Дуже поширений вірус "і.ехе" та "ntde1ect.com"

Discussion in 'Безопасность и Анонимность' started by LostZero, 2 Nov 2008.

  1. LostZero

    LostZero Member

    Joined:
    19 Jan 2008
    Messages:
    14
    Likes Received:
    18
    Reputations:
    0
    В цій статті я розповім дуже докладно про ці віруси.

    ВІРУС і.ехе

    І.Опис
    %TEMP%\gz8lf.dll
    %SYSTEMROOT%\system32\amvo.exe
    %SYSTEMROOT%\system32\amvo0.dll
    %SYSTEMROOT%\system32\amvo1.dll (якщо запустить amvo.exe)

    %SYSTEMROOT%\system32\amvo.exe - кидає в автозавантаження

    На кожному диску: i.exe та autorun.inf з наступним змістом:

    ;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJsr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLcfllJ6H0j29k54SjUr0pDll
    [AutoRun]
    ;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2sawDaLwKokpLw32dq3wr9D42S8l
    open=i.exe
    ;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290io4s1fakKJk06rj359Sd0DaJqlcaAl
    shell\open\Command=i.exe
    ;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsqK52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjka52D3e81Z352Kokq7AIlskXiajl
    shell\open\Default=1
    ;5Ld3r
    shell\explore\Command=i.exe
    ;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKoisXo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4snLSjwLka32iSrrdsslwkKd

    Приховані файли і папки не показує.

    При вставленні в комп флешки одразу на ній з'являються i.exe та autorun.inf з тим самим змістом.

    ІІ.Реєстр після вірусу.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHYUIOPEWFJESWEDADQ] |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
    "*NewlyCreated*"=dword:00000000 |
    "ActiveService"="jhyuiopewfjeswedadq" |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нема
    "Service"="jhyuiopewfjeswedadq" |
    "Legacy"=dword:00000001 |
    "ConfigFlags"=dword:00000000 |
    "Class"="LegacyDriver" |
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
    "DeviceDesc"="jhyuiopewfjeswedadq" |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHYUIOPEWFJESWEDADQ] |
    "NextInstance"=dword:00000001 |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\STORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&Pid_1101\A00000600001\Control] |
    "ActiveService"="USBSTOR" |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control] |

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum]
    "Count"=dword:00000002 1
    "NextInstance"=dword:00000002 1
    "1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нема

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PartMgr\Enum]
    "Count"=dword:00000003 2
    "NextInstance"=dword:00000003 2
    "2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нема

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] |
    "0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нема
    "Count"=dword:00000001 |
    "NextInstance"=dword:00000001 |

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000002 1
    "ShowSuperHidden"=dword:00000000 1

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
    @=- - нема

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
    @="I:\\i.exe" | нема
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
    @="I:\\i.exe" |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
    @="1" |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
    @="I:\\i.exe" |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
    "Extended"="" |

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
    "Count"=dword:00000316 335

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
    "Count"=dword:0000034A 369

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
    "CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020081011" |
    "CachePrefix"=":2008101020081011: " | - no
    "CacheLimit"=dword:00002000 |
    "CacheOptions"=dword:0000000B |
    "CacheRepair"=dword:00000000 |

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:00000091 b1

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
    "amva"="C:\\WINDOWS\\system32\\amvo.exe"

    ІІІ. ЛІКУВАННЯ ВІРУСУ.

    ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

    taskkill /f /im i.exe /t
    taskkill /f /im amvo.exe /t
    del /f /q /a:s "%temp%\gz8lf.dll"
    del /f /q /a:s "%systemroot%\system32\amvo.exe"
    del /f /q /a:s "%systemroot%\system32\amvo0.dll"
    del /f /q /a:s "%systemroot%\system32\amvo1.dll"
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHYUIOPEWFJESWEDADQ" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\RemovableMedia\7&1fe0f241&0&RM\Control" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&Pid_1101\A00000600001\Control" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control" /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v Count /t reg_dword /d 00000001 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v NextInstance /t reg_dword /d 00000001 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v 1 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enum" /v Count /t reg_dword /d 00000002 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enum" /v NextInstance /t reg_dword /d 00000002 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enum" /v 2 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum" /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
    pause


    всЕ:)
    УДАЧІ.

    ВІрус ntde1ect.com

    І.ОПИС

    %TEMP%\8y9vh.dll
    %SYSTEMROOT%\system32\avpo.exe
    %SYSTEMROOT%\system32\avpo0.dll
    %SYSTEMROOT%\avpo1.dll (якщо запустить avpo.exe)

    %SYSTEMROOT%\system32\avpo.exe - кидає в автозавантаження

    На кожному диску: ntde1ect.com та autorun.inf з наступним змістом:

    [AutoRun]
    open=ntde1ect.com
    ;;shell\open=Open(&O)
    shell\open\Command=ntde1ect.com
    shell\open\Default=1
    ;;shell\explore=Manager(&X)
    shell\explore\Command=ntde1ect.com

    Приховані файли і папки не показує.

    При вставленні в комп флешки одразу на ній з'являються ntde1ect.com та autorun.inf з тим самим змістом.

    ІІ.Реєстр Після дій вірусу.
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTYGFSK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTYGFSK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTYGFSK\0000\Control]
    "*NewlyCreated*"=dword:00000000
    "ActiveService"="rtygfsk"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTYGFSK\0000]
    "Service"="rtygfsk"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="rtygfsk"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTYGFSK]
    "NextInstance"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]
    "ujdew"=-
    "ljej40"=-
    "ljej41"=-
    "ljej42"=-
    "ljej43"=-

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000002
    "ShowSuperHidden"=dword:00000000

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
    "Generation"=dword:00000001

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
    "Count"=dword:00000246

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
    "Count"=dword:0000027A

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
    "avpa"="C:\\WINDOWS\\system32\\avpo.exe"

    ІІІ.Лікування

    ЗРОБІТЬ КМД ФАЙЛ І В НЬОГО ВПИШІТЬ:

    taskkill /f /im ntde1ect.com /t
    taskkill /f /im avpo.exe /t
    del /f /q /a:s "%temp%\8y9vh.dll"
    del /f /q /a:s "%systemroot%\system32\avpo.exe"
    del /f /q /a:s "%systemroot%\system32\avpo0.dll"
    del /f /q /a:s "%systemroot%\system32\avpo1.dll"
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTYGFSK" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
    pause


    Все:) УДАчі:)
     
    #1 LostZero, 2 Nov 2008
    Last edited: 2 Nov 2008
    10 people like this.
  2. 4p3

    4p3 Elder - Старейшина

    Joined:
    18 Aug 2008
    Messages:
    142
    Likes Received:
    30
    Reputations:
    0
    вирус і.ехе

    І.Описание
    %TEMP%\gz8lf.dll
    %SYSTEMROOT%\system32\amvo.exe
    %SYSTEMROOT%\system32\amvo0.dll
    %SYSTEMROOT%\system32\amvo1.dll (если запустить amvo.exe)

    %SYSTEMROOT%\system32\amvo.exe - в автозагрузке

    На каждом диске: i.exe и autorun.inf с таким содержанием:

    ;OdLaDidL43kkakqksfD221IKlsalSaJcqDd2nAAwasjoekAKJ sr0Ldjo0o47dsifkqwwlwkidaks3l0waKsk7aL7Kk42ew4iKLc fllJ6H0j29k54SjUr0pDll
    [AutoRun]
    ;SAf5eD3iw4F34olH1wrKf7lmOer31Ladoa3aKr01d3s2lspwf 3aikZ9a2Kli4doKaXs40i9l2Kck343ijDjDd2KdeajSI473l2s awDaLwKokpLw32dq3wr9D42S8l
    open=i.exe
    ;dK3edw81woi35wa3w8lrjqodlJ3aOdD374k9els0AwKjSw290 io4s1fakKJk06rj359Sd0DaJqlcaAl
    shell\open\Command=i.exe
    ;oLwdDdA4sqdfrL8qwF33i7w1lc0ka4okkwijKD4wjaiS13rsq K52JwDJO4a3kJ03Km9rsioK3Dlpsosl4Jjae4sws9cla8rdKjk a52D3e81Z352Kokq7AIlskXiajl
    shell\open\Default=1
    ;5Ld3r
    shell\explore\Command=i.exe
    ;oiwkKsj0K4AJ0LDDwfdwai2a3fKpkikDpsiD2Opj7ol1eKois Xo3sa0A0L224k0ei1s8DoZqe3wDskaaDlrKowklw5ae3Jqqa4s nLSjwLka32iSrrdsslwkKd

    Спрятанные файлы и папки не показывает

    Прим монтировании флешки тутже на ней появляются i.exe и autorun.inf с таким же содержанием

    ІІ.Реестр после вируса

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
    "CheckedValue"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000\Control] |
    "*NewlyCreated*"=dword:00000000 |
    "ActiveService"="jhyuiopewfjeswedadq" |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ\0000] | нет
    "Service"="jhyuiopewfjeswedadq" |
    "Legacy"=dword:00000001 |
    "ConfigFlags"=dword:00000000 |
    "Class"="LegacyDriver" |
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" |
    "DeviceDesc"="jhyuiopewfjeswedadq" |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_JHYUIOPEWFJESWEDADQ] |
    "NextInstance"=dword:00000001 |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\S TORAGE\RemovableMedia\7&1fe0f241&0&RM\Control] |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SB\Vid_10d6&Pid_1101\A00000600001\Control] |
    "ActiveService"="USBSTOR" |
    |
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control] |

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Disk\Enum]
    "Count"=dword:00000002 1
    "NextInstance"=dword:00000002 1
    "1"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нет

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PartMgr\Enum]
    "Count"=dword:00000003 2
    "NextInstance"=dword:00000003 2
    "2"="USBSTOR\\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\\A00000600001&0" - нет

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR\Enum] |
    "0"="USB\\Vid_10d6&Pid_1101\\A00000600001" | нет
    "Count"=dword:00000001 |
    "NextInstance"=dword:00000001 |

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
    "Hidden"=dword:00000002 1
    "ShowSuperHidden"=dword:00000000 1

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell]
    @=- - нет

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
    @="I:\\i.exe" | нет
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore\Command] |
    @="I:\\i.exe" |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open] |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Default] |
    @="1" |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open\Command] |
    @="I:\\i.exe" |
    |
    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun] |
    "Extended"="" |

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
    "Count"=dword:00000316 335

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
    "Count"=dword:0000034A 369

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011] |
    "CachePath"="%USERPROFILE%\\Local Settings\\History\\History.IE5\\MSHist012008101020 081011" |
    "CachePrefix"=":2008101020081011: " | - no
    "CacheLimit"=dword:00002000 |
    "CacheOptions"=dword:0000000B |
    "CacheRepair"=dword:00000000 |

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
    "NoDriveTypeAutoRun"=dword:00000091 b1

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
    "amva"="C:\\WINDOWS\\system32\\amvo.exe"

    ІІІ. Лечение вируса

    Сделайте КМД файл следующего содержания

    taskkill /f /im i.exe /t
    taskkill /f /im amvo.exe /t
    del /f /q /a:s "%temp%\gz8lf.dll"
    del /f /q /a:s "%systemroot%\system32\amvo.exe"
    del /f /q /a:s "%systemroot%\system32\amvo0.dll"
    del /f /q /a:s "%systemroot%\system32\amvo1.dll"
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JHY UIOPEWFJESWEDADQ" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Removab leMedia\7&1fe0f241&0&RM\Control" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USB\Vid_10d6&Pid_1101\A00000600001\Control" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_USB_2.0&Prod_(HS)_Flash_Disk&Rev_1.00\A00000600001&0\Control" /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v Count /t reg_dword /d 00000001 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v NextInstance /t reg_dword /d 00000001 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /v 1 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v Count /t reg_dword /d 00000002 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v NextInstance /t reg_dword /d 00000002 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enu m" /v 2 /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Enu m" /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\shell" /v @ /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\AutoRun" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\explore" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\{bd66ecf2-84cf-11dd-815c-da9427b907b2}\Shell\open" /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000335 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000369 /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\5.0\Cache\Extensible Cache\MSHist012008101020081011" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v amva /f
    pause


    Все
    Удачи

    Вирус ntde1ect.com

    І.Описание

    %TEMP%\8y9vh.dll
    %SYSTEMROOT%\system32\avpo.exe
    %SYSTEMROOT%\system32\avpo0.dll
    %SYSTEMROOT%\avpo1.dll (если запустить avpo.exe)

    %SYSTEMROOT%\system32\avpo.exe - кидает в автозагрузку

    На каждом диске: ntde1ect.com и autorun.inf с таким содержанием

    [AutoRun]
    open=ntde1ect.com
    ;;shell\open=Open(&O)
    shell\open\Command=ntde1ect.com
    shell\open\Default=1
    ;;shell\explore=Manager(&X)
    shell\explore\Command=ntde1ect.com

    Спрятанные файлы и папки не показывает

    При монтировании флешки сразу на ней появляются ntde1ect.com и autorun.inf

    ІІ.Реестр после вируса
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
    "CheckedValue"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000\Control]
    "*NewlyCreated*"=dword:00000000
    "ActiveService"="rtygfsk"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK\0000]
    "Service"="rtygfsk"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="rtygfsk"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTYGFSK]
    "NextInstance"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\a347scsi\Config\jdgg40]
    "ujdew"=-
    "ljej40"=-
    "ljej41"=-
    "ljej42"=-
    "ljej43"=-

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]
    "Hidden"=dword:00000002
    "ShowSuperHidden"=dword:00000000

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}]
    "Generation"=dword:00000001

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore]
    "Count"=dword:00000246

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore]
    "Count"=dword:0000027A

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
    "avpa"="C:\\WINDOWS\\system32\\avpo.exe"

    ІІІ.Лечение

    Делаем кмд файл вот с таким кодом

    taskkill /f /im ntde1ect.com /t
    taskkill /f /im avpo.exe /t
    del /f /q /a:s "%temp%\8y9vh.dll"
    del /f /q /a:s "%systemroot%\system32\avpo.exe"
    del /f /q /a:s "%systemroot%\system32\avpo0.dll"
    del /f /q /a:s "%systemroot%\system32\avpo1.dll"
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTY GFSK" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Co nfig\jdgg40" /f
    reg delete "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run" /v avpa /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v Hidden /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000001 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MountPoints2\CPC\Volume\{790694c2-8c6d-11dd-816c-8b9ee64cf7c4}" /v Generation /t reg_dword /d 00000002 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}\iexplore" /v Count /t reg_dword /d 00000262 /f
    reg add "HKU\S-1-5-21-1085031214-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\iexplore" /v Count /t reg_dword /d 00000296 /f
    pause


    Всем успехов
     
    #2 4p3, 2 Nov 2008
  3. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    Для цього існують антивіруси ;)
     
    #3 iddqd, 2 Nov 2008
    4 people like this.
  4. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    взагалі корисно у себе на флешці мати такі два цмд файли. аби лікувати компьютери на котрих стоїть говно-антівірус нод
     
    #4 elimS2, 3 Nov 2008
  5. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    Есть более удобный и серьезный подход:
    Не всегда могут работать корректно батники, особо в зараженых системах. и вообпе, наличие одного безобидного вируса НЕ исключает факт куча обидных ;)

    1. Скачайте утилиту AVZ4, обнолвяйте.
    2. потом свойства системы > восстановление систтемы > ставить галочку ОТКЛЮЧИТЬ восстанавление системы. потом подтверждать отключение.
    3. запустить AVZ. там настройки все на русском и все понятно. на правом стороне втбрать способы борьбы с малвари. выбрать диски(лакальные) нажимать ПУСК.
    4. После сканирование и удаление малвари сделайте перезагрузку системы.
    после перезагрузки могут выскакивать всякие ошибки или отчеты об ошибках. закрывайте все. потом уже можете обратно включить восстановление системы.

    // Будут проблемы - напишите.
     
    #5 B1t.exe, 6 Nov 2008
    Last edited: 6 Nov 2008
  6. Lefftrey

    Lefftrey New Member

    Joined:
    4 Nov 2008
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо за статью! Этот вирус заразил очень многие флешки, по крайней мере у нас в универе, и какое то время НОД его не видел, лечился только касперским (ну если не учитывать всякие утилитки наподобие авз). Вирус по сути безобидный, как было сказано выше, но портит настроение серьезно
     
    #6 Lefftrey, 7 Nov 2008
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.