**************************************************************************************** Утилита для лечения вирусов: I-Worm.Zafi.b I-Worm.Bagle.at,au,cx-dw Virus.Win32.Implinker.a Not-a-virus.AdWare.Visiter Trojan.Win32.Krotten Email-Worm.Win32.Brontok.n Backdoor.Win32.Allaple.a Trojan-Spy.Win32.Goldun.mg Email-Worm.Win32.Warezov Virus.Win32.VB.he IM-Worm.Win32.Sohanad.as P2P-Worm.Win32.Malas.b Virus.Win32.AutoRun.acw Worm.Win32.VB.jn Trojan.Win32.KillAV.nj Worm.Win32.AutoRun.cby Trojan.Win32.Agent.aec Trojan-Downloader.Win32.Todon.an Trojan-Downloader.Win32.Losabel.ap Worm.Win32.AutoRun.czz,daa,dhq,dfx Net-Worm.Win32.Rovud.a-c Trojan.Win32.ConnectionServices.x-aa Worm.Win32.AutoRun.dtx Worm.Win32.AutoRun.hr Backdoor.Win32.Agent.lad not-a-virus:FraudTool.Win32.UltimateDefender.cm Trojan-Downloader.Win32.Agent.wbu Backdoor.Win32.Small.cyb not-a-virus:FraudTool.Win32.XPSecurityCenter.c not-a-virus:Downloader.Win32.VistaAntivirus.a not-a-virus:FraudTool.Win32.UltimateAntivirus.an not-a-virus:FraudTool.Win32.UltimateAntivirus.ap Trojan-Spy.Win32.Zbot.dlh Trojan-Downloader.Win32.Small.abpz Rootkit.Win32.Ressdt.br Worm.Win32.AutoRun.lsf Worm.Win32.AutoRun.epo Worm.Win32.AutoRun.enw Backdoor.Win32.UltimateDefender.a Worm.Win32.AutoRun.pwi Worm.Win32.AutoRun.pfh Worm.Win32.AutoRun.qhk Worm.Win32.AutoRun.ouu Worm.Win32.AutoRun.bnb Worm.Win32.AutoRun.ll AdWare.Win32.Cinmus.sxy Trojan.Win32.Autoit.eo Worm.Win32.AutoRun.sct Worm.Win32.AutoRun.qkn not-a-virus:AdWare.Win32.Cinmus.wsu Trojan-Ransom.Win32.Taras.a,c Trojan-Dropper.Win32.Agent.ztu Trojan-Downloader.Win32.Agent.Apnd Worm.Win32.Autorun.qpa Net-Worm.Win32.Kido.j Worm.Win32.Autorun.dcw Trojan.Win32.Feedel.gen Trojan.Win32.Pakes.mak Net-Worm.Win32.Kido.r Net-Worm.Win32.Kido.t Worm.VBS.Autorun.cq Worm.Win32.Pinit.ac Worm.Win32.Pinit.ae Worm.Win32.Pinit.af Worm.Win32.Pinit.gen Net-Worm.Win32.Kido.bw Net-Worm.Win32.Kido.db Net-Worm.Win32.Kido.fk Net-Worm.Win32.Kido.fx Net-Worm.Win32.Kido.fo Net-Worm.Win32.Kido.s Net-Worm.Win32.Kido.dh Net-Worm.Win32.Kido.ee Net-Worm.Win32.Kido.gh Net-Worm.Win32.Kido.fa Net-Worm.Win32.Kido.gy Net-Worm.Win32.Kido.ca Net-Worm.Win32.Kido.by Net-Worm.Win32.Kido.if Net-Worm.Win32.Kido.eo Net-Worm.Win32.Kido.bx Net-Worm.Win32.Kido.bh Net-Worm.Win32.Kido.bg Net-Worm.Win32.Kido.ha Net-Worm.Win32.Kido.hr Net-Worm.Win32.Kido.da Net-Worm.Win32.Kido.dz Net-Worm.Win32.Kido.cg Net-Worm.Win32.Kido.eg Net-Worm.Win32.Kido.eq Net-Worm.Win32.Kido.bz Net-Worm.Win32.Kido.do Net-Worm.Win32.Kido.fw Net-Worm.Win32.Kido.du Net-Worm.Win32.Kido.cv Net-Worm.Win32.Kido.dv Net-Worm.Win32.Kido.dq Net-Worm.Win32.Kido.ed Net-Worm.Win32.Kido.em Net-Worm.Win32.Kido.bo Net-Worm.Win32.Kido.bk Net-Worm.Win32.Kido.bm Net-Worm.Win32.Kido.cs Net-Worm.Win32.Kido.ia Net-Worm.Win32.Kido.gg Net-Worm.Win32.Kido.cy Net-Worm.Win32.Kido.gb Net-Worm.Win32.Kido.hf Trojan.Win32.Autoit.vu Worm.Win32.Pinit.ft Worm.Win32.FlyStudio.bh Worm.Win32.Bezopi.cw Версия 12.0.0.20 Авторское право (C) Kaspersky Lab, Antropov Alexey, Vitaly Kamluk, Boris Yampolsky 2000-2008. Все права зарегистрированы. **************************************************************************************** Командная строка: /s - проверка всего жесткого диска на наличие перечисленных вредоносных программ. /n - проверка подключенных сетевых дисков на наличие перечисленных вредоносных программ. /path <Путь для сканирования> - проверка указанного пути на наличие перечисленных вредоносных программ. /y - завершение программы без запроса нажатия клавиш. /i - отобразить информацию о параметрах командной строки. /nr - при запросе утилиты не перезагружать компьютер автоматически /Rpt[ao][=<Путь к файлу отчета>] - использовать файл отчета a - добавлять файл отчета o - только отчет (не лечить/удалять зараженные файлы) Возвращаемые коды: 0 - лечение не требуется. 1 - вирус удален и система восстановлена. 2 - для полного удаления вируса необходимо перезагрузить систему. 3 - для полного удаления вируса необходимо перезагрузить систему и запустить программу еще раз. 4 - ошибка выполнения программы. **************************************************************************************** ОБРАТИТЕ ВНИМАНИЕ: Эта утилита определяет ТОЛЬКО перечисленные вредоносные программы: I-Worm.Zafi.b I-Worm.Bagle.at,au,cx-dw Virus.Win32.Implinker.a Not-a-virus.AdWare.Visiter Trojan.Win32.Krotten Email-Worm.Win32.Brontok.n Virus.Win32.VB.he IM-Worm.Win32.Sohanad.as P2P-Worm.Win32.Malas.b Virus.Win32.AutoRun.acw Worm.Win32.VB.jn Trojan.Win32.KillAV.nj Worm.Win32.AutoRun.cby Trojan.Win32.Agent.aec Trojan-Downloader.Win32.Todon.an Trojan-Downloader.Win32.Losabel.ap Worm.Win32.AutoRun.czz,daa,dhq,dfx Net-Worm.Win32.Rovud.a-c Trojan.Win32.ConnectionServices.x-aa Worm.Win32.AutoRun.dtx Worm.Win32.AutoRun.hr Backdoor.Win32.Agent.lad not-a-virus:FraudTool.Win32.UltimateDefender.cm Trojan-Downloader.Win32.Agent.wbu Backdoor.Win32.Small.cyb not-a-virus:FraudTool.Win32.XPSecurityCenter.c not-a-virus:Downloader.Win32.VistaAntivirus.a not-a-virus:FraudTool.Win32.UltimateAntivirus.an not-a-virus:FraudTool.Win32.UltimateAntivirus.ap Trojan-Spy.Win32.Zbot.dlh Trojan-Downloader.Win32.Small.abpz Rootkit.Win32.Ressdt.br Worm.Win32.AutoRun.lsf Worm.Win32.AutoRun.epo Worm.Win32.AutoRun.enw Backdoor.Win32.UltimateDefender.a Worm.Win32.AutoRun.pwi Worm.Win32.AutoRun.pfh Worm.Win32.AutoRun.qhk AdWare.Win32.Cinmus.sxy Trojan.Win32.Autoit.eo Worm.Win32.AutoRun.sct Worm.Win32.AutoRun.qkn not-a-virus:AdWare.Win32.Cinmus.wsu Trojan-Ransom.Win32.Taras.a,c Trojan-Dropper.Win32.Agent.ztu Trojan-Downloader.Win32.Agent.Apnd Worm.Win32.Autorun.qpa Net-Worm.Win32.Kido.j Worm.Win32.Autorun.dc Trojan.Win32.Feedel.gen Trojan.Win32.Pakes.mak Net-Worm.Win32.Kido.r Net-Worm.Win32.Kido.t Worm.VBS.Autorun.cq Worm.Win32.Pinit.ac Worm.Win32.Pinit.ae Worm.Win32.Pinit.af Worm.Win32.Pinit.gen Net-Worm.Win32.Kido.bw Net-Worm.Win32.Kido.db Net-Worm.Win32.Kido.fk Net-Worm.Win32.Kido.fx Net-Worm.Win32.Kido.fo Net-Worm.Win32.Kido.s Net-Worm.Win32.Kido.dh Net-Worm.Win32.Kido.ee Net-Worm.Win32.Kido.gh Net-Worm.Win32.Kido.fa Net-Worm.Win32.Kido.gy Net-Worm.Win32.Kido.ca Net-Worm.Win32.Kido.by Net-Worm.Win32.Kido.if Net-Worm.Win32.Kido.eo Net-Worm.Win32.Kido.bx Net-Worm.Win32.Kido.bh Net-Worm.Win32.Kido.bg Net-Worm.Win32.Kido.ha Net-Worm.Win32.Kido.hr Net-Worm.Win32.Kido.da Net-Worm.Win32.Kido.dz Net-Worm.Win32.Kido.cg Net-Worm.Win32.Kido.eg Net-Worm.Win32.Kido.eq Net-Worm.Win32.Kido.bz Net-Worm.Win32.Kido.do Net-Worm.Win32.Kido.fw Net-Worm.Win32.Kido.du Net-Worm.Win32.Kido.cv Net-Worm.Win32.Kido.dv Net-Worm.Win32.Kido.dq Net-Worm.Win32.Kido.ed Net-Worm.Win32.Kido.em Net-Worm.Win32.Kido.bo Net-Worm.Win32.Kido.bk Net-Worm.Win32.Kido.bm Net-Worm.Win32.Kido.cs Net-Worm.Win32.Kido.ia Net-Worm.Win32.Kido.gg Net-Worm.Win32.Kido.cy Net-Worm.Win32.Kido.gb Trojan.Win32.Autoit.vu Worm.Win32.Pinit.ft Worm.Win32.FlyStudio.bh Worm.Win32.Bezopi.cw **************************************************************************************** Если программа в процессе своей работы находит в памяти процесс, зараженный одним из перечисленных вирусов, она попытается снять вирусный Hook и изменить зараженный процесс (где это необходимо для избежания повторного заражения) или остановить этот зараженный процесс и вылечить/удалить зараженные файлы данного процесса с жесткого диска, а также ссылки на него в системном реестре. Важно помнить, что cканирование жесткого диска и/или подключенных сетевых дисков запускается только при нахождении программой klwk.com хотя бы одного зараженного процесса, а также при условии, что запуск программы осуществлялся с соответствующими параметрами(/s[n]). Программа будет сканировать только на заражение указанными вирусами. В случае, если программа не может удалить или переименовать какие-либо файлы (доступ к ним может быть закрыт в данный момент), они ставятся в очередь на удаление или переименование во время перезагрузки системы и пользователю возвращается соответсвующий код (рекомендующий провести перезагрузку компьютера). Eсли по каким то причинам задать параметры запуска не представляется возможным, то инициализировать завершение программы без запроса нажатия клавиш (ключ /y) можно создав файл с именем "quiet" в директории запуска программы. Содержимое создаваемого файла значения не имеет. Программа может восстанавливать следующие ссылки автозапуска, используемые вирусами: autoexec.bat win %infected file% win.ini в разделе [Windows] run=<вирусный файл> system.ini в разделе [boot] shell=<вирусный файл> ключи в системном реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows значения: AppInit_DLLs Run HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command (txt ассоциация) восстанавливается ссылка на notepad.exe файл HKEY_CLASSES_ROOT\exefile\shell\open\command (exe ассоциация) восстанавливается в "%1" %* HKEY_CLASSES_ROOT\comfile\shell\open\command (com ассоциация) восстанавливается в "%1" %* HKEY_CLASSES_ROOT\batfile\shell\open\command (bat ассоциация) восстанавливается в "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (pif ассоциация) восстанавливается в "%1" %* HKEY_CLASSES_ROOT\cmdfile\shell\open\command (cmd ассоциация) восстанавливается в "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (scr ассоциация) восстанавливается в "%1" /S HKEY_CLASSES_ROOT\scrfile\shell\config\command (scr ассоциация) восстанавливается в "%1" HKEY_CLASSES_ROOT\regfile\shell\open\command (reg ассоциация) восстанавливается в regedit.exe "%1" установленные NT сервисы скрипты запуска mIRC <директория Program Files>\Mirc\script.ini <директория Program Files>\Mirc32\script.ini скрипты запуска Pirch <директория Program Files>\Pirch98\events.ini