**************************************************************************************** Утилита для долечивания вирусов: I-Worm.BleBla.b I-Worm.Navidad I-Worm.Sircam I-Worm.Goner I-Worm.Klez.a,e,f,g,h Win32.Elkern.c I-Worm.Lentin.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p I-Worm.Tanatos.a,b Worm.Win32.Opasoft.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p I-Worm.Avron.a,b,c,d,e I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l I-Worm.Fizzer I-Worm.Magold.a,b,c,d,e Worm.Win32.Lovesan Worm.Win32.Welchia I-Worm.Sobig.f I-Worm.Dumaru.a-d Trojan.Win32.SilentLog.a-b Backdoor.Small.d I-Worm.Swen Backdoor.Afcore.l-ad I-Worm.Sober.a,c I-Worm.Novarg Версия 10.1.0.7 Авторское право (C) Kaspersky Lab 2000-2004. Все права зарегистрированы. **************************************************************************************** Коммандная строка: /s[n] - сканирование жесткого диска. Программа будет сканировать жесткий диск на наличие I-Worm.Klez.a(e,f,g,h) вирусов в любом случае. n - включить сканирование подсоединенных сетевых дисков. /y - завершение программы без запроса нажатия клавиш. /i - отобразить информацию о параметрах коммандной строки. /nr - не перезагружать компьютер автоматически при запросе утилиты /Rpt[ao][=<Путь к файлу отчета>] - использовать файл отчета a - добавлять файл отчета o - только отчет (не лечить/удалять зараженные файлы) Возвращаемые коды: 0 - лечение не требуется. 1 - вирус удален и система восстановлена. 2 - для полного удаления вируса необходимо перезагрузить систему. 3 - для полного удаления вируса необходимо перезагрузить систему и запустить программу еще раз. 4 - ошибка выполнения программы. **************************************************************************************** I-Worm.BleBla.b --------------- Если программа обнаруживает HKEY_CLASSES_ROOT\rnjfile ключ в системном реестре, она: удаляет следующие ключи в системном реестре HKEY_CLASSES_ROOT\rnjfile HKEY_CLASSES_ROOT\.lha восстанавливает следующие ключи в системном реестре в их значение по умолчанию HKEY_CLASSES_ROOT\.jpg to jpegfile HKEY_CLASSES_ROOT\.jpeg to jpegfile HKEY_CLASSES_ROOT\.jpe to jpegfile HKEY_CLASSES_ROOT\.bmp to Paint.Picture HKEY_CLASSES_ROOT\.gif to giffile HKEY_CLASSES_ROOT\.avi to avifile HKEY_CLASSES_ROOT\.mpg to mpegfile HKEY_CLASSES_ROOT\.mpeg to mpegfile HKEY_CLASSES_ROOT\.mp2 to mpegfile HKEY_CLASSES_ROOT\.wmf to empty HKEY_CLASSES_ROOT\.wma to wmafile HKEY_CLASSES_ROOT\.wmv to wmvfile HKEY_CLASSES_ROOT\.mp3 to mp3file HKEY_CLASSES_ROOT\.vqf to empty HKEY_CLASSES_ROOT\.doc to word.document.8 or wordpad.document.1 HKEY_CLASSES_ROOT\.xls to excel.sheet.8 HKEY_CLASSES_ROOT\.zip to winzip HKEY_CLASSES_ROOT\.rar to winrar HKEY_CLASSES_ROOT\.arj to archivefile or winzip HKEY_CLASSES_ROOT\.reg to regfile HKEY_CLASSES_ROOT\.exe to exefile пытается удалить следующие файлы c:\windows\sysrnj.exe I-Worm.Navidad -------------- Если программа обнаруживает HKEY_CURRENT_USER\Software\Navidad, HKEY_CURRENT_USER\Software\xxxxmas or HKEY_CURRENT_USER\Software\Emanuel ключ в системном реестре она: удаляет следующие ключи в системном реестре HKEY_CURRENT_USER\Software\Navidad HKEY_CURRENT_USER\Software\xxxxmas HKEY_CURRENT_USER\Software\Emanuel SOFTWARE\Microsoft\Windows\CurrentVersion\Run Win32BaseServiceMOD восстанавливает следующие ключи в системном реестре в их значение по умолчанию HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %* пытается удалить следующие файлы winsvrc.vxd winfile.vxd wintask.exe I-Worm.Sircam ------------- Если программа обнаруживает find HKEY_LOCAL_MACHINE\Software\SirCam ключ в системном реестре, "@win \recycled\sirc32.exe" в autoexec.bat файле или \windows\run32.exe файл и при этом \windows\rundll32.exe файл создан при помощи Delphi она: удаляет следующие ключи в системном реестре HKEY_LOCAL_MACHINE\Software\SirCam Software\Microsoft\Windows\CurrentVersion\RunServices Driver32 восстанавливает следующие ключи в системном реестре в их значение по умолчанию HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %* пытается удалить следующие файлы %Windows drive%:\RECYCLED\SirC32.exe %Windows directory%\ScMx32.exe %Windows system directory%\SCam32.exe %Windows startup directory%\"Microsoft Internet Office.exe" %Windows drive%:\windows\rundll32.exe пытается переименовать следующие файлы %Windows drive%:\windows\Run32.exe to %Windows drive%:\windows\RunDll32.exe пытается восстановить следующие файлы autoexec.bat Все остальные вирусы -------------------- Если программа найдет в памяти любой процесс, зараженный одним из этих вирусов, она попытается снять вирусный Hook и изменить зараженный процесс где это необходимо для избежания повторного заражения или остановить этот зараженный процесс и вылечить или удалить зараженные файлы данного процесса с жесткого диска и ссылки на него в системном реестре. Если программа найдет хотябы один зараженный процесс в памяти, запустится сканирование жесткого диска. Программа будет сканировать только на заражение указанными вирусами. Если указан параметр коммандной строки /s программа будет сканировать жесткий диск (и все присоединенные сетевые диски если указать в коммандной строке /sn) в любом случае. В случае если программа не может удалить или переименовать какие-либо файлы (доступ к ним может быть закрыт в данный момент) программа ставит их в очередь на удаление или переименование во время процесса перезагрузки системы и рекомендует пользователю перезагрузить систему. Программа может восстанавливать следующие ссылки автозапуска, используемые вирусами: autoexec.bat win %infected file% win.ini в разделе [Windows] run=<вирусный файл> system.ini в разделе [boot] shell=<вирусный файл> ключи в системном реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows значения AppInit_DLLs Run HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command (txt ассоциация) восстонавливается ссылка на notepad.exe файл HKEY_CLASSES_ROOT\exefile\shell\open\command (exe ассоциация) восстонавливается в "%1" %* HKEY_CLASSES_ROOT\comfile\shell\open\command (com ассоциация) восстонавливается в "%1" %* HKEY_CLASSES_ROOT\batfile\shell\open\command (bat ассоциация) восстонавливается в "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (pif ассоциация) восстонавливается в "%1" %* HKEY_CLASSES_ROOT\cmdfile\shell\open\command (cmd ассоциация) восстонавливается в "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (scr ассоциация) восстонавливается в "%1" /S HKEY_CLASSES_ROOT\scrfile\shell\config\command (scr ассоциация) восстонавливается в "%1" HKEY_CLASSES_ROOT\regfile\shell\open\command (reg ассоциация) восстонавливается в regedit.exe "%1" установленные NT сервисы скрипты запуска mIRC <директория Program Files>\Mirc\script.ini <директория Program Files>\Mirc32\script.ini скрипты запуска Pirch <директория Program Files>\Pirch98\events.ini