Вирус: X-connect

15.06.2009, рубрики: Вирусы | 3 976 комментариев »

Главный симптом — в папке сетевых подключений появляется новое vpn-подключение с названием вида X-connect (i-connect, v-connect, z-connect), которое обрывает сессии через 10-50 секунд после запуска.

К слову, лечится любым адекватным антивирусом со свежими базами. Но вот беда — юзеры не могут скачать обновления: чтобы получить свежие базы, надо удалить вирус, а чтобы удалить вирус, нужны свежие базы. Замкнутый круг. Как быть?

Основная проблема в том, что простым delete'ом вирус удалиться-то удаляется, но появляется на своем «законном» месте секунд через 10-15. Путей обхода (без привлечения знакомых с хардами и Live-CD) нашлось пока два:
1) Залезть в свойства паразитного соединения и исправить его — вбить адрес сервера, поправить настройки шифрования и прочее. Минут на 30-40 обрывов не будет, что вполне хватает, чтобы скачать обновления.

2) Удалить его и по-быстрому создать новое подключение, обозвав его тем же именем, что и паразитное (например: X-connect) — Windows просто не позволит коварному вирусу создать еще одно подключение с одинаковым именем. Качаем обновления, убиваем заразу.

UPD: Читайте ниже комментарии, там много полезной информации!
Блогун - монетизируем блоги


3 976 комментариев на запись “Вирус: X-connect”

  1. 1 Galogen сказала в 21:03, 30.12.2009:

    Не все видимо заметили , но в систем32 создаеться куча файла с именами 1.src-82.src . я не думаю что в них есть чтото хорошее , и по поводу изменения темы винды , это тоже проделки этой заразы. Помимо отрубания инэта , он еще очень умело временами нагружает процессор до 100% ( используя svhost) , спустя гдето 20 часов отключил мне сетевуху (прилось перебить винду) .

    Переустановил форматируя винт полностью , но это тоже не помогло , зараза всё же сидит...

    видел много людей с такой же проблемой на www.virusinfo.info , там умные люди помогают с этой проблемой , вот почитал ваши коменты и качаю всё что только могу от hijackthis до prevx буду с ним воевать ...

    еще заметил что помогает все разные антивиры , у меня от завелся во время защиты нод32 , скан каспера ничего не показал , и удаление файла через АВЗ тоже не помогло...думаю стоит ждать обновления баз , там уже будет решение , ибо рпоблема набирает всё большие обороты за последние дни , судя по форумам...

  2. 2 Deadworm сказала в 23:10, 31.12.2009:

    Всех с наступающим ! Наро как я писал сделал я посоветовался с вирусинфо.инфо там мне помогли перебить заразу а коннекта люди там достойно помогают спасибо им за это но а коннект походу был и на моем мобильнике вот я и опять попал шас буду бороться (

  3. 3 Zaxar сказала в 12:18, 02.01.2010:

    C НОВЫМ ГОДОМ !!!

    Как я понял результат работы этой вредной программы появляется на вновь отформатированных системных дисках..., так может этот вирус сидит в файловой системе самого usb модема ?

  4. 4 SiLver сказала в 15:19, 03.01.2010:

    Обновить базу даних в антивируски и всьо!!!!!!

  5. 5 Владимир сказала в 23:45, 04.01.2010:

    Реальна второй вариант помогает уже 5 людям помогло спасибо парни !!!

  6. 6 Stas сказала в 18:42, 06.01.2010:

    всем привет) я как и многие щасливый облодатель етого вируса) начитался кучу форумов и сделал вывод чо вылечить практически невозможно) переименовывать не выход) я делаю так) вирус в C:\Documents and Settings\Admin создает exe файлы) их удаляем и вместо них создаем папку с таким же названием как файл который вы удалили) тоесть если файл msupdate.exe то и папка должна называться в точности так же) ето помогает дней на пять) но потом вирус создает новый файл с другим именем) можно снова удалить и создать папку) и так до бесконечности) но меня уже сильно раздрожает каждый час заходить в C:\Documents and Settings\Admin и проверять не появилось ли там чо нового) я сам туго с компьютером обращаюсь) но обладателям каспера могу посоветовать не удалять етот файл) я про тот который вирус создает в C:\Documents and Settings\Admin а отметить его как запрещенный) в теории все) проблема должна решится раз и навсегда) или пока не придумают как вылечить) но ето в теории) у кого каспер) сделате и отпишитесь помогло ли вам) у меня нод 32 смарт секюрити с новыми базами но он ничо не находит) скачал dr web cureit поставил на полное сканирование) он нашол на данный момент шесть вирусов) комп не перезагружал) если после перезагрузки вирусы появятся снова то отпишусь)

  7. 7 Александр сказала в 16:58, 07.01.2010:

    Только что нарвался на простое решение этой проблемы. Вообще конечно я удалил этого коннекта с помощью каспера свежего, элементарно... Этот вирус прописался в овсе телефоны, флешки, фотоаппараты какие только я не пихал в комп. Короче вчера я от него избавился, сидел он в некой папке AKON, что на флешке, что в телефоне. И эту папку проводник ни как нехотел показывать, даже при отображении скрытых папок. Мне надо было скинуть информацию на компакт-диск с помощю программы UltraISO и о чудо, в проводнике этой программы отображается эта папочка (AKON), и ещё Autorun.Inf, тоже с этой оперы, гад.

    P.S. Ну и что с ним делать догадайтесь...

  8. 8 Ванька сказала в 1:48, 08.01.2010:

    Удаляем это лишнее подключение. Потом идем в C:\Documents and Settings\Admin. Там один или несколько файлов левых. Создаем папки с такими же названиями и заменяем файлы на наши папки. Пока вроде помогает! Спасибо тем, кто подал эту идею! Всем удачи!))))

  9. 9 Котяра сказала в 15:50, 08.01.2010:

    Метод с переименованием соединения, конечно, позволит работать в Интернете, но вирус останется в системе (и кстати, будет копировать себя на флешки).

  10. 10 4babushkin сказала в 22:59, 09.01.2010:

    люди зархивируйте этот файл с паролем infected и отправьте его

    и нод будет знать о нем. Помогите другим

    samples@eset.sk

    support@esetnod32.ru

    я про тот который лежит в C:\Documents and Settings\Admin

  11. 11 Артур сказала в 22:54, 10.01.2010:

    всем привет и с новым годом! люди дайте совет-на компьютере пропал звук, удалилось все что относится к звуку(дрова), при включении музыки через винамп выходит ошибка 8878000А, проверял на вирусы(NOD 32) поймал трояна-удалил,проверил еще раз опять появился. скачал антитрояна- регистрация оказалась платной не запустилcя. HELP!!!!!!!!!!

  12. 12 x5p2a1x8j5w6.exe КАКАХА! сказала в 15:23, 12.01.2010:

    Жесть мозг взрывается от всего прочитанного......

    У меня чувство будто он бессмертен,он на время пропадает,а потом опять лезет,только другим способом......Каках он всё что я могу сказать!

  13. 13 Volko-dove сказала в 11:34, 19.01.2010:

    Не безвреден этот вирус, совсем даже... он не просто обрывает соединение с интернетом, это он таким образом пытается свое соединение запустить... я, дурак, думал, просто конфликт антивирусника с вполне обычной программой, и уменьшил степень безопасности на антивире своем... и почти сразу эта сцука дозвонилась куда-то и с моего счета мобильного телефона сняли 400 рублей... вот и объяснение, зачем он был создан, вирус этот. Будьте бдительны, сразу удаляйте его, иначе и вы потеряете свои кровные денежки.

  14. 14 Андрей! сказала в 21:17, 19.01.2010:

    Люди! вы о чем? все эти -connect-Ы спокойно находятся и удаляются cureit-ом (каждый день подключаю по 4-6 человек, у 10% из которых попадается эта кака!) просто таскаю с собой флешку со свежим файлом и все! у самого стоит KIS 2009 и тоже никаких проблем. уже целый год! так что лечитесь на здоровье!

  15. 15 Асхат сказала в 6:26, 24.01.2010:

    Как я понял эта зараза сидит в C:\JYJHA\.......

    Я про то думаю? При этом при перезагрузке папка удаленная появляется, но ничего не обрывается. Стоит обновленная Avira. Может она его просто блокирует но не убивает сразу? И как победить его, что б не было?

  16. 16 Дися сказала в 21:43, 29.01.2010:

    Я поменял имя-не помогло,вывод-не могу установить базы!!!

    Попробую удалить папку,получиться-напишу!Да кстати у него есть новое имя появился z-connect и internet оба вирусы,я уверен!

    попробовал переименовать подключение дак этот козел опять появился,да и его изменил-сделал таким-же(((

  17. 17 Антон сказала в 13:18, 01.02.2010:

    У меня вирус уже работает без создания отдельного подключения, а прямо(как мне кажеться) в действующем. Попробовал создать новое соединение, а старое удалил(так как там даже брандмауэр не врубался). Поначалу вроде бы помогло. а потом началась опять эта херня с вырубаниями и трафик гонит в больших объемах. Че делать, антивирусники не ловят это...?

  18. 18 Артур сказала в 21:28, 03.02.2010:

    зделайте его обще доступным и всё он не сможет зайти как потомушто ему прийдется в вести пароль и логин и вы сможете заходить черезнего и се смогуд друзья

  19. 19 Shurik сказала в 2:48, 04.02.2010:

    Привет всем... Офигеть оказывается штучка то подвернулась...

    Интересно блин...

    Сочувствую всем тем кто сидит с эти «connect другом»

    У меня тоже знакомые сидят дома и незнают что делать с этой

    тварью...

    это какое то второе поколения salliti ))) что ли...

  20. 20 Sunny сказала в 21:30, 06.02.2010:

    Всем привет я тож эту тварь — connect где то подцепила... позвонила узнала почему инет вылетает... оказалось вирус сразу сказали чтоб переустанавливала винду... а файлы я на флешку с компа скинула... переустановила включила комп вроде норм...а потом вставила флешку и все !!!! пипец!!!! Вылез!!!! Кто нить подскажите что делать???? Какой антивирус установить чтоб он на флешке нашел этот z-connect!!!!!Помогите !!!!!Все данные на флешке...

  21. 21 Юли4к@ сказала в 19:35, 15.02.2010:

    Я не могу зайти в контакт, читала инфу, все подозрения, что вирус троянц...а у меня нет антивируса, я не могу скачать и установить теперь ни одну программу, что делать??????

  22. 22 tribolta сказала в 22:59, 21.02.2010:

    Что же вы делаете, люди! Без антивирусника в сеть, да ещё в соцсети!!!

    Играйте в футбл на минном поле, гуляйте ночью голыми по парку — ну что ещё похожее придумать?

    Немедленно качайте свежайший антивирусник с официального сайта (Гугль велик!) на здоровой машине; своему компу — полный формат-лоботомию; свеженькую ось — и будет вам счастье!!!

    Если вы любите экстрим — готовьтесь к большим проблемам даже с антивирем. Кто-то далеко выше возмущался, что антивирусные фирмы курят бамбук с важным видом, пока люди чахнут от заразы, да ещё и требуют какие-то отчёты по каким-то правилам!!! Ну а как они догадаются о существовании зверька, если страдалец им не предоставит отчёт? Вот на ваши болячки и выкладывают лекарство в обновлениях — Каспер, например, — каждые 3 часа. И если авторам вашей антивири никто не прислал образца вашего зверька — она его не видит, не знает, и не убивает.

    Теперь про АВЗ. Это, как и другие специнструменты, хуже гранаты в обезьянних руках — если руки неумелые. При многих антивирусных форумах есть не только приём с оказанием первой помощи пострадавшим пользователям — но и курсы по обучению работы с этим серьёзным добром.http://virusnet.info/forum, например. Сразу скажу — для неподготовленного человека очень непросто всё освоить. Если неохота напрягать голову — лучше внимательно прочитать все правила составления логов-отчётов (операции по подготовке и проведению лечения очень подробны, даже с картинками — у меня кошка научилась удалять системные точки с третьего раза). А вот запускать в АВЗ нарытые где-то на форумах скрипты — вероятность грохнуть систему безвозвратно. Хелперы вам скрипты напишут индивидуально на основании ваших, именно ваших логов, конкретно для вашей болячки.

  23. 23 Имя: Сергей сказала в 22:46, 22.02.2010:

    У меня правда ещё комп не заражён данным вирусом но могу посоветовать вам программу Hlijak This правда я еще не лечился но уверен что поможет

  24. 24 Арман сказала в 20:31, 26.02.2010:

    Подключаю D-Link сразу отключается и подключается internet эта вирус

  25. 25 tribolta сказала в 18:11, 02.03.2010:

    Сергей, уважаемый, спасибо за заботу! Но Хиджак — тоже антивирьный спецназ (выше про АВЗ писал), им нужно уметь пользоваться. Роясь по этой теме (z) на антивирьных форумах понял интересную вещь — антивирусники почти все его прекрасно рубят, до новой модификации. А вот попав на машину, он буйно сопротивляется. Так что виноваты мы сами — неумелой настройкой файеров и мухобоек — заражение проще предотвратить, чем вылечить. На настоящих форумах почему-то про «зетку» ничего нет — знеачит, вирь бестолковая и не заслуживает интереса. А на неспециализированных — только вопли про тараканий произвол — а оформленных по правилам логов — нет.

    Вывод — люди добрые, страдальцы — наберитесь терпения, сходите на virusnet.info/forum, изучите правила составления логов и отправки запроса на помощь — и разместите здесь ссылку на тему с вашим случаем — все увидят КАК это делается, и как там помогают. В случае неумелого лечения вы только рискуете системой и вашими же файлами, предоставьте это спецам. А рецепты лечения индивидуальны, подчёркиваю!!!

    Ещё момент — некоторые правильно порылись и нарыли кучу интересного в ресайклере и файлах восстановления. Живут тараканы там, и ждут своего часа! А ведь старые точки восстановления (заражённые) никто и не пробовал удалять, да и с мусоркой долго жить собрались? И какой же это способ — восстановить систему по незаражённой точке — и всё! А злыдня кто мочить будет?! Вот насчёт полной проверки после обновления баз — верно. Только сначала нужно полечить!

    Всем учить матчасть — правильно настраивать антивирусники и фаеры — и не надо предлагать заменять антивирусными утилитами-лечилками антивирусные программы!!!

  26. 26 Peekovan сказала в 22:24, 04.03.2010:

    У мну он в двух папках...C:/KALBA и NORTON, Соединение переименовал все робит, но эта хня в папке C:/Documents and Settings/Admin глаз мазолит)))

  27. 27 tribolta сказала в 10:24, 07.03.2010:

    Peekovan, уважаемый — Вы что же, повторяете общую ошибку — работаете в инете с Админскими правами?! Даже если Вы единственный юзер своего личного домашнего компа — даже пиратские диски смотреть страшно, не то что в сеть соваться! Любая тварь, залезшая в систему из под Админа — почти не выгоняема, даже для хорошего антивирусника с последними базами — не хватает прав для работы и антивирь легко затыкема злыднем.

    Обязательно создаём учётную запись с админскими правами — для установки-удаления программ, работы по техобслуживанию системы и операций с реестром. Запись с некоторыми ограничениями подходит для ежедневной работы, для работы в инете подойдёт запись с ограниченными правами — без права устанавливать и запускать практически всё. Таким образом, зловред, просочившийся мимо файера и антивируса — не сможет зацепиться или залезть глубоко. Вот для чего существует «Учётные записи пользователей».

  28. 28 Имя сказала в 7:39, 11.03.2010:

    Устанавливаю KIS10 ПОСЛЕ ПЕРЕЗАГРУЗКИ ОТРУБАЕТСЯ МЫШКА В ЧЕМ ПРИЧИНА КТО ПОДСКАЖЕТ??

  29. 29 tribolta сказала в 13:21, 14.03.2010:

    Для шифровщика «Имя»: вилы могут быть по разным причинам.

    1."Опьянение" системы вследствие конфликтов антивирусников (некорректно удалён предыдущий) — может выражаться от диких тормозов — до полного ступора системы. Откройте диспетчер задач по Ctrl+Alt+Del, проверьте загрузку процессора.

    Если это Ваш случай — наводите порядок.

    2.После загрузки профиля пользователя КИСа проверяет всё запущенное и загруженное. Его может быть слишком много, либо ему что-то не нравится. Попробуйте дождаться окончания «шмона» — он доложит о результатах. Вообще, КИСа — штука хорошая, нужно лишь грамотно с ним обращаться. Если количество запущенных процессов превышает все мыслимые пределы — наводите порядок. И техобслугу системы следут проводить, не дожидаясь её падений. Утилит для этого море.

    3.Отказ мыши — один из признаков вирусного заражения. Чаще не единственный — не включается диспетчер задач, блокируются запуск и обновление антивирьного ПО, выходы на антивирьные сайты.

    Если проблемы чисто с мышкой — проверьте, как она смотрится в диспетчере оборудования (Мой комп — просмотр сведений о системе-Оборудование-Диспетчер устройств-Мыши). При неработающей мышке для управления используйте дополнительные кнопки на клаве (со стрелками), Enter для входа в выделенный итем, Esc — для выхода. Именно для этого они на клаве место занимают.

    Если там всё нормально, мыша на месте и дрова её при ней, значит — зовём опытного товарища на отлов тараканов. Потому что КИСа мышку не обидит, и всё вылечит, что может. А вот если вирь блокирует его работу (и от этого может быть и тормоз, и загрузка проца 100%) — это уже серьёзно, заниматься самолечением не стоит, обратитесь лучше за помощью.

  30. 30 Skromnyaga сказала в 17:10, 21.03.2010:

    Раньше этот вирусняк создавал подключения под именами z-connect, x-connect. Я удалял это подключение, а своё переименовывал под z или x connect, работало. Сейчас создаётся подключение под именем Internet... Других соединений вирус не создаёт, и описанная выше процедура против вируса уже не помогает... Скачал AVZ, выполнил скрипт по удалению вируса, перезапустил комп, а он опять тут как тут... Что делать не знаю. Форматировать все жёсткие не вариант, много нужной инфы...

  31. 31 ) сказала в 9:51, 02.04.2010:

    у меня тоже Internet создался Брандмауэр не работает и диспетчер задач тоже(Создал подключение с таким же именем и ввел свои данные Пока не вылетает) До этого просто создавал подключение с таким же именем работало два дня и все с начала(

  32. 32 Skromnyaga сказала в 13:33, 03.04.2010:

    Я таки вроде бы справился с этим вирусняком. Скачал dr web cureit, подчистил комп от вирусняков, форматнул жёсткий диск, снова проверил комп на вирусы( парочку нашёл). Пока работает хорошо, тфу тфу...)

  33. 33 Алексей сказала в 13:47, 09.04.2010:

    Очищаем флешки вручную — при заражении autorun.inf флешка не хочет форматироваться обычным способом, форматируется только с командной строки (файловая система ntfs из за дефектной флеш http://www.vrezka.com/portal/index.php?nma=forumd&fla=topic&forum=1&ids=7 ), сначала в fat32 ( format I:/fs:fat32 ), а затем в ntfs ( Convert I: /fs:ntfs /nosecurity /x ), где I буква диска флешки. Потом смело записываем папку с названием вируса http://www.vrezka.com/portal/index.php?nma=news&fla=stat&page=1&nums=292

  34. 34 Evgen сказала в 21:32, 26.04.2010:

    У меня из-за x-connecta было параллельное подключение к какому-то платному буржуйскому порно-сайту. В августе прошлого года мне выставили счёт в размере 5500 т.р. Возможно это подключение было мною вовремя незамеченно с продолжительностью подключения 1.5 часа. Я написал объяснительную, что не являюсь порно-фанатом платных интернет услуг и т.д... Но недавно мне пришло извещение о погашении задолженности в течении 10дней, или тогда в судебном порядке разрешится! Что делать? Не хочется платить не понятно кому и за что?((

  35. 35 Skromnyaga сказала в 20:05, 27.04.2010:

    Evgen,

    А как счёт выставили, вам пришла какая-то бумага? Первый раз о таком слышу. Мне думается это найобка. Если они хотят чтобы вы оплатили долг им на эл. кошелёк не стоит этого делать. Да и как вообще можно быть подключённым к платному сайту в кредит? Насколько я знаю доступ всегда оплачивается заранее и на определённый срок

  36. 36 Evgen сказала в 13:54, 28.04.2010:

    Никаких электронных кошельков, всё официально. Пришла расчётка на оплату услуг. У меня было телефонное подключение так и частное Tomtel. Когда у частного провайдера лимит исчерпывался я подключался к телефонному, ну и появлялся X (Z) -connekt. В расчёте всё расписано, там видно даже по времени как я пытался отключить его, буквально какие-то секунды. Мне на телеграфе объяснили что я посещал зарубежные порно-сайты.

    Вчера 27 апреля 2010 ходил с извещением и снова писал заявление на получения объяснительной в письменном виде (они присылают только лишь счёт на оплату, кстати звонки в др. города отключили) !

    Мне юрист говорит что можно этим делом заняться (но мне так не хочется в эту бюрократию влезать, но и платить не хочу).

  37. 37 Yurok сказала в 14:03, 29.04.2010:

    По поводу оплаты: у меня мтс модем, так такая же шняга, создаёт другие подключения. Недовно проверил баланс -450 р. Сделал распечатку, выявилось 4 звонка на мальдивские острова. МТС это никак не комментирует, говорит что сами виноваты. Пошёл удалил услугу международные звонки в офисе. Сейчас уже никому ничего не докажешь.

  38. 38 slava сказала в 14:53, 29.04.2010:

    Уважаемые, сейчас вирусы x-connect, z и ему подобные создают соединение под именем interntet, что отключает существующее соединение и не позволяют в дальнейшем работать в интернет. Для исключения платежек, о которых написано выше надо официально освоботить свой тлф от возможности соединений международных и междугородских соединений. При наличии мобилок эти соединения сейчас не актуальны. Второе, антивирус Норд 32 успешно с ними бореться, но для любителей серьезных игр, установка этого антивируса создает проблемы при игре, он серьезно замедляет игры, портит цвет и делает другие гадости. Я нашел способ избавляться от паразитов, которые созданы, как я подозреваю, самими антивирусными компаниями, для того чтобы покупали их продук, как не странно, но выгода от вирусов только для них. Поэтому и борьба с ними искусственно затрудняется: мол обновляй базы, покупай новые антивирусы. Меркантильные интересы хакеров, которые якобы создают вирусы для внутреннего удовлетворения, очень сомнительно. Поэтому пока существуют антивирусные компании будут и вирусы, делайте деньги из воздуха, создавая трудности себе, чтобы их преодалевать. Как я вышел из положения не пишу, т.к. эти редиски тоже читать могут и придумают еще какую нибудь гадость, а мне потом парься ищи противоядие. Вот такая ребята правда, но она по моему мнению. Внимательно подумайте против каждого яда есть противоядие и оно иногда лежит прямо на поверхности.


Оставить комментарий