Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)
-   -   Дуже поширений вірус "і.ехе" та "ntde1ect.com" (https://forum.antichat.xyz/showthread.php?t=90143)

LostZero 02.11.2008 15:47
Дуже поширений вірус "і.ехе" та "ntde1ect.com"
 
В цій статті я розповім дуже докладно про ці віруси.

ВІРУС і.ехе

І.Опис
%TEMP%\gz8lf.dll
%SYSTEMROOT%\system32\amvo.exe
%SYSTEMROOT%\system32\amvo0.dll
%SYSTEMROOT%\system32\amvo1.dll (якщо запустить amvo.exe)

%SYSTEMROOT%\system32\amvo.exe - кидає в автозавантаження

На кожному диску: i.exe та autorun.inf з наступним змістом:

;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
[AutoRun]
;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
open=i.exe
;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
shell\open\Command=i.exe
;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
shell\open\Default=1
;5Ld3r
shell\explore\Command=i.exe
;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

Приховані файли і папки не показує.

При вставленні в комп флешки одразу на ній з'являються i.exe та autorun.inf з тим самим змістом.

ІІ.Реєстр після вірусу.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
"*NewlyCreated*"=dword:00000000 |
"ActiveService"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нема
"Service"="jhyuiopewfjeswedadq" |
"Legacy"=dword:00000001 |
"ConfigFlags"=dword:00000000 |
"Class"="LegacyDriver" |
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
"DeviceDesc"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
"NextInstance"=dword:00000001 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
"ActiveService"="USBSTOR" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1 .00\A00000600001&0\Control] |

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
"Count"=dword:00000002 1
"NextInstance"=dword:00000002 1
"1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нема

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
"Count"=dword:00000003 2
"NextInstance"=dword:00000003 2
"2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нема

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
"0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нема
"Count"=dword:00000001 |
"NextInstance"=dword:00000001 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002 1
"ShowSuperHidden"=dword:00000000 1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
@=- - нема

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
@="I:\\i.exe" | нема
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
@="1" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
"Extended"="" |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000316 335

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000034A 369

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
"CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
"CachePrefix"=":2008101020081011: " | - no
"CacheLimit"=dword:00002000 |
"CacheOptions"=dword:0000000B |
"CacheRepair"=dword:00000000 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091 b1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"="C:\\WINDOWS\\system32\\amvo.exe"

ІІІ. ЛІКУВАННЯ ВІРУСУ.

ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

taskkill /f /im i.exe /t
taskkill /f /im amvo.exe /t
del /f /q /a:s "%temp%\gz8lf.dll"
del /f /q /a:s "%systemroot%\system32\amvo.exe"
del /f /q /a:s "%systemroot%\system32\amvo0.dll"
del /f /q /a:s "%systemroot%\system32\amvo1.dll"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JH YUIOPEWFJESWEDADQ" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Remova bleMedia\7&1fe0f241&0&RM\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&P id_1101\A00000600001\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&V en_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600 001&0\Control" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v Count /t reg_dword /d 00000001 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v NextInstance /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En um" /v Count /t reg_dword /d 00000002 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En um" /v NextInstance /t reg_dword /d 00000002 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En um" /v 2 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\En um" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
pause


всЕ:)
УДАЧІ.

ВІрус ntde1ect.com

І.ОПИС

%TEMP%\8y9vh.dll
%SYSTEMROOT%\system32\avpo.exe
%SYSTEMROOT%\system32\avpo0.dll
%SYSTEMROOT%\avpo1.dll (якщо запустить avpo.exe)

%SYSTEMROOT%\system32\avpo.exe - кидає в автозавантаження

На кожному диску: ntde1ect.com та autorun.inf з наступним змістом:

[AutoRun]
open=ntde1ect.com
;;shell\open=Open(&O)
shell\open\Command=ntde1ect.com
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=ntde1ect.com

Приховані файли і папки не показує.

При вставленні в комп флешки одразу на ній з'являються ntde1ect.com та autorun.inf з тим самим змістом.

ІІ.Реєстр Після дій вірусу.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
"Service"="rtygfsk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
"ujdew"=-
"ljej40"=-
"ljej41"=-
"ljej42"=-
"ljej43"=-

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
"Generation"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000246

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000027A

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa"="C:\\WINDOWS\\system32\\avpo.exe"

ІІІ.Лікування

ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

taskkill /f /im ntde1ect.com /t
taskkill /f /im avpo.exe /t
del /f /q /a:s "%temp%\8y9vh.dll"
del /f /q /a:s "%systemroot%\system32\avpo.exe"
del /f /q /a:s "%systemroot%\system32\avpo0.dll"
del /f /q /a:s "%systemroot%\system32\avpo1.dll"
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RT YGFSK" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\C onfig\jdgg40" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
pause


Все:) УДАчі:)

4p3 02.11.2008 19:10
вирус і.ехе

І.Описание
%TEMP%\gz8lf.dll
%SYSTEMROOT%\system32\amvo.exe
%SYSTEMROOT%\system32\amvo0.dll
%SYSTEMROOT%\system32\amvo1.dll (если запустить amvo.exe)

%SYSTEMROOT%\system32\amvo.exe - в автозагрузке

На каждом диске: i.exe и autorun.inf с таким содержанием:

;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
[AutoRun]
;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
open=i.exe
;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
shell\open\Command=i.exe
;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
shell\open\Default=1
;5Ld3r
shell\explore\Command=i.exe
;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

Спрятанные файлы и папки не показывает

Прим монтировании флешки тутже на ней появляются i.exe и autorun.inf с таким же содержанием

ІІ.Реестр после вируса

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
"*NewlyCreated*"=dword:00000000 |
"ActiveService"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нет
"Service"="jhyuiopewfjeswedadq" |
"Legacy"=dword:00000001 |
"ConfigFlags"=dword:00000000 |
"Class"="LegacyDriver" |
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
"DeviceDesc"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
"NextInstance"=dword:00000001 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
"ActiveService"="USBSTOR" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1 .00\A00000600001&0\Control] |

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
"Count"=dword:00000002 1
"NextInstance"=dword:00000002 1
"1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нет

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
"Count"=dword:00000003 2
"NextInstance"=dword:00000003 2
"2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нет

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
"0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нет
"Count"=dword:00000001 |
"NextInstance"=dword:00000001 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002 1
"ShowSuperHidden"=dword:00000000 1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
@=- - нет

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
@="I:\\i.exe" | нет
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
@="1" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
"Extended"="" |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000316 335

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000034A 369

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
"CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
"CachePrefix"=":2008101020081011: " | - no
"CacheLimit"=dword:00002000 |
"CacheOptions"=dword:0000000B |
"CacheRepair"=dword:00000000 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091 b1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"="C:\\WINDOWS\\system32\\amvo.exe"

ІІІ. Лечение вируса

Сделайте КМД файл следующего содержания

taskkill /f /im i.exe /t
taskkill /f /im amvo.exe /t
del /f /q /a:s "%temp%\gz8lf.dll"
del /f /q /a:s "%systemroot%\system32\amvo.exe"
del /f /q /a:s "%systemroot%\system32\amvo0.dll"
del /f /q /a:s "%systemroot%\system32\amvo1.dll"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex p lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JH Y UIOPEWFJESWEDADQ" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Remova b leMedia\7&1fe0f241&0&RM\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&P id_1101\A00000600001\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&V en_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600 001&0\Control" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v Count /t reg_dword /d 00000001 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v NextInstance /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En u m" /v Count /t reg_dword /d 00000002 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En u m" /v NextInstance /t reg_dword /d 00000002 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En u m" /v 2 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\En u m" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
pause


Все
Удачи

Вирус ntde1ect.com

І.Описание

%TEMP%\8y9vh.dll
%SYSTEMROOT%\system32\avpo.exe
%SYSTEMROOT%\system32\avpo0.dll
%SYSTEMROOT%\avpo1.dll (если запустить avpo.exe)

%SYSTEMROOT%\system32\avpo.exe - кидает в автозагрузку

На каждом диске: ntde1ect.com и autorun.inf с таким содержанием

[AutoRun]
open=ntde1ect.com
;;shell\open=Open(&O)
shell\open\Command=ntde1ect.com
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=ntde1ect.com

Спрятанные файлы и папки не показывает

При монтировании флешки сразу на ней появляются ntde1ect.com и autorun.inf

ІІ.Реестр после вируса
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
"Service"="rtygfsk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
"ujdew"=-
"ljej40"=-
"ljej41"=-
"ljej42"=-
"ljej43"=-

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
"Generation"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000246

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000027A

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa"="C:\\WINDOWS\\system32\\avpo.exe"

ІІІ.Лечение

Делаем кмд файл вот с таким кодом

taskkill /f /im ntde1ect.com /t
taskkill /f /im avpo.exe /t
del /f /q /a:s "%temp%\8y9vh.dll"
del /f /q /a:s "%systemroot%\system32\avpo.exe"
del /f /q /a:s "%systemroot%\system32\avpo0.dll"
del /f /q /a:s "%systemroot%\system32\avpo1.dll"
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RT Y GFSK" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\C o nfig\jdgg40" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex p lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
pause


Всем успехов

iddqd 02.11.2008 19:35
Для цього існують антивіруси ;)

elimS2 03.11.2008 12:29
взагалі корисно у себе на флешці мати такі два цмд файли. аби лікувати компьютери на котрих стоїть говно-антівірус нод

B1t.exe 06.11.2008 23:42
Есть более удобный и серьезный подход:
Не всегда могут работать корректно батники, особо в зараженых системах. и вообпе, наличие одного безобидного вируса НЕ исключает факт куча обидных ;)

1. Скачайте утилиту AVZ4, обнолвяйте.
2. потом свойства системы > восстановление систтемы > ставить галочку ОТКЛЮЧИТЬ восстанавление системы. потом подтверждать отключение.
3. запустить AVZ. там настройки все на русском и все понятно. на правом стороне втбрать способы борьбы с малвари. выбрать диски(лакальные) нажимать ПУСК.
4. После сканирование и удаление малвари сделайте перезагрузку системы.
после перезагрузки могут выскакивать всякие ошибки или отчеты об ошибках. закрывайте все. потом уже можете обратно включить восстановление системы.

// Будут проблемы - напишите.

Lefftrey 07.11.2008 12:37
Спасибо за статью! Этот вирус заразил очень многие флешки, по крайней мере у нас в универе, и какое то время НОД его не видел, лечился только касперским (ну если не учитывать всякие утилитки наподобие авз). Вирус по сути безобидный, как было сказано выше, но портит настроение серьезно


Время: 11:35