Вирус: X-connect
Главный симптом — в папке сетевых подключений появляется новое vpn-подключение с названием вида X-connect (i-connect, v-connect, z-connect), которое обрывает сессии через 10-50 секунд после запуска.

К слову, лечится любым адекватным антивирусом со свежими базами. Но вот беда — юзеры не могут скачать обновления: чтобы получить свежие базы, надо удалить вирус, а чтобы удалить вирус, нужны свежие базы. Замкнутый круг. Как быть?

Основная проблема в том, что простым delete'ом вирус удалиться-то удаляется, но появляется на своем «законном» месте секунд через 10-15. Путей обхода (без привлечения знакомых с хардами и Live-CD) нашлось пока два:

1) Залезть в свойства паразитного соединения и исправить его — вбить адрес сервера, поправить настройки шифрования и прочее. Минут на 30-40 обрывов не будет, что вполне хватает, чтобы скачать обновления.

2) Удалить его и по-быстрому создать новое подключение, обозвав его тем же именем, что и паразитное (например: X-connect) — Windows просто не позволит коварному вирусу создать еще одно подключение с одинаковым именем. Качаем обновления, убиваем заразу.

Еще один способ, третий

3)
1. ищем в диспетчере задач процесс под странным именем (имена могут менятся, генерироваться и т.п.), но чаще всего встречается процесс с именем Zgmh.exe после чего завершаем этот процесс. После чего впн соединение начинает нормально работать.
2. Скачать AVZ , можно здесь и обновляем базы (из интернета)
3. Запускаем AVZ идем в меню Сервис выбираем "поиск данных в реестре" и ищем образец Zgmh.exe. Все найденные ключи удаляем.
4 Затем выполняем в меню Сервис "поиск данных на диске". Имя файла указываем тоже (например Zgmh.exe). Все найденные файлы удаляем.
5.Перегружаем компьютер.
6.Удаляем в сетевых подключениях подключение с именем "x-connect".
7.Проверяем наличие процесса с необычным именем в диспетчере задач. Если сохранился повторяем пункты 1-5.
8.Если процесс не обнаружен, проверяем работоспособность интернета и обеспечиваем максимальную защиту компьютера с помощью новейших антивирусных баз, обновления Windows (установка SP3 и всех последних заплаток).

Данный метод позволяет избавится от вируса, но не защищает от повторного заражения. Будьте бдительны!

Читайте ниже комментарии, там много полезной информации!

1. Арслан пишет:
16 июля 2009 в 15:39 Не помогает
2. silent пишет:
16 июля 2009 в 15:44 Что именно тебе не помогает? Успел скачать антивирус с свежими базами?
3. Алина пишет:
16 июля 2009 в 19:33 Вобще не помогает,антивирус со свежими базами скачан. Вирус удаляю,появляется снова...что делать?
4. silent пишет:
16 июля 2009 в 20:06 Какой у тебя антивирус?
5. VJiK пишет:
17 июля 2009 в 9:02 Да таже проблема!!!

Стоит Nod 32 c новейшими базами, и после полного сканирования вирус был неактивен минут 25, а после опять заявил о себе...=(
6. вита пишет:
17 июля 2009 в 10:47 мне тоже не помагает. у меня adsl который постоянно подключен. так его прото напросто выкидывает из инета и все тут. антиварь при этом стоит nod32 с последними базами. а что касается переименований — так даже если соединение переименовываю в z-connect — то создается x-connect и все равно отключается и наоборот, хотя некоторое время меня это спасало))) так что, предложите пожалуйста, как убить этот вирус (червь?), если, разумеется знаете.
7. silent пишет:
17 июля 2009 в 11:03 Скачайте программу AVZ . Обновите базу! Прогоните проверку! И скажите, помогло ли вам!
8. виталий пишет:
17 июля 2009 в 11:46 скачал avz, обновил базу, проверю — отпишусь
9. виталий пишет:
17 июля 2009 в 12:31 не помогло(((
10. silent пишет:
17 июля 2009 в 12:34 Попробуй Kaspersky Internet Security установить и включи все режимы защиты на максимальный уровень. Он будет контролировать изменения в реестре, в приложениях.
11. Oleg пишет:
17 июля 2009 в 14:21 проверил Dr.Web тож не Находит ...как быть?
12. silent пишет:
17 июля 2009 в 14:39 Установи касперского! И полностью все проверь!
13. Провизор пишет:
17 июля 2009 в 16:30 Начитался советов, спасибо!

Переименовал соединение под эту тварь!!! Сижу в нэте уже 7 минут, не выкидывает пока!!!!
14. Провизор пишет:
17 июля 2009 в 16:35 вита пишет:

17 июля 2009 в 10:47

мне тоже не помагает. у меня adsl который постоянно подключен. так его прото напросто выкидывает из инета и все тут. антиварь при этом стоит nod32 с последними базами. а что касается переименований — так даже если соединение переименовываю в z-connect — то создается x-connect и все равно отключается и наоборот, хотя некоторое время меня это спасало))) так что, предложите пожалуйста, как убить этот вирус (червь?), если, разумеется знаете.

Ответ: Чисто теоритический совет! Попробуй создать несколько соединений, со всеми возможными наименованиями этой твари (X-connect, i-connect, v-connect, z-connect), на практике не проверял, но вот переименовка под X-connect, с которым борюсь уже весь день, пока эту статью не прочел, мне пока помогает!))
15. Провизор пишет:
17 июля 2009 в 16:39 СисАдмину большой респект, за дельный совет!!!!!!!!
16. xen пишет:
17 июля 2009 в 20:30 Изначально поймал его стоял НОД 32 поставил касперский 09 с новой базай не удалил он его, тупа переименовал и без проблем стал заходить в инет, несколько дней всё было норма, сегодня выкинула и появился Z-connect не удаляя X-connect подключился через Z-connect сижу дальше в нете пока не выкинула.
17. Airnoks пишет:
18 июля 2009 в 7:48 Мне даже интересно стало, каким таким антивирусом со свежими базами умудрился победить это соединение автор статьи. Не нашел в нете ни одного специализированного удаляльщика данного вируса. Все делается ручками. Всякие касперские и иже с ними требуют прислать им данные, потом пишут скрипты и велят их прогонять пользователям. Это же не дело. Хвастаются победами над какими то невиданными червями, а уже сколько лет не могут избавить человечество от простеньких зет и икс коннектов. Позор, вообще говоря. Панда-один из самых мощных антивирей, к тому же обновленная, не понимала что плохого в икс коннекте. Но в брандмауере у нее определился файл, который запускал этот коннект, я запретил этому файлу доступ в нет, еще и в самих настройках соединения икса написал белиберду чтобы его запутать. И при запуске сетевого подключения вылезло окошко с ошибкой на имя этого вредного файла, он обиделся что не смог подключиться и все. Я для пробы отключил во время сеанса работы в интернет Панду, но файл уже не сделал больше попытки лезть со своим x-connect, видимо совсем стух от той своей ошибки.
18. silent пишет:
18 июля 2009 в 9:48 На момент написания статьи мне помог Kaspersky Internet Security. Возможно, сейчас, уже появилась модифицированная версия вируса.
19. $ MaZ@faK@ $ пишет:
18 июля 2009 в 13:35 Мне помогло
20. tobi пишет:
18 июля 2009 в 15:48 сталкивался с z-connect...помог Dr.Web
21. Андрейко пишет:
19 июля 2009 в 10:17 Я просто зашёл в свойство червячка, вбил номер на который хочу законектиться, скорость подстроил и запустил его! два компа не показывает в правом нижнем углу, но вот уже сижу минут 10 качаю обновления для нода, читаю как от вируса избавиться! если не найдёт создам выше указаные соединения(x, z, i и тд)
22. Андрейко пишет:
19 июля 2009 в 11:49 нод32 справился с вирусом после обновления базы! спасибо за советы!
23. Sedoi 666 пишет:
19 июля 2009 в 21:51 C утра столкнулся с этой тварью!!!Долго голову ломал! задал в поиск файлы с текстом «x-connect» нашёл мне один скрипт из браузера, я его удалил, но не помогло((( потом углядел какую -то ошибку update задал поиск! он нашёл мне штук семь файлов!файлы которые за сегодняшнее число и их удалил! чясов пять в инете он не даёт о себе знать! Но пока не перезагружал!!!
24. Миша пишет:
20 июля 2009 в 6:53 Я сделал так: в каспере зашёл в контроль приложений,нашёл папки которые запускают х-connect ( у меня это yzxxxsx5 и Lsass) и поставил запрет на их включение. При пдключении каспер блокирует запуск этой твари. Сижу третий день в инете пока нормально
25. Гога пишет:
20 июля 2009 в 16:45 а мона узнать где его искать именно?

чтобы все антивирем не рыть(

уж больно много информации=(
26. silent пишет:
20 июля 2009 в 16:56 Советую проверить все накопители!!!
27. Гога пишет:
20 июля 2009 в 17:08 попробывал AVZ полиморфную версию какую то=(

теперь ничего не запускается даже AVZ

открыть ничего немогу что делать помогите пожайлуста

тыкал чего то там включить=(
28. Гога пишет:
20 июля 2009 в 17:17 что теперь делать кто подскажет?
29. silent пишет:
20 июля 2009 в 17:18 Ну ты «молодец»! Когда тыкаешь, запоминай что тыкаешь. Советую воспользоваться восстановлением системы, если у тебя активирована эта опция.
30. Гога пишет:
20 июля 2009 в 17:20 выяснил что включил AVZGuard как отключить кто поможет?
31. silent пишет:
20 июля 2009 в 17:22 Там же где его включал, ищи кнопку выключить. Посмотри появился ли значок в системном трее.
32. Гога пишет:
20 июля 2009 в 17:24 я из проги выгрузился там какое то напоминание было я тыкнул ок не прочитав в трее ничего не весит=(
33. silent пишет:
20 июля 2009 в 17:28 Обычно он выгружается 2-3 минуты, согласно инструкции автора программы.
34. Гога пишет:
20 июля 2009 в 17:30 счяс перезагрузить попробую
35. Гога пишет:
20 июля 2009 в 18:11 вообщем проблему с х-соnect решил следующим образом

удалил его и потом сразу переименовал подключение свое в x-conect пока полет норамльный=)
36. Kiy пишет:
20 июля 2009 в 20:25 Подскажите, как его определяет антивирус? У меня вот Trojan.Muldrop.32658 нашелся.
37. silent пишет:
20 июля 2009 в 20:40 Как точно определяет не могу подсказать, так как его уже давно нет у меня.
38. ks13 пишет:
22 июля 2009 в 17:23 Для тех кто пользуется ADSL соединением, можна, как провереный вариант, настроить модем роутером и вирусу обрывать уже будет нечего. А потом спокойно поискать вакцину ...
39. George пишет:
23 июля 2009 в 10:15 Если все это не помогает, прицепи хард к какому нибудь чистому писи и очисти. Помогает, проверено. Это файловый вирус, очищенный файл заражается во время проверки антивируса. Так-то лайв-сиди или прицепить к писи.
40. Ron_00074 пишет:
24 июля 2009 в 7:36 попробывал создать подключение «x-connect» пока не чего не поивилась типо «z-connect и т.д» инет роботоет уже минут и не разу не выкунуло а Kaspersky Internet Security вобще этот вирус не где не видет, как мне кажется лутше всего это создать подключение вроде все роботоет)))))
41. антон пишет:
25 июля 2009 в 1:08 kaspersky internet security 8.0.0.506 с обновленными базами и нечего не страшно уже 2 мес стоит и ни каких вирусов до этого eset smart стоял стока вирусов бывало на ноуте но теперь не знаю проблем)))))
42. Бродяга пишет:
25 июля 2009 в 11:14 Переустановил Windws и вроде как нет вируса =)
43. Roma пишет:
25 июля 2009 в 18:05 Спасибо помогло
44. Lakerta пишет:
25 июля 2009 в 21:45 Переименовала подключение. Вроде помогло)))) Спасибо)))
45. Лариса пишет:
25 июля 2009 в 21:50 Я создала соединение x-connect, он его удалил и появился снова, Проверялась Авастом не помогает.
46. Bruce пишет:
25 июля 2009 в 21:58 Народ почитал коменты, насмеялся до упада, особенно где в настройках антивируса рылись))))))))). За советы огромное спасибо. Я так понял зараза эта вредна только тем что обрывает соединение или еще что портит?
47. silent пишет:
25 июля 2009 в 21:59 Обрывает соединение.
48. silent пишет:
25 июля 2009 в 22:01 Проверься антивирусом касперского. В настройках X-connect'a введи свои настройки выданные твоим провайдером.
49. silent пишет:
25 июля 2009 в 22:01 Ясен красен, если система чиста, откуда же ему тогда взяться
50. Br0wnie пишет:
26 июля 2009 в 0:38 А он видать недавно только появился?

Переставил систему, вирус остался... (переставлял путём формата диска Ц)

Видать не в системных файлах сидит, зараза

Точно ничего, кроме обрыва не даёт?

А то у меня дсл модем роутерным способом настроен , только диал-апный модем пощёлкивает...))
51. Лариса пишет:
26 июля 2009 в 8:35 Ввела свои настройки в x-connect и теперь через это соединение захожу. Спасибо.
52. silent пишет:
26 июля 2009 в 10:39 У тебя не на два диска жесткий диск разбит? Если на два, то нужно было формат Д тоже делать. Тогда точно от него ни следа бы не осталось. Он только обрывает соединение.
53. Br0wnie пишет:
26 июля 2009 в 13:09 2 silent: у меня 2 жёстких, разделённых на 5 локальных...

Общий объём: 600гб, забиты почти полностью, из них ~150гб — важные документы, фото, всякие наработки и т.п.

Переписывать долго придётся...

Есть скрипт для AVZ?
54. Ваш спаситель пишет:
26 июля 2009 в 13:57 скачайте Dr web Cure It и запустите подробную проверку, это поможет

drweb.ru
55. silent пишет:
26 июля 2009 в 15:06 Скрипт для AVZ можешь получить на форуме AVZ. Предварительно тебе нужно будет отправить отчет, на форуме написано как это сделать.
56. Br0wnie пишет:
26 июля 2009 в 15:54 ээ, а ссыслку на форум avz можно?
57. silent пишет:
26 июля 2009 в 17:57 В яндексе набери avz x-connect. Я немного ошибся, где-то видел на форуме про скрипты для avz, почему-то подумал что на форуме avz, но скажу честно, не всегда эти скрипты помогают.
58. ХХХ пишет:
26 июля 2009 в 20:31 Народ,подскажите чё нибуть конкретное,как убить эту заразу!!!
59. jo пишет:
28 июля 2009 в 7:26 нифига не помогает (сканировал avz, nod, kureit свежими), ну ктонибудь справлся с этой тварью?
60. HOST пишет:
28 июля 2009 в 11:00 всем прива тоже столкнулся с этим x-connect кто нить пробовал ComboFix?? должно помочь!
61. Линар пишет:
28 июля 2009 в 23:09 Я просто обманул вирус.он у меня сидел в сетевых подключениях рядом с высокоскоростным подключением интелсет.я просто создал второе подключение на удалённом доступе и этот вирус прилип к нему,а сам сижу через первое соединение.и ничего и икс коннект есть и в нете сижу!
62. Владимир пишет:
29 июля 2009 в 13:01 Ребят Вчера профигарил систему Avast! Professional Edition 4.8.1335 и он всё нашёл. Сейчас всё отлична. Это вам клёч кто надумает , к антивирусу S9097868R9097F1106-CRUDS1Y2
63. jo пишет:
30 июля 2009 в 7:28 помогло полое сканирование компа в безопасном режиме (кюрейтом). После этого все нормально стало. но когда врубал впн с какогото адреса ко мне ломился этот вирус в виде файла jpg, нод успешно блокирует. более подробно не могу изучить эту хрень т.к. комп спасал знакомой. сейчас все нормально тфу тфу.
64. Иван пишет:
30 июля 2009 в 8:21 поставил аваст, сделал полное сканирование, чтото не помогло, мб там чтото гдето еще галочки ставить при сканировании.
65. Владимир пишет:
30 июля 2009 в 22:23 Я в авасте всё сканирование ставил на высокое, но перед этим базы обновил. Там какие та файлы с именем Lsass он поудолил. У брата тоже самое было про сканировал и всё в порядке. Я сканировал всё хрень что толь ка можно , столь ка дерьма было ( и на дисках и на флэшки). Видна братана тоже я заразил с флэшки.
66. x-connectPIDOR пишет:
31 июля 2009 в 1:23 помогло создать подключение с таким-же именем!!!спс!!! пока работает=))
67. Mrs_Lollipop пишет:
31 июля 2009 в 3:07 Мне помогло создание подключения одноименного, у меня DSL интернет, и вылазило x-connect.

Раньше тоже с ним сталкивалась, когда интернет был обыкновенный, через шнур к домашнему телефону, может это глупо конечно, но я выключила компьтер, достала шнур, вставила обратно и, когда включила, оно исчезло. К сожалению, шнур от моего модема с ногтями такими достать не могу, и слава Богу помог совет. Пока что сижу 10 минут. Странно, откуда он взялся ... Ведь только позавчера переустановили Windows!!!
68. Иван пишет:
31 июля 2009 в 12:29 поначалу помогло переименование подключения, пото аваст просканил перед загрузкой виндовс все диски и вирус удалился)
69. vagon пишет:
31 июля 2009 в 17:28 на работе у себя на всех компах нахожу это чудище (сам я врач), на 3 компах удалил часов за 6, теперь сижу с четвертым компом два дня — этот пошустрее оказался. ничего его не берет.
70. Blinki пишет:
31 июля 2009 в 23:15 Ну и я закосил свое подключения под икс-коннект ) Уря! Всем привет!

p.s. x-connect — Pidor © x-connectPIDOR
71. Александр пишет:
1 августа 2009 в 9:47 Установил avz 4.30 обновил базу, сделал полное сканирование,

и вирус удалился
72. Александр пишет:
1 августа 2009 в 9:48 Установил avz 4.30 обновил базу, сделал полное сканирование,

и вирус удалился
73. x-connect пишет:
1 августа 2009 в 10:37 Какая сволочь делает такие вирусы и с какой целью, этих пидоров убивать надо головой об стену! Переименовать подключение помогает но это не выход, меня бесит то что эта тварь все равно сидит в моем компе!
74. Белый пишет:
2 августа 2009 в 2:47 В начале я просто перейменовал подключение в x-conect,не помогло!Потом переустановил WindowsБефект тот же((((((((А вот когда поставил Nod32 с последней базой обновленийбто етот вирус поганый пропал!!!Правда не знаю на долго ли Хд)))) Желаю вам удачки;)))
75. XuPo пишет:
2 августа 2009 в 9:50 Блин спасибо всем всё прочитал ща пробывать буду!!!
76. Евгений пишет:
2 августа 2009 в 10:28 Обнаружил у себя такой коннект, заподозрил неладное, нашёл этот пост.

Попутно посмотрел процессы в taskinfo — нашёлся Qsaf.exe

c:\windows\system32\drivers\qsaf.exe

Этот процесс открыл пару десятков коннектов.

Поиск по qsaf.exe дал ещё пару линков

virusinfo.info/showthread.php?t=51136

www.prevx.com/filenames/X...E_75618.EXE.html

В безобидности далеко не уверен, по поведению похоже на бот.
77. Евгений пишет:
2 августа 2009 в 10:37 Ещё нашёл в реестре ключ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Пробую такое лечение

1. Убить процесс QSAF

2. Удалить запись из реестра

3. Удалить файл

4. Удалить x-connect

5. Перезагрузится
78. Евгений пишет:
2 августа 2009 в 10:45 Загрузился нормально, подозрительных процессов нет, VPN не обрывается
79. Евгений пишет:
2 августа 2009 в 11:53 Спустя некоторое время объявился новый процесс — chrg.exe

Файл c:\windows\system32\drivers\chrg.exe

Иногда кратковременно открывает коннекшн по портам 1190—1210, читает файлы кеша IE — историю, кукиз

Найден в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
80. !NeGaTiVe! пишет:
2 августа 2009 в 13:15 Почитал все коменты...

Блин ребят,скиньте мне этого трояна,хочу тоже голову поломать)))
81. Евгений пишет:
2 августа 2009 в 13:37 Обнаружен f2y7a8m1e2s.exe в корне диска C:\

О нём писали на virusinfo.

Там же подозрительный patch.exe

Проверил файлы на Virus total

chrg.exe: Троян Win32.Kolab

www.virustotal.com/ru/ana...41582-1249130328

patch.exe: Trojan-Dropper

www.virustotal.com/ru/ana...8cb97-1249138851

f2y7a8m1e2s.exe: Win32.Kolab

www.virustotal.com/ru/ana...5977c-1249181761

Qsaf.exe: достоверно не опознан, одно предположение High Risk Cloaked Malware

www.virustotal.com/ru/ana...9d6c6-1249200402
82. Евгений пишет:
2 августа 2009 в 14:01 Нашёл ещё и 21.scr — в папке system32.

Worm/Kolab.ro

www.virustotal.com/ru/ana...771a2-1249127582
83. danger пишет:
2 августа 2009 в 17:25 ееееее! =)
84. Евгений пишет:
2 августа 2009 в 20:07 to: !NeGaTiVe!

Давай ы-мейл, отправлю всё что наковырял
85. Евгений пишет:
2 августа 2009 в 23:04 Снова Qsaf.exe запущен...
86. Евгений пишет:
2 августа 2009 в 23:21 Обнаружил xx3[1].exe в кеше IE

Там же ещё кучу подозрительных файлов, один из них — r1234[1].jpg хотя видно что это исполнимый (MZP)

В system32 — 63 файла 02.scr — 88.scr

И ещё sysmngsr32.exe открыл кучу коннектов, оди из них в китай, ой оделевают меня вирусяги...
87. Евгений пишет:
2 августа 2009 в 23:50 mwau.exe обнаружен в директории C:\RECYCLER\...\

Он открыт експлорером и не удаляется

Перегружаюсь в сейф мод
88. Белый пишет:
3 августа 2009 в 4:31 Сегодня отформотирывал жосткий диск и не помогло!Но как оказалось сам вирус находился в диске С............Я открыл диск С и увидел ярлык в виде телефона с названием (f2y7a8m1e2s.exe) и удалил его!Но он потом назат востонавился!Переименовал подключение в x-connect и удалил тот ярлык(f2y7a8m1e2s.exe)!Поставил Nod32 c базой обновлений (4299) и помогло!Уже в интернете сижу 6 часов и компьютер перезагружал даже!Для проверки по аське скинул другу ярлык который был в диске С и у него тоже появилось в сетевых подключениях x-connect!P.S попробуйте в поиск ввести у себя на компьютере(f2y7a8m1e2s.exe).............Если найдет тогда проста удалите файл етот и просканируйте после удаления свой компьютер!!!!!!!!!
89. Влад пишет:
3 августа 2009 в 18:27 что делать у меня x connect ?
90. Влад пишет:
3 августа 2009 в 18:28 и аваст стоит!каждый раз обновляется
91. Вася & Коля пишет:
3 августа 2009 в 19:39 Как я понял вирус эволюционирует...Смотрели терминатора и трансформеров ??? Покайтесь...машины наступают... ищем семейку коноров...да придёт спаситель!!!!
92. silent пишет:
3 августа 2009 в 20:08 Почитай статью и комментарии, найдешь способ его удаления.
93. !NeGaTiVe! пишет:
3 августа 2009 в 22:59 to: Евгений

ozzy-666@inbox.ru
94. Darksecret пишет:
4 августа 2009 в 7:01 Привет, девочки и мальчики!

Объясняю...

1. Ищем такую всеми неиспользуемую штуку как NIS у меня версия 16.0.0.125 Устанавливаем по умолчанию стоит высокая степень защиты все вирус какого то пидора, который решил пользоваться интернетом один не знаю зачем ему это нужно (Другого объяснения цели вируса не нахожу) В общем при запущеном NIS он вас больше не побеспокоит, но проблема не решина! Далее обновляем базу, и при ходе обновления видим что qasf.exe был удален и нейтрализован... !

Другие антивари его просто не могут удалить а вот где я его подхватил даже не знаю.

Но вылечился и все ок! Не парьте мозг NIS — рулит
95. Shuriken пишет:
4 августа 2009 в 10:49 Из всех антивирусов его лечит только Prevx. Качайте, ставьте и будет вам счастье.

www.prevx.com

Он удаляет все файлы этого вируса, в т.ч. из корзины, из временных папок нета, а также плохие ключи реестра.

Мне помогло, учитывая что зараженными были все 20 компов.
96. Евгений пишет:
4 августа 2009 в 22:55 Вчера пустил наночь АВ Касперского — нашёл пару сотен файлов, всё почистил (правда запускал его не на зараженном ПК — там АВ не стал, а на ноутбуке, через сетевую шару подключённый к диску зараженного компа).

Перестартовал, утром запустил ещё раз — всё было чисто.

Сейчас подключился к инету, (ни броузер ни почту не стартовал) — и уже через 5 минут в директории system32\drivers появился файл zgmh.exe, и процесс, который открыл три десятка коннектов.

Причём процес запущен от имени NT AUTHORITY SYSTEM.

Среди прочих открытых хандлеров за ним числился RASAPI32
97. Иззат пишет:
5 августа 2009 в 0:37 Переминовывал — ни фига не помогает(((

Ксперыча не успею обновлять (у меня 2009), ща пробую АВП скачать. Не знаю как вас, но это вирус наказал меня на 50 бакинских. Пришел счет за «якобы» межгород, всякие африканские страны(((
98. zanuda пишет:
5 августа 2009 в 1:02 Prevx — программа платная 30$
99. zanuda пишет:
5 августа 2009 в 1:09 все запускающие файлы сидят

1.C:\Documents and Settings\Администратор

2.C:\Documents and Settings\Default User

легко удаляются, но есть 2 файла которые являются главными,и вроде бы с коннектом не связанные, но через них и происходит прикрепление к компьютеру из интернета всей этой заразы:

1.NTUSER

2.NtUser.dat

к сожалению их удалить не удается.

# Бродяга пишет:
5 августа 2009 в 12:22

Вбил свои настройки. Вирус через минуту снова изменяет настройки на свои... Времени хватает лиш на отправку сообщения.
# silent пишет:
5 августа 2009 в 12:27

2Бродяга:

Скачай Dr.Web CureIT. Кому-то тут он помог. Аваст, тоже кому-то помог.
# Бродяга пишет:
5 августа 2009 в 12:32

Неполучится скачать. Соединение держится 10 сек. Скорее всего буду переустанавливать Винду с форматированиемжёсткого. По идее должно помочь, пока вирус опять не заразит мой компьютер.
# silent пишет:
5 августа 2009 в 12:34

2Бродяга:

Переустановить винду, самый легкий способ ;-)
# Бродяга пишет:
5 августа 2009 в 12:48

Я не ищу лёгких путей =) Но в моем случае переустановка единственный выход. Только массовые репресии спасут родину.
# Max пишет:
5 августа 2009 в 15:45

Доброго времени суток.

Для ленивых и кому нужен интернет, кому не помогли описанные выше способы вот простое решение нашел в сети и пока работает.

zanuda пишет:

5 августа 2009 в 1:09

все запускающие файлы сидят

1.C:\Documents and Settings\Администратор

мой сидел именно там и назывался xysfxckx5.exe

а дальше все просто: Я из папки вирус удалил,а засунул папку под названием xysfxckx5.exe (именно с «.exe») и файл не может заместить папку и больше этот вирус мне как автоматическая ссылка не присылается!

сижу в инете и ни какого x-connecta, как только лень уйдет убью эту заразу обязательно.

надеюсь кому нибудь поможет как мне. Удачи
# Жаннетка пишет:
5 августа 2009 в 15:57

перустанавливала винду-не помогает, NOD32 с обновлениями — не помогает, каспер тоже не помогает, переименовать это просто уйти от проблемы, а нужно от нее избавляться, сейчас качаю доктор веб...надеюсь поможет...если нет то уже не знаю что делать надо
# Жаннетка пишет:
5 августа 2009 в 16:08

доктор веб на быстрой проверке нашел Trojan.MulDrop.33182 хотя нод и каспер не видели. сейчат поставила на полную. мне говорили что нод, особенно последняя версия, более адаптирован и вообще наверное лучший антивир, тем не менее не помог. кто скажет какой антивирус более подходящий и эффективный?
# silent пишет:
5 августа 2009 в 16:17

2Жаннетка:

Каждый советует тот антивирус, которым сам пользуется. Большинство советуют Nod32, кто-то антивирус касперского, кто-то аваст, кто-то AVG антивирус, кто-то Norton Internet Security (NIS). Решать только тебе какой использовать. Что пропускает Нод, то ловит касперский и наоборот.
# timan пишет:
5 августа 2009 в 16:24

обновил нод32 и вот сижу уже час...пока все путем.=)
# Бродяга пишет:
5 августа 2009 в 18:39

Переустановил винду. Пока вируса невидно.
# Br0wnie пишет:
5 августа 2009 в 20:42

хм... так получается, что суть вируса — звонить в дальние страны?

Мне так однажды (лет 7 назад) пришёл счёт за разговоры с Новой Зеландией...

автор — проказник!!
# alim пишет:
5 августа 2009 в 21:45

как этот вирус меня достал. Работаю Авирой вроде он блокирует, но его попытки подключиться достали.
# Влад пишет:
5 августа 2009 в 23:15

Перешел на линух побоку эти вирусы теперь.

Но знакомые таскают системники с «форточками». AVZ+Nod32 = хана вирусам



Постоянные ссылки

При копировании ссылка на TeaM RSN обязательна!

URI

Html (ЖЖ)

BB-код (Для форумов)