KenJi
27.08.2008, 15:01
товарищи, помогите удалить червяка waclt.exe, изза дтого гаденыша переставил три антивира(сначала было нод3 2,7; потом поставил нод32 3 версия; потом каспера 2009 и все антивири не нашли его, хотя вместе с виндом грузится падла я его так убиваю)
полные проверки делал в безопасном режиме, никуя
нашел в инете статью про этот червяк, где регится в реестре инфу, но в реестре я искал нинашел никуя
вообщем запарился прошу совета
вот инфа про червяка (никаких ниженаписанных симптомов нету но процесс то в память грузится!!_)
W32.Usbwatch (червь)
Признаки
При первом запуске создает следующие файлы:
%UserProfile%\Local Settings\Temp\devwinmgmt.msc
%UserProfile%\Temp\getself.bat
%CurrentFolder%\explore.exe
%CurrentFolder%\wauclt.exe
%CurrentFolder%\svchost.exe
%CurrentFolder%\svchost2.exe
Копирует себя в корень съемных и сетевых дисков под именем
%DriveLetter%\vmc[3_СЛУЧАЙНЫЕ_БУКВЫ].exe
Там же создает файл autorun.inf, обеспечивающий автозапуск копии червя при подключении диска к системе.
Через реестр отключает отображение в "Проводнике" скрытых файлов, включает автозапуск файлов autorun.inf:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "0"
Обеспечивает себе автозагрузку при каждом запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""
Создает мутекс USBWATCHPR01 для предотвращения повторного запуска в память.
Собирает следующую информацию:
Имена пользователей
Запущенные процессы
Установленные сервисы
Переменные среды
Информация о жестком диске (включая емкость и объем свободного места)
Список всех файлов с диска C: по H: с расширениями *.doc;*.xls;*.pdf;*.ppt;*.lnk.
Собирает данные о сети:
Имя домена
Имя хоста
IP-адрес
Адрес шлюза
Адрес локального DNS-сервера
Содержимое ARP-таблицы
Настройки прокси
Собирает следующую информацию из Protected Storage:
Пароли Outlook Express
Пароли Internet Explorer для сайтов
Элементы автозаполнения Internet Explorer
Пароли MSN Explorer
Собранная информация сохраняется в следующих файлах:
%UserProfile%\Local Settings\Temp\~tmp.tmp
%UserProfile%\Local Settings\Temp\~tmp1.tmp
%UserProfile%\Local Settings\Temp\~tmp2.tmp
ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием на сетевые и съемные диски. Собирает информацию о настройках сети и учетных записях, а также пароли к электронной почте и веб-сайтам.
полные проверки делал в безопасном режиме, никуя
нашел в инете статью про этот червяк, где регится в реестре инфу, но в реестре я искал нинашел никуя
вообщем запарился прошу совета
вот инфа про червяка (никаких ниженаписанных симптомов нету но процесс то в память грузится!!_)
W32.Usbwatch (червь)
Признаки
При первом запуске создает следующие файлы:
%UserProfile%\Local Settings\Temp\devwinmgmt.msc
%UserProfile%\Temp\getself.bat
%CurrentFolder%\explore.exe
%CurrentFolder%\wauclt.exe
%CurrentFolder%\svchost.exe
%CurrentFolder%\svchost2.exe
Копирует себя в корень съемных и сетевых дисков под именем
%DriveLetter%\vmc[3_СЛУЧАЙНЫЕ_БУКВЫ].exe
Там же создает файл autorun.inf, обеспечивающий автозапуск копии червя при подключении диска к системе.
Через реестр отключает отображение в "Проводнике" скрытых файлов, включает автозапуск файлов autorun.inf:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "0"
Обеспечивает себе автозагрузку при каждом запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""
Создает мутекс USBWATCHPR01 для предотвращения повторного запуска в память.
Собирает следующую информацию:
Имена пользователей
Запущенные процессы
Установленные сервисы
Переменные среды
Информация о жестком диске (включая емкость и объем свободного места)
Список всех файлов с диска C: по H: с расширениями *.doc;*.xls;*.pdf;*.ppt;*.lnk.
Собирает данные о сети:
Имя домена
Имя хоста
IP-адрес
Адрес шлюза
Адрес локального DNS-сервера
Содержимое ARP-таблицы
Настройки прокси
Собирает следующую информацию из Protected Storage:
Пароли Outlook Express
Пароли Internet Explorer для сайтов
Элементы автозаполнения Internet Explorer
Пароли MSN Explorer
Собранная информация сохраняется в следующих файлах:
%UserProfile%\Local Settings\Temp\~tmp.tmp
%UserProfile%\Local Settings\Temp\~tmp1.tmp
%UserProfile%\Local Settings\Temp\~tmp2.tmp
ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием на сетевые и съемные диски. Собирает информацию о настройках сети и учетных записях, а также пароли к электронной почте и веб-сайтам.