перехватывая ваши данные. Будте бдительны, уже несколько случаев за 2 дня во фридоме..
http://virusinfo.info/showthread.php?t=38985
I;Z;X;A connect вирус.
Модератор: YoungMax
Сообщений: 15 • Страница 1 из 1
I;Z;X;A connect вирус.
Diesel » 05 мар 2009 17:25
Последний раз редактировалось Diesel 22 мар 2009 11:17, всего редактировалось 1 раз.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
Diesel » 05 мар 2009 23:44
на авире вышло обновление только что. смотрите свои антивирусы , обновляйте. Мне помогло.-=YoungMax=- писал(а):авира спасет?
Кстати забавный вирус звонит на номер 000
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
(неудержался,сори) Diesel » 22 мар 2009 11:31
Вроде как ни один антивирус бороться с этой напастью не может, а потому качаем, ставим и запускаем это(ftp://ftp.freedom-vrn.ru/incoming/avz/avz4.zip)
жмем "Файл" -> "Выполнить скрипт"
в открывшееся окно вставляем:
для вируса i-connect
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-24CX1C987132');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C642131');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe','');
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Rar$EX01.640\iPhone PC Suite 2.1\iPhone\iPhone PC Suite.exe','');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(6);
ExecuteRepair((IMG:style_emoticons/default/dirol.gif) ;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
для вируса z-connect
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Для вируса x-connect
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Jwrb.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\Jwrb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.
Нажимаем "Запустить" и молимся. После выполнения скрипта система перезагрузится.
жмем "Файл" -> "Выполнить скрипт"
в открывшееся окно вставляем:
для вируса i-connect
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-24CX1C987132');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C642131');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe','');
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Rar$EX01.640\iPhone PC Suite 2.1\iPhone\iPhone PC Suite.exe','');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(6);
ExecuteRepair((IMG:style_emoticons/default/dirol.gif) ;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
для вируса z-connect
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Для вируса x-connect
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Jwrb.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\Jwrb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.
Нажимаем "Запустить" и молимся. После выполнения скрипта система перезагрузится.
Последний раз редактировалось Diesel 22 мар 2009 17:30, всего редактировалось 2 раз(а).
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
Diesel » 22 мар 2009 21:09
все вопросы к касперскому
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
Diesel » 10 июн 2009 13:06
ВНИМАНИЕ! СОХРАНИТЕ РЕЗЕРВНУЮ КОПИЮ РЕЕСТРА ПЕРЕД ВЫПОЛНЕНИЕМ ОПЕРАЦИЙ.
Симптомы:
1. Пустое соединение z-connect в "сетевых подключениях".
2. Процессы типа XDFXGHJ.EXE в Диспетчере задач.
3. Процесс с IEXPLORE.EXE. (Не путать с EXPLORER.EXE).
4. Продолжительность интернет соединения 2-3 минуты с последующим самостоятельным отключением.
5. Странное действие в списке "Какое действие следует выполнять..." при подключении usb носителей.
6. Наличие файла x:\windows\system32\vcrt80.exe, где x - имя диска, на котором установлены Форточки.
Моё решение (применимо к жестким дискам):
1. Заходим в DOS, не загружая Форточки. (Можно воспользоваться набором Hiren's Boot или загрузочной дискетой от 98/ME)
1.1. Удаляем файл x:\windows\system32\vcrt80.exe, где x - имя диска, на котором установлены Форточки.
2. Загружаемся в Форточки и запускаем Пуск\Выполнить\regedit.
2.1. Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ и удаляем строку, с текстом vcrt80.dll или что то вроде этого.
3. Запускаем WinRar или NortenCommander, либо другой файловый менеджер. НЕ ПРОВОДНИК!!!
3.1. Удаляем директории x:\Recycle, x:\System, x:\Recycled из ВСЕХ разделов жестких дисков.
3.2. Удаляем все x:\autorun.inf, x:\autorun.ini, x:\autorun.cfg из ВСЕХ разделов жестких дисков.
3.3. Удаляем все похожие на XDFXGHJ.EXE приложения из папок x:\Documents and Settings\DefaultUser\, x:\Documents and Settings\AllUsers\, x:\Documents and Settings\%ИМЯ%\, где %ИМЯ% - имя пользователя, а x: - имя диска, на котором установлены Форточки.
4. Пуск\Выключение Компьютера\Перезагрузка.
Моё решение (применимо к usb носителям):
1. Выполняем "Моё решение (применимо к жестким дискам)", если считаете, что зараза уже на компьютере.
1. Подсоединяем устройство.
2. В окне "Какое действие следует выполнять..." нажимаем ОТМЕНА.
3. Запускаем WinRar или NortenCommander, либо другой файловый менеджер. НЕ ПРОВОДНИК!!!
3.1. Удаляем директории x:\Recycle, x:\System, x:\Recycled из ВСЕХ разделов usb носителя.
3.2. Удаляем все x:\autorun.inf, x:\autorun.ini, x:\autorun.cfg из ВСЕХ разделов usb носителя.
3.3 Делаем безопасное извлечение usb устройства.
P.S. Вы выполняете все вышеописанные операции на свой риск и страх. Автор метода за порчу информации, нервов, имущества ответственности не несет.
Симптомы:
1. Пустое соединение z-connect в "сетевых подключениях".
2. Процессы типа XDFXGHJ.EXE в Диспетчере задач.
3. Процесс с IEXPLORE.EXE. (Не путать с EXPLORER.EXE).
4. Продолжительность интернет соединения 2-3 минуты с последующим самостоятельным отключением.
5. Странное действие в списке "Какое действие следует выполнять..." при подключении usb носителей.
6. Наличие файла x:\windows\system32\vcrt80.exe, где x - имя диска, на котором установлены Форточки.
Моё решение (применимо к жестким дискам):
1. Заходим в DOS, не загружая Форточки. (Можно воспользоваться набором Hiren's Boot или загрузочной дискетой от 98/ME)
1.1. Удаляем файл x:\windows\system32\vcrt80.exe, где x - имя диска, на котором установлены Форточки.
2. Загружаемся в Форточки и запускаем Пуск\Выполнить\regedit.
2.1. Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ и удаляем строку, с текстом vcrt80.dll или что то вроде этого.
3. Запускаем WinRar или NortenCommander, либо другой файловый менеджер. НЕ ПРОВОДНИК!!!
3.1. Удаляем директории x:\Recycle, x:\System, x:\Recycled из ВСЕХ разделов жестких дисков.
3.2. Удаляем все x:\autorun.inf, x:\autorun.ini, x:\autorun.cfg из ВСЕХ разделов жестких дисков.
3.3. Удаляем все похожие на XDFXGHJ.EXE приложения из папок x:\Documents and Settings\DefaultUser\, x:\Documents and Settings\AllUsers\, x:\Documents and Settings\%ИМЯ%\, где %ИМЯ% - имя пользователя, а x: - имя диска, на котором установлены Форточки.
4. Пуск\Выключение Компьютера\Перезагрузка.
Моё решение (применимо к usb носителям):
1. Выполняем "Моё решение (применимо к жестким дискам)", если считаете, что зараза уже на компьютере.
1. Подсоединяем устройство.
2. В окне "Какое действие следует выполнять..." нажимаем ОТМЕНА.
3. Запускаем WinRar или NortenCommander, либо другой файловый менеджер. НЕ ПРОВОДНИК!!!
3.1. Удаляем директории x:\Recycle, x:\System, x:\Recycled из ВСЕХ разделов usb носителя.
3.2. Удаляем все x:\autorun.inf, x:\autorun.ini, x:\autorun.cfg из ВСЕХ разделов usb носителя.
3.3 Делаем безопасное извлечение usb устройства.
P.S. Вы выполняете все вышеописанные операции на свой риск и страх. Автор метода за порчу информации, нервов, имущества ответственности не несет.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
Re: I(Z) connect вирус.
Евввгений » 12 авг 2009 15:20
Народ, как боотся с x-connect????? NOD 32 не помогает.
- Евввгений
- Сообщения: 2
- Зарегистрирован:
12 авг 2009 15:13
Re: I(Z) connect вирус.
Diesel » 12 авг 2009 20:33
Основная проблема в том, что простым delete'ом вирус удалиться-то удаляется, но появляется на своем «законном» месте секунд через 10-15. Путей обхода (без привлечения знакомых с хардами и Live-CD) нашлось пока два:
1) Залезть в свойства паразитного соединения и исправить его — вбить адрес сервера, поправить настройки шифрования и прочее. Минут на 30-40 обрывов не будет, что вполне хватает, чтобы скачать обновления.
2) Удалить его и по-быстрому создать новое подключение, обозвав его тем же именем, что и паразитное (например: X-connect) — Windows просто не позволит коварному вирусу создать еще одно подключение с одинаковым именем. Качаем обновления, убиваем заразу.
Намного подробнее смотрите в этой статье в камментах.
http://free-pc-help.ru/virusy/virus-x-connect/
Ищите странные процессы у себя на компе.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Пробуют такое лечение
1. Убить процесс QSAF
2. Удалить запись из реестра
3. Удалить файл
4. Удалить x-connect
5. Перезагрузится
1) Залезть в свойства паразитного соединения и исправить его — вбить адрес сервера, поправить настройки шифрования и прочее. Минут на 30-40 обрывов не будет, что вполне хватает, чтобы скачать обновления.
2) Удалить его и по-быстрому создать новое подключение, обозвав его тем же именем, что и паразитное (например: X-connect) — Windows просто не позволит коварному вирусу создать еще одно подключение с одинаковым именем. Качаем обновления, убиваем заразу.
Намного подробнее смотрите в этой статье в камментах.
http://free-pc-help.ru/virusy/virus-x-connect/
Ищите странные процессы у себя на компе.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Пробуют такое лечение
1. Убить процесс QSAF
2. Удалить запись из реестра
3. Удалить файл
4. Удалить x-connect
5. Перезагрузится
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
Re: I(Z) connect вирус.
Wassabi » 25 авг 2009 22:16
вот решение http://depositfiles.com/files/0ykkzjrlg
- Wassabi
- Сообщения: 1
- Зарегистрирован:
25 авг 2009 21:55
Re: I(Z) connect вирус.
Gulliver » 12 сен 2009 11:23
также может помочь вот эта штучка
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ссылка на ComboFix на нашем ftp
ftp://ftp.freedom-vrn.ru/incoming/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ссылка на ComboFix на нашем ftp
ftp://ftp.freedom-vrn.ru/incoming/ComboFix.exe
-
Gulliver - король свалки
- Сообщения: 4
- Зарегистрирован:
17 фев 2009 10:13
Re: I;Z;X connect вирус.
Diesel » 11 ноя 2009 14:23
Лечение a-connect
На время выполнения скриптов, отключитесь от сети, отключите антивирус и восстановление системы.
Пофиксите с помощью Hijackthis строки:
Программа AVZ - файл - выполнить скрипт - выполните скрипт:
перезагрузить комп.
На время выполнения скриптов, отключитесь от сети, отключите антивирус и восстановление системы.
Пофиксите с помощью Hijackthis строки:
- Код: Выделить всё
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: agblibP - {065C52C3-9AA2-4577-AFB0-33F17EA5686E} - C:\Documents and Settings\All Users\Application Data\agblib.dll (file missing)
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINDOWS\System32\KernelDrv.exe
O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)
Программа AVZ - файл - выполнить скрипт - выполните скрипт:
- Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Program Files\Tutor.exe','');
QuarantineFile('C:\WINDOWS\system32\JVM32.DLL','');
QuarantineFile('C:\A1\V1\try.exe','');
QuarantineFile('C:\Program Files\SGPSA\BHO.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\agblib.dll','');
QuarantineFile('C:\WINDOWS\system32\snti386.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe','');
QuarantineFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\Program Files\Tiny Utilities\Vitrite\VitriDLL.dll','');
QuarantineFile('C:\Program Files\QuickTime\QTSystem\QTCF.dll','');
QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\objc.dll','');
QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\ASL.dll','');
QuarantineFile('c:\program files\lovivkontakte\vkontakteservice.exe','');
QuarantineFile('c:\program files\tiny utilities\vitrite\vitrite.exe','');
DelBHO('{065C52C3-9AA2-4577-AFB0-33F17EA5686E}');
DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
BC_DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
BC_DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
BC_DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
DeleteService('catchme');
BC_DeleteSvc('catchme');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
перезагрузить комп.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!
Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
-
Diesel - IRC администратор
- Сообщения: 1538
- Зарегистрирован:
13 окт 2007 23:21 - Откуда: с того берега моря
Сообщений: 15 • Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1