Для модификации "G" описания не нашел, но есть описание для "А". Думаю, оно аналогично...

Email-Worm.Win32.Brontok.a

Другие названия
Email-Worm.Win32.Brontok.a («Лаборатория Касперского») также известен как: W32/Rontokbro.gen@MM (McAfee),   W32.Rontokbro@mm (Symantec),   BackDoor.Generic.1138 (Doctor Web),   W32/Korbo-B (Sophos),   Worm/Brontok.a (H+BEDV),   Win32.Brontok.A@mm (SOFTWIN),   Worm.Mytob.GH (ClamAV),   W32/Brontok.C.worm (Panda),   Win32/Brontok.E (Eset)

Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.

Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX

XX – 2 случайные цифры.

Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма: <пустое поле>
Имя файла-вложения: Kangen.exe

Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry

http://www.viruslist.com/ru/viruses/enc … usid=96428

точнее почти такой же! =(( БЛИН! Он мне поставил запрет на изменение реестра и убрал "Свойства папок" в "Сервисе" Винды =// Ну и что теперь делать?! БЫстрее ответьте БЛИН!

Bream написал(а):

Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry

Поэтому при загрузке ЛЮБОЙ такой программы, он сразу критически перезагружает комп =// Я же тоже не первый раз с вирусами в ручную борюсь =) НО вот ЭТОТ - зараза - ваще ЖЕСТЬ! =(

HELP!

есть другой вариант:
утилиткой которая может делать taskkill, например хорошая штука TaskInfo (производитель larsn, позволяет отслеживать процессы вплоть до адреса в памяти) убиваете процессы вирусов (lsass, winlogon...) и зачищаете зараженные папки, после правите реестр :)

Fatboy, Храмовник, Bream, спасибо мужики... попробую сегодня вечером ОБЯЗАТЕЛЬНО! ;)

Только вот у меня не ЭТОТ вирус а похожий =/ Как узнать под каким именем он прописался у меня в реестре? =/

Исправлено TEHb (15.02.07 16:28)

а где его взять? Как прога прально называется?

БгагагА! Я его кажется нечайно ручками все-таки убил %-) Короче все ОК! :) XPTweaker рулит ;)

У кого-нибудь сохранился хил-рег? а то меня этот вирус уже заколебал!

Кстати инфа тут не ПОЛНАЯ понему =/  надо в он-лайн базе касперского про него почитать.. там еще пара-тройка путей написана, куда он прописывается и какие файлы создает %-)