Форум АНТИЧАТ - Дуже поширений вірус "і.ехе" та "ntde1ect.com"

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Безопасность
Дуже поширений вірус "і.ехе" та "ntde1ect.com"

Опции темы

Поиск в этой теме

Опции просмотра

Дуже поширений вірус "і.ехе" та "ntde1ect.com"

02.11.2008, 15:47

LostZero

Новичок

Регистрация: 19.01.2008

Сообщений: 10

Провел на форуме:
345584

Репутация: 36

Дуже поширений вірус "і.ехе" та "ntde1ect.com"

В цій статті я розповім дуже докладно про ці віруси.

ВІРУС і.ехе

І.Опис
%TEMP%\gz8lf.dll
%SYSTEMROOT%\system32\amvo.exe
%SYSTEMROOT%\system32\amvo0.dll
%SYSTEMROOT%\system32\amvo1.dll (якщо запустить amvo.exe)

%SYSTEMROOT%\system32\amvo.exe - кидає в автозавантаження

На кожному диску: i.exe та autorun.inf з наступним змістом:

;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
[AutoRun]
;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
open=i.exe
;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
shell\open\Command=i.exe
;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
shell\open\Default=1
;5Ld3r
shell\explore\Command=i.exe
;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

Приховані файли і папки не показує.

При вставленні в комп флешки одразу на ній з'являються i.exe та autorun.inf з тим самим змістом.

ІІ.Реєстр після вірусу.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
"*NewlyCreated*"=dword:00000000 |
"ActiveService"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нема
"Service"="jhyuiopewfjeswedadq" |
"Legacy"=dword:00000001 |
"ConfigFlags"=dword:00000000 |
"Class"="LegacyDriver" |
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
"DeviceDesc"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
"NextInstance"=dword:00000001 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
"ActiveService"="USBSTOR" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1 .00\A00000600001&0\Control] |

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
"Count"=dword:00000002 1
"NextInstance"=dword:00000002 1
"1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нема

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
"Count"=dword:00000003 2
"NextInstance"=dword:00000003 2
"2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нема

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
"0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нема
"Count"=dword:00000001 |
"NextInstance"=dword:00000001 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002 1
"ShowSuperHidden"=dword:00000000 1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
@=- - нема

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
@="I:\\i.exe" | нема
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
@="1" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
"Extended"="" |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000316 335

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000034A 369

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
"CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
"CachePrefix"=":2008101020081011: " | - no
"CacheLimit"=dword:00002000 |
"CacheOptions"=dword:0000000B |
"CacheRepair"=dword:00000000 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091 b1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"="C:\\WINDOWS\\system32\\amvo.exe"

ІІІ. ЛІКУВАННЯ ВІРУСУ.

ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

taskkill /f /im i.exe /t
taskkill /f /im amvo.exe /t
del /f /q /a:s "%temp%\gz8lf.dll"
del /f /q /a:s "%systemroot%\system32\amvo.exe"
del /f /q /a:s "%systemroot%\system32\amvo0.dll"
del /f /q /a:s "%systemroot%\system32\amvo1.dll"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JH YUIOPEWFJESWEDADQ" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Remova bleMedia\7&1fe0f241&0&RM\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&P id_1101\A00000600001\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&V en_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600 001&0\Control" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v Count /t reg_dword /d 00000001 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v NextInstance /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En um" /v Count /t reg_dword /d 00000002 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En um" /v NextInstance /t reg_dword /d 00000002 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En um" /v 2 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\En um" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
pause

всЕ

УДАЧІ.

ВІрус ntde1ect.com

І.ОПИС

%TEMP%\8y9vh.dll
%SYSTEMROOT%\system32\avpo.exe
%SYSTEMROOT%\system32\avpo0.dll
%SYSTEMROOT%\avpo1.dll (якщо запустить avpo.exe)

%SYSTEMROOT%\system32\avpo.exe - кидає в автозавантаження

На кожному диску: ntde1ect.com та autorun.inf з наступним змістом:

[AutoRun]
open=ntde1ect.com
;;shell\open=Open(&O)
shell\open\Command=ntde1ect.com
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=ntde1ect.com

Приховані файли і папки не показує.

При вставленні в комп флешки одразу на ній з'являються ntde1ect.com та autorun.inf з тим самим змістом.

ІІ.Реєстр Після дій вірусу.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
"Service"="rtygfsk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
"ujdew"=-
"ljej40"=-
"ljej41"=-
"ljej42"=-
"ljej43"=-

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
"Generation"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000246

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000027A

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa"="C:\\WINDOWS\\system32\\avpo.exe"

ІІІ.Лікування

ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

taskkill /f /im ntde1ect.com /t
taskkill /f /im avpo.exe /t
del /f /q /a:s "%temp%\8y9vh.dll"
del /f /q /a:s "%systemroot%\system32\avpo.exe"
del /f /q /a:s "%systemroot%\system32\avpo0.dll"
del /f /q /a:s "%systemroot%\system32\avpo1.dll"
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RT YGFSK" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\C onfig\jdgg40" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
pause

Все

УДАчі

Последний раз редактировалось LostZero; 02.11.2008 в 15:53..

02.11.2008, 19:10

4p3

Участник форума

Регистрация: 18.08.2008

Сообщений: 159

Провел на форуме:
750247

Репутация: 92

Отправить сообщение для 4p3 с помощью ICQ

вирус і.ехе

І.Описание
%TEMP%\gz8lf.dll
%SYSTEMROOT%\system32\amvo.exe
%SYSTEMROOT%\system32\amvo0.dll
%SYSTEMROOT%\system32\amvo1.dll (если запустить amvo.exe)

%SYSTEMROOT%\system32\amvo.exe - в автозагрузке

На каждом диске: i.exe и autorun.inf с таким содержанием:

;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
[AutoRun]
;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
open=i.exe
;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
shell\open\Command=i.exe
;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
shell\open\Default=1
;5Ld3r
shell\explore\Command=i.exe
;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

Спрятанные файлы и папки не показывает

Прим монтировании флешки тутже на ней появляются i.exe и autorun.inf с таким же содержанием

ІІ.Реестр после вируса

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
"*NewlyCreated*"=dword:00000000 |
"ActiveService"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нет
"Service"="jhyuiopewfjeswedadq" |
"Legacy"=dword:00000001 |
"ConfigFlags"=dword:00000000 |
"Class"="LegacyDriver" |
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
"DeviceDesc"="jhyuiopewfjeswedadq" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
"NextInstance"=dword:00000001 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
"ActiveService"="USBSTOR" |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1 .00\A00000600001&0\Control] |

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
"Count"=dword:00000002 1
"NextInstance"=dword:00000002 1
"1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нет

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
"Count"=dword:00000003 2
"NextInstance"=dword:00000003 2
"2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Dis k&Rev_1.00\\A00000600001&0" - нет

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
"0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нет
"Count"=dword:00000001 |
"NextInstance"=dword:00000001 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002 1
"ShowSuperHidden"=dword:00000000 1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
@=- - нет

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
@="I:\\i.exe" | нет
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
@="1" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
@="I:\\i.exe" |
|
[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
"Extended"="" |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000316 335

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000034A 369

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
"CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
"CachePrefix"=":2008101020081011: " | - no
"CacheLimit"=dword:00002000 |
"CacheOptions"=dword:0000000B |
"CacheRepair"=dword:00000000 |

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091 b1

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"="C:\\WINDOWS\\system32\\amvo.exe"

ІІІ. Лечение вируса

Сделайте КМД файл следующего содержания

taskkill /f /im i.exe /t
taskkill /f /im amvo.exe /t
del /f /q /a:s "%temp%\gz8lf.dll"
del /f /q /a:s "%systemroot%\system32\amvo.exe"
del /f /q /a:s "%systemroot%\system32\amvo0.dll"
del /f /q /a:s "%systemroot%\system32\amvo1.dll"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex p lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JH Y UIOPEWFJESWEDADQ" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Remova b leMedia\7&1fe0f241&0&RM\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&P id_1101\A00000600001\Control" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&V en_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600 001&0\Control" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v Count /t reg_dword /d 00000001 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v NextInstance /t reg_dword /d 00000001 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\E num" /v 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En u m" /v Count /t reg_dword /d 00000002 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En u m" /v NextInstance /t reg_dword /d 00000002 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\En u m" /v 2 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\En u m" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
pause

Все
Удачи

Вирус ntde1ect.com

І.Описание

%TEMP%\8y9vh.dll
%SYSTEMROOT%\system32\avpo.exe
%SYSTEMROOT%\system32\avpo0.dll
%SYSTEMROOT%\avpo1.dll (если запустить avpo.exe)

%SYSTEMROOT%\system32\avpo.exe - кидает в автозагрузку

На каждом диске: ntde1ect.com и autorun.inf с таким содержанием

[AutoRun]
open=ntde1ect.com
;;shell\open=Open(&O)
shell\open\Command=ntde1ect.com
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=ntde1ect.com

Спрятанные файлы и папки не показывает

При монтировании флешки сразу на ней появляются ntde1ect.com и autorun.inf

ІІ.Реестр после вируса
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"CheckedValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
"Service"="rtygfsk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rtygfsk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
"ujdew"=-
"ljej40"=-
"ljej41"=-
"ljej42"=-
"ljej43"=-

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
"Generation"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
"Count"=dword:00000246

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
"Count"=dword:0000027A

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa"="C:\\WINDOWS\\system32\\avpo.exe"

ІІІ.Лечение

Делаем кмд файл вот с таким кодом

taskkill /f /im ntde1ect.com /t
taskkill /f /im avpo.exe /t
del /f /q /a:s "%temp%\8y9vh.dll"
del /f /q /a:s "%systemroot%\system32\avpo.exe"
del /f /q /a:s "%systemroot%\system32\avpo0.dll"
del /f /q /a:s "%systemroot%\system32\avpo1.dll"
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RT Y GFSK" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\C o nfig\jdgg40" /f
reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex p lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
pause

Всем успехов

02.11.2008, 19:35

~~iddqd~~

Banned

Регистрация: 19.12.2007

Сообщений: 924

Провел на форуме:
4192567

Репутация: 2145

Для цього існують антивіруси

03.11.2008, 12:29

elimS2

Постоянный

Регистрация: 21.03.2008

Сообщений: 400

Провел на форуме:
1606680

Репутация: 367

Отправить сообщение для elimS2 с помощью ICQ

взагалі корисно у себе на флешці мати такі два цмд файли. аби лікувати компьютери на котрих стоїть говно-антівірус нод

06.11.2008, 23:42

B1t.exe

Постоянный

Регистрация: 06.11.2006

Сообщений: 865

Провел на форуме:
1977708

Репутация: 208

Есть более удобный и серьезный подход:
Не всегда могут работать корректно батники, особо в зараженых системах. и вообпе, наличие одного безобидного вируса НЕ исключает факт куча обидных

1. Скачайте утилиту AVZ4, обнолвяйте.
2. потом свойства системы > восстановление систтемы > ставить галочку ОТКЛЮЧИТЬ восстанавление системы. потом подтверждать отключение.
3. запустить AVZ. там настройки все на русском и все понятно. на правом стороне втбрать способы борьбы с малвари. выбрать диски(лакальные) нажимать ПУСК.
4. После сканирование и удаление малвари сделайте перезагрузку системы.
после перезагрузки могут выскакивать всякие ошибки или отчеты об ошибках. закрывайте все. потом уже можете обратно включить восстановление системы.

// Будут проблемы - напишите.

Последний раз редактировалось B1t.exe; 06.11.2008 в 23:46..

07.11.2008, 12:37

Lefftrey

Новичок

Регистрация: 04.11.2008

Сообщений: 3

Провел на форуме:
95282

Репутация: 0

Спасибо за статью! Этот вирус заразил очень многие флешки, по крайней мере у нас в универе, и какое то время НОД его не видел, лечился только касперским (ну если не учитывать всякие утилитки наподобие авз). Вирус по сути безобидный, как было сказано выше, но портит настроение серьезно

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход