PDA

Просмотр полной версии : Дуже поширений вірус "і.ехе" та "ntde1ect.com"

LostZero
02.11.2008, 15:47
В цій статті я розповім дуже докладно про ці віруси.

ВІРУС і.ехе

І.Опис
%TEMP%\gz8lf.dll
%SYSTEMROOT%\system32\amvo.exe
%SYSTEMROOT%\system32\amvo0.dll
%SYSTEMROOT%\system32\amvo1.dll (якщо запустить amvo.exe)

%SYSTEMROOT%\system32\amvo.exe - кидає в автозавантаження

На кожному диску: i.exe та autorun.inf з наступним змістом:

;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
[AutoRun]
;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
open=i.exe
;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
shell\open\Command=i.exe
;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
shell\open\Default=1
;5Ld3r
shell\explore\Command=i.exe
;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

Приховані файли і папки не показує.

При вставленні в комп флешки одразу на ній з'являються i.exe та autorun.inf з тим самим змістом.

ІІ.Реєстр після вірусу.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
"*NewlyCreated*"=dword:00000000 |
"ActiveService"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нема
"Service"="jhyuiopewfjeswedadq" |
"Legacy"=dword:00000001 |
"ConfigFlags"=dword:00000000 |
"Class"="LegacyDriver" |
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
"DeviceDesc"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
"NextInstance"=dword:00000001 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
"ActiveService"="USBSTOR" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control] |

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
"Count"=dword:00000002 1
"NextInstance"=dword:00000002 1
"1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нема

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
"Count"=dword:00000003 2
"NextInstance"=dword:00000003 2
"2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нема

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
"0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нема
"Count"=dword:00000001 |
"NextInstance"=dword:00000001 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002 1
"ShowSuperHidden"=dword:00000000 1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
@=- - нема

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
@="I:\\i.exe" | нема
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
@="1" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
"Extended"="" |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000316 335

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000034A 369

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
"CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
"CachePrefix"=":2008101020081011: " | - no
"CacheLimit"=dword:00002000 |
"CacheOptions"=dword:0000000B |
"CacheRepair"=dword:00000000 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091 b1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"="C:\\WINDOWS\\system32\\amvo.exe"

ІІІ. ЛІКУВАННЯ ВІРУСУ.

ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

taskkill /f /im i.exe /t
taskkill /f /im amvo.exe /t
del /f /q /a:s "%temp%\gz8lf.dll"
del /f /q /a:s "%systemroot%\system32\amvo.exe"
del /f /q /a:s "%systemroot%\system32\amvo0.dll"
del /f /q /a:s "%systemroot%\system32\amvo1.dll"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHY UIOPEWFJESWEDADQ" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Removab leMedia\7&1fe0f241&0&RM\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&Pid_1101\A00000600001\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v Count /t reg_dword /d 00000001 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v NextInstance /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v Count /t reg_dword /d 00000002 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v NextInstance /t reg_dword /d 00000002 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v 2 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Enu m" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
pause


всЕ:)
УДАЧІ.

ВІрус ntde1ect.com

І.ОПИС

%TEMP%\8y9vh.dll
%SYSTEMROOT%\system32\avpo.exe
%SYSTEMROOT%\system32\avpo0.dll
%SYSTEMROOT%\avpo1.dll (якщо запустить avpo.exe)

%SYSTEMROOT%\system32\avpo.exe - кидає в автозавантаження

На кожному диску: ntde1ect.com та autorun.inf з наступним змістом:

[AutoRun]
open=ntde1ect.com
;;shell\open=Open(&O)
shell\open\Command=ntde1ect.com
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=ntde1ect.com

Приховані файли і папки не показує.

При вставленні в комп флешки одразу на ній з'являються ntde1ect.com та autorun.inf з тим самим змістом.

ІІ.Реєстр Після дій вірусу.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
"Service"="rtygfsk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
"ujdew"=-
"ljej40"=-
"ljej41"=-
"ljej42"=-
"ljej43"=-

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
"Generation"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000246

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000027A

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa"="C:\\WINDOWS\\system32\\avpo.exe"

ІІІ.Лікування

ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

taskkill /f /im ntde1ect.com /t
taskkill /f /im avpo.exe /t
del /f /q /a:s "%temp%\8y9vh.dll"
del /f /q /a:s "%systemroot%\system32\avpo.exe"
del /f /q /a:s "%systemroot%\system32\avpo0.dll"
del /f /q /a:s "%systemroot%\system32\avpo1.dll"
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTY GFSK" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Co nfig\jdgg40" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
pause


Все:) УДАчі:)
4p3
02.11.2008, 19:10
вирус і.ехе

І.Описание
%TEMP%\gz8lf.dll
%SYSTEMROOT%\system32\amvo.exe
%SYSTEMROOT%\system32\amvo0.dll
%SYSTEMROOT%\system32\amvo1.dll (если запустить amvo.exe)

%SYSTEMROOT%\system32\amvo.exe - в автозагрузке

На каждом диске: i.exe и autorun.inf с таким содержанием:

;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
[AutoRun]
;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
open=i.exe
;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
shell\open\Command=i.exe
;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
shell\open\Default=1
;5Ld3r
shell\explore\Command=i.exe
;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

Спрятанные файлы и папки не показывает

Прим монтировании флешки тутже на ней появляются i.exe и autorun.inf с таким же содержанием

ІІ.Реестр после вируса

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
"*NewlyCreated*"=dword:00000000 |
"ActiveService"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нет
"Service"="jhyuiopewfjeswedadq" |
"Legacy"=dword:00000001 |
"ConfigFlags"=dword:00000000 |
"Class"="LegacyDriver" |
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
"DeviceDesc"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
"NextInstance"=dword:00000001 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
"ActiveService"="USBSTOR" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control] |

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
"Count"=dword:00000002 1
"NextInstance"=dword:00000002 1
"1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нет

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
"Count"=dword:00000003 2
"NextInstance"=dword:00000003 2
"2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нет

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
"0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нет
"Count"=dword:00000001 |
"NextInstance"=dword:00000001 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002 1
"ShowSuperHidden"=dword:00000000 1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
@=- - нет

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
@="I:\\i.exe" | нет
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
@="1" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
"Extended"="" |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000316 335

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000034A 369

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
"CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
"CachePrefix"=":2008101020081011: " | - no
"CacheLimit"=dword:00002000 |
"CacheOptions"=dword:0000000B |
"CacheRepair"=dword:00000000 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091 b1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"="C:\\WINDOWS\\system32\\amvo.exe"

ІІІ. Лечение вируса

Сделайте КМД файл следующего содержания

taskkill /f /im i.exe /t
taskkill /f /im amvo.exe /t
del /f /q /a:s "%temp%\gz8lf.dll"
del /f /q /a:s "%systemroot%\system32\amvo.exe"
del /f /q /a:s "%systemroot%\system32\amvo0.dll"
del /f /q /a:s "%systemroot%\system32\amvo1.dll"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHY UIOPEWFJESWEDADQ" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Removab leMedia\7&1fe0f241&0&RM\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&Pid_1101\A00000600001\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v Count /t reg_dword /d 00000001 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v NextInstance /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v Count /t reg_dword /d 00000002 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v NextInstance /t reg_dword /d 00000002 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v 2 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Enu m" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
pause


Все
Удачи

Вирус ntde1ect.com

І.Описание

%TEMP%\8y9vh.dll
%SYSTEMROOT%\system32\avpo.exe
%SYSTEMROOT%\system32\avpo0.dll
%SYSTEMROOT%\avpo1.dll (если запустить avpo.exe)

%SYSTEMROOT%\system32\avpo.exe - кидает в автозагрузку

На каждом диске: ntde1ect.com и autorun.inf с таким содержанием

[AutoRun]
open=ntde1ect.com
;;shell\open=Open(&O)
shell\open\Command=ntde1ect.com
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=ntde1ect.com

Спрятанные файлы и папки не показывает

При монтировании флешки сразу на ней появляются ntde1ect.com и autorun.inf

ІІ.Реестр после вируса
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
"Service"="rtygfsk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
"ujdew"=-
"ljej40"=-
"ljej41"=-
"ljej42"=-
"ljej43"=-

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
"Generation"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000246

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000027A

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa"="C:\\WINDOWS\\system32\\avpo.exe"

ІІІ.Лечение

Делаем кмд файл вот с таким кодом

taskkill /f /im ntde1ect.com /t
taskkill /f /im avpo.exe /t
del /f /q /a:s "%temp%\8y9vh.dll"
del /f /q /a:s "%systemroot%\system32\avpo.exe"
del /f /q /a:s "%systemroot%\system32\avpo0.dll"
del /f /q /a:s "%systemroot%\system32\avpo1.dll"
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTY GFSK" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Co nfig\jdgg40" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
pause


Всем успехов
iddqd
02.11.2008, 19:35
Для цього існують антивіруси ;)
elimS2
03.11.2008, 12:29
взагалі корисно у себе на флешці мати такі два цмд файли. аби лікувати компьютери на котрих стоїть говно-антівірус нод
B1t.exe
06.11.2008, 23:42
Есть более удобный и серьезный подход:
Не всегда могут работать корректно батники, особо в зараженых системах. и вообпе, наличие одного безобидного вируса НЕ исключает факт куча обидных ;)

1. Скачайте утилиту AVZ4 (http://z-oleg.com/secur/avz/download.php), обнолвяйте.
2. потом свойства системы > восстановление систтемы > ставить галочку ОТКЛЮЧИТЬ восстанавление системы. потом подтверждать отключение.
3. запустить AVZ. там настройки все на русском и все понятно. на правом стороне втбрать способы борьбы с малвари. выбрать диски(лакальные) нажимать ПУСК.
4. После сканирование и удаление малвари сделайте перезагрузку системы.
после перезагрузки могут выскакивать всякие ошибки или отчеты об ошибках. закрывайте все. потом уже можете обратно включить восстановление системы.

// Будут проблемы - напишите.
Lefftrey
07.11.2008, 12:37
Спасибо за статью! Этот вирус заразил очень многие флешки, по крайней мере у нас в универе, и какое то время НОД его не видел, лечился только касперским (ну если не учитывать всякие утилитки наподобие авз). Вирус по сути безобидный, как было сказано выше, но портит настроение серьезно