-
Junior Member
- Вес репутации
- 48
Новый вирус похожий на x-connect
Появилось соединение в сетевых подключениях с названием
"Подключение к интернету", каждые 2-5 минут оно само устанавливается со скоростью 2,4 мбит/сек, как только оно появляется в трее, то соединение ДСЛ модема падает и нет инета(гаснет Internet, Status, DSL и нет попыток у модема самому поднять соединение), помогает только полный ребут модема. Модем в режиме роутера(!).
Это соединение невозможно удалить, но можно переименовать. Переименовывание толку никакого не дает. Каким то мне непостижимым образом пару раз удавалось, прибивая в диспетчере задач все подряд прекращать работу вируса, так как соединение из сетевых подключений пропадало! Но после перезагрузки компьютера все появлялось опять.
С момента заражения не работает интерфейс быстрого переключения пользователей. Методы борьбы x-connect не подходят.
Вэб,нод32,Авз ничего не находят
ВинХР-сп3
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\C272~1\LOCALS~1\Temp\bJ1s1M91.sys','');
QuarantineFile('c:\windows.0\system32\winlogon.exe','');
TerminateProcessByName('c:\documents and settings\Шурик\local settings\temp\d9818930-1e170930-4b16e4a0-13dba8d0\f4ae0_xp.exe');
QuarantineFile('c:\documents and settings\Шурик\local settings\temp\d9818930-1e170930-4b16e4a0-13dba8d0\f4ae0_xp.exe','');
DeleteFile('c:\documents and settings\Шурик\local settings\temp\d9818930-1e170930-4b16e4a0-13dba8d0\f4ae0_xp.exe');
DeleteFile('C:\DOCUME~1\C272~1\LOCALS~1\Temp\bJ1s1M91.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 48
спасибо! каратнин прислал, имя файла 110423_054008_quarantine_4db26638aeee3.zip
прикрепляю повторный virusinfo_syscheck.zip
после вашего скрипта,ребута ушли первичные признаки заражения:
ушло "левое" соденение, выключился режим скрытых иконок в трее, но режим быстрого переключения пользователей со страницей приветствия не включается... видать повреждены/изменены ветки реестра, попробую поискать в инете как вернуть быстрое переключение пользователей
-
Junior Member
- Вес репутации
- 48
похоже что остались какието недобитки вируса, так-как через некоторое время, опять само включилось "Скрывать неиспользуемые значки", выключение этого пункта не помогает птичка сама появляется опять, и значки в трее сворачиваются, плюс ко всему все примочки что я вычитал с инета(удалить Netware, проверить службы, поставить птички в "Выбор параметров входа", проверить наличие ключей в реестре) по поводу экрана приветсвтия и быстрого переключения не помогли!
При этом "левое" соединение не создается, инет не пропадает, машина работает быстро как и до заражения...
Добавлено через 5 часов 41 минуту
удалось востановить быстрое переключение пользователей запустив установку виндовз с функцией обновления системных файлов!
отныне никаких сидений под администратором, только под юзером...
тему можно закрывать
Последний раз редактировалось wow!; 23.04.2011 в 18:02.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-