TeaM RSN - Вірус X-connect
Вірус: X-connect Головний симптом - у папці мережевих підключень з'являється нове vpn-підключення з назвою виду X-connect (i-connect, v-connect, z-connect), яке обриває сесії через 10-50 секунд після запуску .
До речі, лікується будь-яким адекватним антивірусом зі свіжими основами. Але біда - користувачі не можуть завантажити оновлення: щоб отримати нові основи, треба видалити вірус, а щоб видалити вірус, потрібні свіжі бази. Замкнуте коло. Як бути?
Основна проблема в тому, що простим delete'ом вірус видалитись видаляється, але з'являється на своєму «законному» місці секунд через 10-15. Шляхів обходу (без залучення знайомих з хардами та Live-CD) знайшлося поки що два:
2) Видалити його і швидко створити нове підключення, обізвавши його тим же ім'ям, що і паразитне (наприклад: X-connect) - Windows просто не дозволить підступному вірусу створити ще одне підключення з однаковим ім'ям. Качаємо оновлення, вбиваємо заразу.
Ще один спосіб, третій
3) 1. шукаємо в диспетчері завдань процес під дивним ім'ям (імена можуть змінюватися, генеруватися тощо), але найчастіше зустрічається процес з ім'ям Zgmh.exe після чого завершуємо цей процес. Після чого впн з'єднання починає нормально працювати. 2. Завантажити AVZ можна тут і оновлюємо бази (з інтернету) 3. Запускаємо AVZ йдемо в меню Сервіс вибираємо "пошук даних у реєстрі" та шукаємо зразок Zgmh.exe. Усі знайдені ключі видаляємо. 4 Потім виконуємо в меню Сервіс "пошук даних на диску". Ім'я файлу вказуємо також (наприклад Zgmh.exe). Усі видалені файли видаляємо. 5.Перегружаем комп'ютер. 6.Видаляємо в мережевих підключеннях підключення з ім'ям "x-connect". 7.Перевіряємо наявність процесу з незвичайним ім'ям у диспетчері завдань. Якщо зберігся повторюємо пункти 1-5. 8.Якщо процес не виявлений,перевіряємо працездатність інтернету та забезпечуємо максимальний захист комп'ютера за допомогою новітніх антивірусних баз, оновлення Windows (установка SP3 та всіх останніх латок).
Даний метод дозволяє позбавитися вірусу, але не захищає від повторного зараження. Будьте пильні!
мені також не допомагає. у мене adsl котрий постійно підключений. так його просто викидає з инета і все тут. Антивар при цьому стоїть nod32 з останніми базами. а що стосується перейменувань - так навіть якщо з'єднання перейменовую в z-connect - то створюється x-connect і все одно відключається і навпаки, хоча якийсь час мене це рятувало))) так що, запропонуйте будь ласка, як убити цей вірус (хробак?) , якщо, зрозуміло знаєте.
щоб все антивіром не рити(
тепер нічого не запускається навіть AVZ
відкрити нічого не можу що робити допоможіть будь ласка
Переставив систему, вірус лишився. (переставляв шляхом формату диска Ц)
Мабуть не в системних файлах сидить, зараза
Точно нічого, крім урвища не дає?
Загальний об'єм: 600гб, майже повністю забиті, з них
150гб - важливі документи, фото, всякі напрацювання і т.п.
Переписувати довго доведеться.
Принагідно подивився процеси в taskinfo - знайшовся Qsaf.exe
Цей процес відкрив пару десятків коннектів.
Пошук по qsaf.exe дав ще пару лінків
Пробую таке лікування
1. Вбити процес QSAF
2. Видалити запис із реєстру
4. Видалити x-connect
Іноді короткочасно відкриває коннекшн портами 1190—1210, читає файли кеша IE — історію, кукіз
Знайдено у реєстрі
Про нього писали на virusinfo.
Там же підозрілий patch.exe
Перевірив файли на Virus total
chrg.exe: Троян Win32.Kolab
Qsaf.exe: достовірно не впізнано, одне припущення High Risk Cloaked Malware
Там же ще купу підозрілих файлів, один з них - r1234[1].jpg хоча видно що це можна здійснити (MZP)
У system32 - 63 файли 02.scr - 88.scr
Він відкритий експлорером і не видаляється
1. Шукаємо таку всіма невикористовувану штуку як NIS у мене версія 16.0.0.125 Встановлюємо за умовчанням стоїть високий ступінь захисту весь вірус якогось підора, який вирішив користуватися інтернетом один не знаю навіщо йому це потрібно (Іншого пояснення мети вірусу не знаходжу) запущеному NIS він вас більше не потурбує, але проблема не розв'язана! Далі оновлюємо базу, і при ході оновлення бачимо, що qasf.exe був видалений і нейтралізований. !
Інші антиварі його просто не можуть видалити, а ось де я його підхопив навіть не знаю.
Він видаляє всі файли цього вірусу, зокрема. з кошика, з тимчасових папок нету, а також погані ключі реєстру.
Перестартував, зранку запустив ще раз — усе було чисто.
Зараз підключився до інету, (ні броузер ні пошту не стартував) — і вже через 5 хвилин у директорії system32drivers з'явився файл zgmh.exe, і процес, який відкрив три десятки коннектів.
Причому процес запущено від імені NT AUTHORITY SYSTEM.
1.C:\Documents and Settings\Адміністратор
2.C:\Documents and Settings\Default User
легко видаляються, але є 2 файли, які є головними, і начебто з коннектом не пов'язані, але через них і відбувається прикріплення до комп'ютера з інтернету всієї цієї зарази:
на жаль, їх видалити не вдається.
Доброго вам дня.
Для лінивих і кому потрібен інтернет, кому не допомогли описані вище способи, ось просте рішення знайшов у мережі і поки працює.
всі файли, що запускають, сидять
1.C:\Documents and Settings\Адміністратор
мій сидів саме там і називався xysfxckx5.exe
сиджу в інеті і жодного x-connecta, як тільки лінь піде уб'ю цю заразу обов'язково.
хм. так виходить, що суть вірусу – дзвонити у далекі країни?
Мені так одного разу (років 7 тому) прийшов рахунок за розмови з Новою Зеландією.
Перейшов на линух збоку ці віруси тепер.
Але знайомі тягають системники з «кватирками». AVZ+Nod32 = хана вірусам