home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2002 June / ChipCD 6.02.iso / software / klezutility / ReadMe.txt

< prev

Wrap

Text File  |  2002-05-06  |  5KB  |  129 lines

---

1. ***************************************************************************
2.         Utility for cleaning infection by:
3.             I-Worm.BleBla.b
4.             I-Worm.Navidad
5.             I-Worm.Sircam
6.             I-Worm.Goner
7.             I-Worm.Klez.a
8.             I-Worm.Klez.e(f,h)
9.  Version 3.0.1 Copyright (C) Kaspersky Lab 2000-2002. All rights reserved.
10. ***************************************************************************
11. Command line:
12.     /scanfiles - to force scaning of hard drives. Program will scan hard
13.         drive for I-Worm.Klez.a(e,f,h) infection in any case.
14.     /netscan - include scaning of mapped network drives.
15.     /y - end program without pressing any key.
16.     /i - show command line info.
17. Return codes:
18.     0 - nothing to clean
19.     1 - virus was deleted and system restored
20.     2 - to finilize removal of virus you shold reboot system
21.     3 - to finilize removal of virus you shold reboot system and start 
22.         program the second time
23.     4 - programm error.
24. ***************************************************************************
25.  
26. I-Worm.BleBla.b
27. ---------------
28.     If program find HKEY_CLASSES_ROOT\rnjfile key in registry it:
29. delete registry keys
30.     HKEY_CLASSES_ROOT\rnjfile
31.     HKEY_CLASSES_ROOT\.lha
32. repair registry key to default value
33.     HKEY_CLASSES_ROOT\.jpg to jpegfile
34.     HKEY_CLASSES_ROOT\.jpeg to jpegfile
35.     HKEY_CLASSES_ROOT\.jpe to jpegfile
36.     HKEY_CLASSES_ROOT\.bmp to Paint.Picture
37.     HKEY_CLASSES_ROOT\.gif to giffile
38.     HKEY_CLASSES_ROOT\.avi to avifile
39.     HKEY_CLASSES_ROOT\.mpg to mpegfile
40.     HKEY_CLASSES_ROOT\.mpeg to mpegfile
41.     HKEY_CLASSES_ROOT\.mp2 to mpegfile
42.     HKEY_CLASSES_ROOT\.wmf to empty
43.     HKEY_CLASSES_ROOT\.wma to wmafile
44.     HKEY_CLASSES_ROOT\.wmv to wmvfile
45.     HKEY_CLASSES_ROOT\.mp3 to mp3file
46.     HKEY_CLASSES_ROOT\.vqf to empty
47.     HKEY_CLASSES_ROOT\.doc to word.document.8 or wordpad.document.1
48.     HKEY_CLASSES_ROOT\.xls to excel.sheet.8
49.     HKEY_CLASSES_ROOT\.zip to winzip
50.     HKEY_CLASSES_ROOT\.rar to winrar
51.     HKEY_CLASSES_ROOT\.arj to archivefile or winzip
52.     HKEY_CLASSES_ROOT\.reg to regfile
53.     HKEY_CLASSES_ROOT\.exe to exefile
54. try to delete file
55.     c:\\windows\\sysrnj.exe
56.  
57. I-Worm.Navidad
58. --------------
59.     If program find HKEY_CURRENT_USER\Software\Navidad,
60. HKEY_CURRENT_USER\Software\xxxxmas or HKEY_CURRENT_USER\Software\Emanuel key 
61. in registry it:
62. delete registry keys
63.     HKEY_CURRENT_USER\Software\Navidad
64.     HKEY_CURRENT_USER\Software\xxxxmas
65.     HKEY_CURRENT_USER\Software\Emanuel
66.     SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
67.             Win32BaseServiceMOD
68. repair registry key to default value
69.     HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
70. try to delete file
71.     winsvrc.vxd
72.     winfile.vxd
73.     wintask.exe
74.  
75. I-Worm.Sircam
76. -------------
77.     If program find HKEY_LOCAL_MACHINE\Software\SirCam key in registry,
78. "@win \recycled\sirc32.exe" in autoexec.bat or \windows\run32.exe and 
79. \windows\rundll32.exe was created on Delphi it:
80. delete registry keys
81.     HKEY_LOCAL_MACHINE\Software\SirCam
82.     Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
83.             Driver32
84. repair registry key to default value
85.     HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
86. try to delete file
87.     %Windows drive%:\RECYCLED\SirC32.exe
88.     %Windows directory%\ScMx32.exe
89.     %Windows system directory%\SCam32.exe
90.     %Windows startup directory%\"Microsoft Internet Office.exe"
91.     %Windows drive%:\windows\rundll32.exe
92. try to rename files
93.     %Windows drive%:\windows\Run32.exe to 
94.             %Windows drive%:\windows\RunDll32.exe
95. try to repair files
96.     autoexec.bat
97.  
98.     In case program can not delete or rename any files (it may be used at 
99. that moment) it set these files to queue to delete or rename during bootup 
100. process and offer user to reboot system.
101.  
102. I-Worm.Goner
103. ------------
104.     If gone.scr process exist in memory, program will try to stop it.
105.     if file %Windows system directory%\gone.scr exist on hard drive, 
106. program will try to delete it.
107.     If program find %Windows system directory%\gone.scr key in 
108. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run of system 
109. registry, it will delete this key.
110.  
111. I-Worm.Klez.a, I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.h
112. ----------------------------------------------------------
113.     If program find next processes in memory:
114.         Krn132.exe
115.         WQK.exe
116. or any processes, infected by I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.h and 
117. I-Worm.Klez.a virus, it will stop them and delete their files from hard drive 
118. and links to their files from system registry.
119.     If program find that WQK.DLL library has been loaded by any processes 
120. it will rename file of this library and will remove it after system reboot.
121. In case program find such library in memory of your PC you should reboot your 
122. PC when program finish and start it the second time after reboot to clean your 
123. system registry.
124.     If program find any infected processes in memory it will start scan of 
125. your hard drive (and all mapped network drives if you specify /netscan in 
126. command line). It will check only I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.h 
127. and I-Worm.Klez.a infection.
128.     If you specify /scanfiles key in command line program will scan your 
129. hard drive (and all mapped network drives if you specify /netscan) in all cases.