Analisado por: JessaD   
 Plataforma:

Windows 2000, XP, Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribui??o:
 infec??o relatada:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    Worm

  • Destrutivo:
    N?o

  • Criptografado:
     

  • In the Wild:
    Sim

  Vis?o geral

Canal de infec??o: Verbreitet sich per E-Mail, Verbreitet sich ¨¹ber Peer-to-Peer-Netzwerke, Verbreitet sich ¨¹ber Wechseldatentr?ger

Wird m?glicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Verbirgt Dateien, Prozesse und/oder Registrierungseintr?ge.

  Detalhes t¨¦cnicos

Tipo de compacta??o: ³Õ²¹°ù¨ª²¹
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 10 agosto 2010
Carga ¨²til: Drops files, Hides files and processes, Terminates processes

?bertragungsdetails

Wird m?glicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und f¨¹hrt sie aus:

  • %System%\HPWuSchde.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %Windows%\areader.dll - data file

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Dateien/Komponenten ein:

  • %System%\hp-24570.exe - also detected as WORM_BLAKCONT.W
  • %System%\reader_sl.exe - also detected as WORM_BLAKCONT.W
  • %User Profile%\Application Data\SystemProc\lsass.exe - also detected as WORM_BLAKCONT.W
  • %Windows%\reader_sl.exe - also detected as WORM_BLAKCONT.W

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner f¨¹r Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Komponentendateien ein:

  • %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul - detected as JS_DURSG.H

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

  • %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
  • %User Profile%\Application Data\SystemProc

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Profile% ist der Ordner f¨¹r Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

  • HPWuSchde.exe{Random characters}

Verwendet die folgenden Namen f¨¹r die eingeschleusten Eigenkopien:

  • [+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
  • [antihack tool] Trojan Killer v2.9.4173.exe
  • [Eni0j0 team] Vmvare keygen.exe
  • [Eni0j0 team] Windows 7 Ultimate keygen.exe
  • [fixed]RapidShare Killer AIO 2010.exe
  • [patched, serial not need] Nero 9.x keygen.exe
  • [patched, serial not needed] Absolute Video Converter 6.2-7.exe
  • [patched, serial not needed] PDF to Word Converter 3.4.exe
  • [patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
  • Ad-aware 2010.exe
  • Adobe Acrobat Reader keygen.exe
  • Adobe Illustrator CS4 crack.exe
  • Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
  • Alcohol 120 v1.9.x.exe
  • Anti-Porn v13.x.x.x.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • AOL Instant Messenger (AIM) Hacker.exe
  • AOL Password Cracker.exe
  • Ashampoo Snap 3.xx [Skarleot Group].exe
  • Avast 4.x Professional.exe
  • Avast 5.x Professional.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Blaze DVD Player Pro v6.52.exe
  • Brutus FTP Cracker.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Counter-Strike Serial key generator [Miona patch].exe
  • Daemon Tools Pro 4.8.exe
  • DCOM Exploit archive.exe
  • DivX 5.x Pro KeyGen generator.exe
  • Divx Pro 7.x version Keymaker.exe
  • Download Accelerator Plus v9.2.exe
  • Download Boost 2.0.exe
  • DVD Tools Nero 10.x.x.x.exe
  • FTP Cracker.exe
  • G-Force Platinum v3.7.6.exe
  • Google SketchUp 7.1 Pro.exe
  • Grand Theft Auto IV [Offline Activation + mouse patch].exe
  • Half-Life 2 Downloader.exe
  • Hotmail Cracker [Brute method].exe
  • Hotmail Hacker [Brute method].exe
  • ICQ Hacker Trial version [brute].exe
  • Image Size Reducer Pro v1.0.1.exe
  • Internet Download Manager V5.exe
  • IP Nuker.exe
  • K-Lite Mega Codec v5.2 Portable.exe
  • K-Lite Mega Codec v5.2.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • Keylogger unique builder.exe
  • L0pht 4.0 Windows Password Cracker.exe
  • LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
  • Magic Video Converter 8.exe
  • McAfee Total Protection 2010 [serial patch by AnalGin].exe
  • Microsoft Visual Basic KeyGen.exe
  • Microsoft Visual C++ KeyGen.exe
  • Microsoft Visual Studio KeyGen.exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • MSN Password Cracker.exe
  • Myspace theme collection.exe
  • NetBIOS Cracker.exe
  • NetBIOS Hacker.exe
  • Norton Anti-Virus 2005 Enterprise Crack.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Norton Internet Security 2010 crack.exe
  • Password Cracker.exe
  • PDF password remover (works with all acrobat reader).exe
  • Power ISO v4.4 + keygen milon.exe
  • Rapidshare Auto Downloader 3.8.6.exe
  • sdbot with NetBIOS Spread.exe
  • Sophos antivirus updater bypass.exe
  • Sub7 2.5.1 Private.exe
  • Super Utilities Pro 2009 11.0.exe
  • Total Commander7 license+keygen.exe
  • Tuneup Ultilities 2010.exe
  • Twitter FriendAdder 2.3.9.exe
  • UT 2003 KeyGen.exe
  • VmWare 7.x keygen.exe
  • Website Hacker.exe
  • Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • Windows Password Cracker + Elar3 key.exe
  • Windows2008 keygen and activator.exe
  • WinRAR v3.x keygen [by HiXem].exe
  • Youtube Music Downloader 1.3.exe
  • YouTubeGet 5.6.exe

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HP Software Updater II = "%System%\HPWuSchde.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {SID}
StubPath = "%Windows%\reader_sl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

Andere System?nderungen

F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
HP91
(Default) = ?

F¨¹gt die folgenden Registrierungseintr?ge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
||||||||||||||||||||||||||||||... = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h8 = "{number}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h9 = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\HPWuSchde.exe = "%System%\HPWuSchde.exe:*:Enabled:Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

?ndert die folgenden Registrierungsschl¨¹ssel/-eintr?ge w?hrend der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • %Removable Drive%\RECYCLER

Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:

  • %Program Files%\bearshare\shared\
  • %Program Files%\edonkey2000\incoming\
  • %Program Files%\emule\incoming\
  • %Program Files%\grokster\my grokster\
  • %Program Files%\icq\shared folder\
  • %Program Files%\kazaa lite k++\my shared folder\
  • %Program Files%\kazaa lite\my shared folder\
  • %Program Files%\kazaa\my shared folder\
  • %Program Files%\limewire\shared\
  • %Program Files%\morpheus\my shared folder\
  • %Program Files%\tesla\files\
  • %Program Files%\winmx\shared\

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%System Root%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

    • .gov
    • abuse
    • acd-group
    • {BLOCKED}t.com
    • {BLOCKED}tems.com
    • acketst
    • admin
    • ahnlab
    • {BLOCKED}l-lucent.com
    • anyone
    • apache
    • arin
    • avg.comsysinternals
    • avira
    • badware
    • berkeley
    • bitdefender
    • {BLOCKED}n.ch
    • borlan
    • bpsoft com
    • bsd
    • {BLOCKED}r.com
    • cerific
    • certific
    • cisco
    • clamav
    • contact
    • debian
    • drweb
    • {BLOCKED}t.com
    • example
    • f-secure
    • fido
    • firefox
    • fsf.
    • {BLOCKED}r.com
    • gimp
    • gnu
    • gold-certs
    • gov.
    • honeynet
    • honeypot
    • iana
    • {BLOCKED}m.com
    • icrosoft
    • idefense
    • ietf
    • ikarus
    • {BLOCKED}tyinc.com
    • inpris
    • isc.o
    • isi.e
    • jgsoft
    • kaspersky
    • kernel
    • lavasoft
    • linux
    • listserv
    • mcafee
    • messagelabs
    • mit.e
    • mozilla
    • mydomai
    • nobody
    • nodomai
    • noone
    • nothing
    • novirusthanks
    • ntivi
    • {BLOCKED}ft.org
    • panda
    • pgp
    • postmaster
    • prevx
    • privacy
    • qualys
    • {BLOCKED}or.com
    • rating
    • redhat
    • rfc-ed
    • ruslis
    • sales
    • samba
    • samples
    • secur
    • security
    • sendmail
    • service
    • slashdot
    • somebody
    • someone
    • sopho
    • sourceforge
    • spam
    • spm
    • {BLOCKED}h.com
    • submit
    • {BLOCKED}n.com
    • support
    • suse
    • syman
    • tanford.e
    • the.bat
    • unix
    • usenet
    • utgers.ed
    • virus
    • virusbuster
    • webmaster
    • websense
    • winamp
    • winpcap
    • wireshark
    • www.{BLOCKED}m

Rootkit-Funktionen

Verbirgt Dateien, Prozesse und/oder Registrierungseintr?ge.

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • Almon.exe
  • ALSvc.exe
  • APvxdwin.exe
  • ashdisp.exe
  • ashserv.exe
  • avcenter.exe
  • avciman.exe
  • AVENGINE.exe
  • avgcsrvx.exe
  • avgemc.exe
  • avgnt.exe
  • avgrsx.exe
  • avgtray.exe
  • avguard.exe
  • avgui.exe
  • avgwdsvc.exe
  • avp.exe
  • bdagent.exe
  • bdss.exe
  • CCenter.exe
  • drweb32w.exe
  • drwebupw.exe
  • egui.exe
  • ekrn.exe
  • emproxy.exe
  • FPAVServer.exe
  • FprotTray.exe
  • FPWin.exe
  • guardgui.exe
  • HWAPI.exe
  • iface.exe
  • isafe.exe
  • K7EmlPxy.exe
  • K7RTScan.exe
  • K7SysTry.exe
  • K7TSecurity.exe
  • K7TSMngr.exe
  • livesrv.exe
  • mcagent.exe
  • mcmscsvc.exe
  • McNASvc.exe
  • mcods.exe
  • mcpromgr.exe
  • McProxy.exe
  • Mcshield.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • MpfSrv.exe
  • mps.exe
  • mskagent.exe
  • msksrver.exe
  • NTRtScan.exe
  • Pavbckpt.exe
  • PavFnSvr.exe
  • PavPrSrv.exe
  • PAVSRV51.exe
  • pccnt.exe
  • PSCtrlS.exe
  • PShost.exe
  • PsIMSVC.exe
  • psksvc.exe
  • Rav.exe
  • RavMon.exe
  • RavmonD.exe
  • RavStub.exe
  • RavTask.exe
  • RedirSvc.exe
  • SavAdminService.exe
  • SavMain.exe
  • SavService.exe
  • sbamtray.exe
  • sbamui.exe
  • seccenter.exe
  • spidergui.exe
  • SrvLoad.exe
  • TmListen.exe
  • TPSRV.exe
  • vetmsg.exe
  • vsserv.exe
  • Webproxy.exe
  • xcommsvr.exe

Andere Details

Ausgehend von der Analyse des Codes verf¨¹gt die Malware ¨¹ber die folgenden F?higkeiten:

  • Attempts to determine the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system by using the gathered domain name and the following prefixes:
    • mx.
    • mail.
    • smtp.
    • mx1.
    • mxs.
    • mail1.
    • relay.
    • ns.
    • gate.
  • Checks the location of the Windows Address Book by querying the following registry key:

    HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

  • Searches for email addresses in the following folder:
    • %User Profile%\Local Settings\Temporary Internet Files
  • Harvests email addresses from files with the following extensions:
    • .txt
    • .htm
    • .xml
    • .php
    • .asp
    • .dbx
    • .log
    • .nfo
    • .lst
    • .rtf
    • .xml
    • .wpd
    • .wps
    • .xls
    • .doc
    • .wab
  • Uses its own Simple Mail Transfer Protocol (SMTP) engine to send email messages with a copy of itself as attachment. The email messages it sends out bear the following details:

    From:
    e-cards@hallmark.com
    invitations@twitter.com
    invitations@hi5.com
    order-update@amazon.com
    resume-thanks@google.com
    update@facebookmail.com

    Subject:
    You have received A Hallmark E-Card!
    Your friend invited you to Twitter!
    Laura would like to be your friend on hi5!
    Shipping update for your Amazon.com order.
    Thank you from Google!
    You have got a new message on Facebook!

  Solu??o

Mecanismo de varredura m¨ªnima: 8.900
Padr?o VSAPI: 7.376.19
Data de lan?amento do padr?o VSAPI: 11 agosto 2010
Data de lan?amento do padr?o VSAPI: 8/11/2010 12:00:00 AM
Primeiro arquivo padr?o VSAPI: 7.374.05
Data do lan?amento do primeiro padr?o VSAPI: 10 agosto 2010

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von WORM_BLAKCONT.W

    • ?JS_DURSG.H

Step 3

Diesen Registrierungsschl¨¹ssel l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\
    • HP91

Step 4

Diesen Registrierungswert l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Run
    • Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
    • Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
    • HP Software Updater II = %System%\HPWuSchde.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Active Setup\Installed Components\ {SID}
    • StubPath = %Windows%\reader_sl.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\ Explorer\Run
    • RTHDBPL = %User Profile%\Application Data\SystemProc\lsass.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion
    • ||||||||||||||||||||||||||||||... = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • h8 = {number}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • h9 = {number}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • DeleteFlag = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %System%\HPWuSchde.exe = %System%\HPWuSchde.exe:*:Enabled:Explorer
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • DeleteFlag = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,

Step 5

Diesen ge?nderten Registrierungswert wiederherstellen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • From: Start = 4
      To: Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = 4
      To: Start = 2

Step 6

Diese Datei suchen und l?schen

[ Saber mais ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • %Windows%\areader.dll - data file?

Step 7

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als WORM_BLAKCONT.W entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participe da nossa pesquisa!