home *** CD-ROM | disk | FTP | other *** search
/ Chip 2002 June / ChipCD 6.02.iso / software / klezutility / ReadMe.txt < prev   
Encoding:
Text File  |  2002-05-06  |  5.0 KB  |  129 lines
  1. ***************************************************************************
  2.         Utility for cleaning infection by:
  3.             I-Worm.BleBla.b
  4.             I-Worm.Navidad
  5.             I-Worm.Sircam
  6.             I-Worm.Goner
  7.             I-Worm.Klez.a
  8.             I-Worm.Klez.e(f,h)
  9.  Version 3.0.1 Copyright (C) Kaspersky Lab 2000-2002. All rights reserved.
  10. ***************************************************************************
  11. Command line:
  12.     /scanfiles - to force scaning of hard drives. Program will scan hard
  13.         drive for I-Worm.Klez.a(e,f,h) infection in any case.
  14.     /netscan - include scaning of mapped network drives.
  15.     /y - end program without pressing any key.
  16.     /i - show command line info.
  17. Return codes:
  18.     0 - nothing to clean
  19.     1 - virus was deleted and system restored
  20.     2 - to finilize removal of virus you shold reboot system
  21.     3 - to finilize removal of virus you shold reboot system and start 
  22.         program the second time
  23.     4 - programm error.
  24. ***************************************************************************
  25.  
  26. I-Worm.BleBla.b
  27. ---------------
  28.     If program find HKEY_CLASSES_ROOT\rnjfile key in registry it:
  29. delete registry keys
  30.     HKEY_CLASSES_ROOT\rnjfile
  31.     HKEY_CLASSES_ROOT\.lha
  32. repair registry key to default value
  33.     HKEY_CLASSES_ROOT\.jpg to jpegfile
  34.     HKEY_CLASSES_ROOT\.jpeg to jpegfile
  35.     HKEY_CLASSES_ROOT\.jpe to jpegfile
  36.     HKEY_CLASSES_ROOT\.bmp to Paint.Picture
  37.     HKEY_CLASSES_ROOT\.gif to giffile
  38.     HKEY_CLASSES_ROOT\.avi to avifile
  39.     HKEY_CLASSES_ROOT\.mpg to mpegfile
  40.     HKEY_CLASSES_ROOT\.mpeg to mpegfile
  41.     HKEY_CLASSES_ROOT\.mp2 to mpegfile
  42.     HKEY_CLASSES_ROOT\.wmf to empty
  43.     HKEY_CLASSES_ROOT\.wma to wmafile
  44.     HKEY_CLASSES_ROOT\.wmv to wmvfile
  45.     HKEY_CLASSES_ROOT\.mp3 to mp3file
  46.     HKEY_CLASSES_ROOT\.vqf to empty
  47.     HKEY_CLASSES_ROOT\.doc to word.document.8 or wordpad.document.1
  48.     HKEY_CLASSES_ROOT\.xls to excel.sheet.8
  49.     HKEY_CLASSES_ROOT\.zip to winzip
  50.     HKEY_CLASSES_ROOT\.rar to winrar
  51.     HKEY_CLASSES_ROOT\.arj to archivefile or winzip
  52.     HKEY_CLASSES_ROOT\.reg to regfile
  53.     HKEY_CLASSES_ROOT\.exe to exefile
  54. try to delete file
  55.     c:\\windows\\sysrnj.exe
  56.  
  57. I-Worm.Navidad
  58. --------------
  59.     If program find HKEY_CURRENT_USER\Software\Navidad,
  60. HKEY_CURRENT_USER\Software\xxxxmas or HKEY_CURRENT_USER\Software\Emanuel key 
  61. in registry it:
  62. delete registry keys
  63.     HKEY_CURRENT_USER\Software\Navidad
  64.     HKEY_CURRENT_USER\Software\xxxxmas
  65.     HKEY_CURRENT_USER\Software\Emanuel
  66.     SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
  67.             Win32BaseServiceMOD
  68. repair registry key to default value
  69.     HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
  70. try to delete file
  71.     winsvrc.vxd
  72.     winfile.vxd
  73.     wintask.exe
  74.  
  75. I-Worm.Sircam
  76. -------------
  77.     If program find HKEY_LOCAL_MACHINE\Software\SirCam key in registry,
  78. "@win \recycled\sirc32.exe" in autoexec.bat or \windows\run32.exe and 
  79. \windows\rundll32.exe was created on Delphi it:
  80. delete registry keys
  81.     HKEY_LOCAL_MACHINE\Software\SirCam
  82.     Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
  83.             Driver32
  84. repair registry key to default value
  85.     HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
  86. try to delete file
  87.     %Windows drive%:\RECYCLED\SirC32.exe
  88.     %Windows directory%\ScMx32.exe
  89.     %Windows system directory%\SCam32.exe
  90.     %Windows startup directory%\"Microsoft Internet Office.exe"
  91.     %Windows drive%:\windows\rundll32.exe
  92. try to rename files
  93.     %Windows drive%:\windows\Run32.exe to 
  94.             %Windows drive%:\windows\RunDll32.exe
  95. try to repair files
  96.     autoexec.bat
  97.  
  98.     In case program can not delete or rename any files (it may be used at 
  99. that moment) it set these files to queue to delete or rename during bootup 
  100. process and offer user to reboot system.
  101.  
  102. I-Worm.Goner
  103. ------------
  104.     If gone.scr process exist in memory, program will try to stop it.
  105.     if file %Windows system directory%\gone.scr exist on hard drive, 
  106. program will try to delete it.
  107.     If program find %Windows system directory%\gone.scr key in 
  108. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run of system 
  109. registry, it will delete this key.
  110.  
  111. I-Worm.Klez.a, I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.h
  112. ----------------------------------------------------------
  113.     If program find next processes in memory:
  114.         Krn132.exe
  115.         WQK.exe
  116. or any processes, infected by I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.h and 
  117. I-Worm.Klez.a virus, it will stop them and delete their files from hard drive 
  118. and links to their files from system registry.
  119.     If program find that WQK.DLL library has been loaded by any processes 
  120. it will rename file of this library and will remove it after system reboot.
  121. In case program find such library in memory of your PC you should reboot your 
  122. PC when program finish and start it the second time after reboot to clean your 
  123. system registry.
  124.     If program find any infected processes in memory it will start scan of 
  125. your hard drive (and all mapped network drives if you specify /netscan in 
  126. command line). It will check only I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.h 
  127. and I-Worm.Klez.a infection.
  128.     If you specify /scanfiles key in command line program will scan your 
  129. hard drive (and all mapped network drives if you specify /netscan) in all cases.