home *** CD-ROM | disk | FTP | other *** search
/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / anti-virus / tools / beta / f-downadup.txt < prev    next >
Text File  |  2009-09-01  |  4KB  |  129 lines
  1. F-SECURE MALWARE REMOVAL TOOL (F-Downadup)
  2. Copyright (C) 2005-2009 F-Secure Corporation. All rights reserved.
  3. ------------------------------------------------------------------
  4.  
  5. DISCLAIMER
  6. ----------
  7.  
  8. This tool is currently in beta stage and has gone through very 
  9. minimal testing. F-Secure Corporation is not responsible for any 
  10. possible damages resulted from the usage of this tool.
  11.  
  12. Please read the End User Licence Terms in the accompanied 
  13. eult_eng.pdf file before running the tool.
  14.  
  15.  
  16. USAGE
  17. -----
  18.  
  19. f-downadup.exe
  20.  
  21.    * This will run the tool in the default (non-interactive) mode.
  22.  
  23. f-downadup.exe --disinfect
  24.  
  25.    * This will enable disinfection mode. Please read a warning below.
  26.  
  27.  
  28. WARNING!
  29.  
  30. The tool detects certain malicious files heuristically, so the
  31. disinfection mode is not enabled by default as a precaution.
  32. To enable disinfection mode please use the "--disinfect" option
  33. in the command line. Please be advised that disinfecting a file
  34. that is detected heuristically is risky. So it is recommended
  35. to first scan a computer without this option to find possibly
  36. infected files. If the suspected files do not look legitimate,
  37. then disinfection mode can be enabled. Detection logs can be
  38. found in the \%windir%\temp\ folder (where %windir% is a
  39. Windows folder).
  40.  
  41.  
  42. NOTES
  43. -----
  44.  
  45. Recent variants of Downadup worm attempt to block the execution 
  46. of F-Secure malware removal tools. So if the downloaded tool does 
  47. not work, please rename its file and try running it again. For 
  48. example you can rename 'f-downadup.exe' into 'file.exe' to fool 
  49. the malware.
  50.  
  51. The tool requires local admininistrator rights in order to run 
  52. properly. It is recommended to run the tool from a logon script 
  53. or via F-Secure Policy Manager (for JAR-packaged version of the 
  54. tool).
  55.  
  56. The tool must be copied to a local hard disk and started from
  57. there, otherwise it won't be able to restart itself after reboot
  58. and as a result, disinfection may fail.
  59.  
  60. As the tool may automatically reboot a system, all unsaved work 
  61. might be lost. So please make sure that all applications are 
  62. closed before running this tool. If an active infection is found, 
  63. the tool will automatically remove it after system restart. In
  64. this case, the tool may be running for some time when Windows
  65. starts after reboot.
  66.  
  67. Please do not start another copy of the tool while the previous
  68. one is still running. A running (active) copy of the tool can be
  69. identified by the F-DOWNADUP.EXE process visible in the list of
  70. processes in Windows Task Manager.
  71.  
  72. Please do not restart a computer or attempt to terminate the 
  73. tool's process while it is scanning a system.
  74.  
  75.  
  76. SCANNING AND DISINFECTION
  77. -------------------------
  78.  
  79. The tool is a complex program that scans and removes Downadup
  80. worm infection. The features of the tool include:
  81.  
  82.  - scanning of worm's files and Registry keys with modified ACL
  83.  - scanning of root folders of removable (USB) and network drives
  84.  - parsing of Autorun.inf files and scanning files they refer to
  85.  - parsing of scheduled task files, scanning files they refer to
  86.  - scanning of special locations where the worm drops its files
  87.  - scanning of Windows and Windows System folders (miniscan)
  88.  - disabling ADMIN$ share when scanning (prevents re-infection)
  89.  
  90. In case a file that a scheduled task file (.job) or Autorun.inf
  91. file refers to is malicious, the tool deletes both files.
  92.  
  93.  
  94. EXIT CODES
  95. ----------
  96.  
  97. The tool returns the following exit codes:
  98.  
  99.  *  0 - No infection found
  100.  *  1 - Infection was found and removed, reboot is required
  101.  *  2 - Infection was found but not removed
  102.  * 10 - Reboot is requred, but not yet performed
  103.  
  104.  
  105. TROUBLESHOOTING
  106. ---------------
  107.  
  108. If the tool shows the "Removal tool failed startup logic 10"
  109. message, it means that it could not remove a malware during
  110. system restart or that scanning operation was interrupted.
  111. To be able to use the tool again, please delete the following
  112. Registry keys:
  113.  
  114.  HKLM\Software\F-SecureRemovalToolsState
  115.  HKLM\Software\F-SecureRemovalToolsStatePendingDelete
  116.  
  117.  
  118. CONTACT INFORMATION
  119. -------------------
  120.  
  121. If you have problems with disinfection please contact our
  122. Support Team by sending a message to this e-mail address:
  123.  
  124. anti-virus-support@f-secure.com
  125.  
  126. Our Support's webpages can be found here:
  127.  
  128. http://support.f-secure.com/enu/home/
  129.