товарищи, помогите удалить червяка waclt.exe, изза дтого гаденыша переставил три антивира(сначала было нод3 2,7; потом поставил нод32 3 версия; потом каспера 2009 и все антивири не нашли его, хотя вместе с виндом грузится падла я его так убиваю)
полные проверки делал в безопасном режиме, никуя
нашел в инете статью про этот червяк, где регится в реестре инфу, но в реестре я искал нинашел никуя
вообщем запарился прошу совета


вот инфа про червяка (никаких ниженаписанных симптомов нету но процесс то в память грузится!!_)
W32.Usbwatch (червь)
Признаки
При первом запуске создает следующие файлы:

%UserProfile%\Local Settings\Temp\devwinmgmt.msc
%UserProfile%\Temp\getself.bat
%CurrentFolder%\explore.exe
%CurrentFolder%\wauclt.exe
%CurrentFolder%\svchost.exe
%CurrentFolder%\svchost2.exe

Копирует себя в корень съемных и сетевых дисков под именем

%DriveLetter%\vmc[3_СЛУЧАЙНЫЕ_БУКВЫ].exe

Там же создает файл autorun.inf, обеспечивающий автозапуск копии червя при подключении диска к системе.

Через реестр отключает отображение в "Проводнике" скрытых файлов, включает автозапуск файлов autorun.inf:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "0"

Обеспечивает себе автозагрузку при каждом запуске Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""

Создает мутекс USBWATCHPR01 для предотвращения повторного запуска в память.

Собирает следующую информацию:

Имена пользователей
Запущенные процессы
Установленные сервисы
Переменные среды
Информация о жестком диске (включая емкость и объем свободного места)
Список всех файлов с диска C: по H: с расширениями *.doc;*.xls;*.pdf;*.ppt;*.lnk.

Собирает данные о сети:

Имя домена
Имя хоста
IP-адрес
Адрес шлюза
Адрес локального DNS-сервера
Содержимое ARP-таблицы
Настройки прокси

Собирает следующую информацию из Protected Storage:

Пароли Outlook Express
Пароли Internet Explorer для сайтов
Элементы автозаполнения Internet Explorer
Пароли MSN Explorer

Собранная информация сохраняется в следующих файлах:

%UserProfile%\Local Settings\Temp\~tmp.tmp
%UserProfile%\Local Settings\Temp\~tmp1.tmp
%UserProfile%\Local Settings\Temp\~tmp2.tmp
ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием на сетевые и съемные диски. Собирает информацию о настройках сети и учетных записях, а также пароли к электронной почте и веб-сайтам.

ну в описаниии же написано, что удалять и исправлять

находишь все эти файлы удаляешь, потом ключи в реестре удаляешь и там исправляешь про скрытые файлы и автозапуск, ставишь 1

%UserProfile% - C:\Documents and Settings\имя_пользователя
%CurrentFolder% - C:\WINDOWS (вроде как), тока explore.exe не удаляй

попробуй проверить свежим cureit-ом (http://file.ya1.ru/2cadced14f4c62880eb3a9a2e4274cd2)и напиши помогло-нет.

ну в описаниии же написано, что удалять и исправлять

находишь все эти файлы удаляешь, потом ключи в реестре удаляешь и там исправляешь про скрытые файлы и автозапуск, ставишь 1

%UserProfile% - C:\Documents and Settings\имя_пользователя
%CurrentFolder% - C:\WINDOWS (вроде как), тока explore.exe не удаляй

глубокоуважаемый house! Я же вроде ясно порусски написал, что червяк никак себя не проявляет, т.е. нету авторан.инф, нету файлов червяка здесь (%UserProfile% - C:\Documents and Settings\имя_пользователя) и здесь (%CurrentFolder% - C:\WINDOWS), скрытые файлы и папки показывает, проверял через все возможные проги и утилиты, начиная от тоталкомандира и заканчивая винраром, даже сами "окошки" показывают скрыте файлы и папки. Нигде, повторяю НИГДЕ нету следов червяка и в пресловутом реестре по вышеуказанному адресу тоже его следов нет, но откудато он грузится в память, суго!

я не нуб, но с такой проблемой я встречаюсь впервые, мне только нужно узнать откуда он, суго, грузится,я ее вручную (так надежнее) удалю

вообще червяк не подает признаков жизни(тока грузится в память, съедает около 6 мегов), нискем не контачит, невырывается в инет, тупо в память грузится и все
я так думаю что червяка обеврдели (или обезвредил) один из антивирусов но не до конца и вот я хочу его добить

вроде ясно выразил свои мысли по этому поводу, прошу хотя бы напомнить прогу которая показывает какой процесс откуда грузится(вроде был такой), а то подзабыл изза "ненадобности"

с уважением , надеждой на взаимопонимание и на дальнейшее конструктивное сотрудничество KenJi


to kilabot

уже на проверке, потом напишу результаты

попробуй проверить свежим cureit-ом (http://file.ya1.ru/2cadced14f4c62880eb3a9a2e4274cd2)и напиши помогло-нет.

cureit пока не помогает
спецом оставил в памяти процесс, в бустрой проверке вроде проверял его (строка внизу программы) но чето мимо прошел О_о

прошу хотя бы напомнить прогу которая показывает какой процесс откуда грузится(вроде был такой), а то подзабыл изза "ненадобности"

Процесс эксплорер (http://soft.ya1.ru/folder.php?id=609) подойдёт?

Процесс эксплорер (http://soft.ya1.ru/folder.php?id=609) подойдёт?

спасибо, вот что мне нужно было
вечером отпишусь

всем спасиба за внимание, отдельное спасибо kilabot'у, тему закрываю так как проблема решена