An¨¢lisis realizado por : JessaD   
 Plataforma:

Windows 2000, XP, Server 2003

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Se propaga v¨ªa correo electr¨®nico, Se propaga v¨ªa redes P2P (de igual a igual), Se propaga v¨ªa unidades extra¨ªbles

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Este malware infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Oculta archivos, procesos y/o entradas de registro.

  Detalles t¨¦cnicos

Tama?o del archivo ³Õ²¹°ù¨ª²¹
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 10 de agosto de 2010
Carga ¨²til Drops files, Hides files and processes, Terminates processes

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado y las ejecuta:

  • %System%\HPWuSchde.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Infiltra los archivos siguientes:

  • %Windows%\areader.dll - data file

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %System%\hp-24570.exe - also detected as WORM_BLAKCONT.W
  • %System%\reader_sl.exe - also detected as WORM_BLAKCONT.W
  • %User Profile%\Application Data\SystemProc\lsass.exe - also detected as WORM_BLAKCONT.W
  • %Windows%\reader_sl.exe - also detected as WORM_BLAKCONT.W

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul - detected as JS_DURSG.H

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Crea las carpetas siguientes:

  • %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
  • %User Profile%\Application Data\SystemProc

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • HPWuSchde.exe{Random characters}

Usa los nombres siguientes para las copias que infiltra:

  • [+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
  • [antihack tool] Trojan Killer v2.9.4173.exe
  • [Eni0j0 team] Vmvare keygen.exe
  • [Eni0j0 team] Windows 7 Ultimate keygen.exe
  • [fixed]RapidShare Killer AIO 2010.exe
  • [patched, serial not need] Nero 9.x keygen.exe
  • [patched, serial not needed] Absolute Video Converter 6.2-7.exe
  • [patched, serial not needed] PDF to Word Converter 3.4.exe
  • [patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
  • Ad-aware 2010.exe
  • Adobe Acrobat Reader keygen.exe
  • Adobe Illustrator CS4 crack.exe
  • Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
  • Alcohol 120 v1.9.x.exe
  • Anti-Porn v13.x.x.x.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • AOL Instant Messenger (AIM) Hacker.exe
  • AOL Password Cracker.exe
  • Ashampoo Snap 3.xx [Skarleot Group].exe
  • Avast 4.x Professional.exe
  • Avast 5.x Professional.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Blaze DVD Player Pro v6.52.exe
  • Brutus FTP Cracker.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Counter-Strike Serial key generator [Miona patch].exe
  • Daemon Tools Pro 4.8.exe
  • DCOM Exploit archive.exe
  • DivX 5.x Pro KeyGen generator.exe
  • Divx Pro 7.x version Keymaker.exe
  • Download Accelerator Plus v9.2.exe
  • Download Boost 2.0.exe
  • DVD Tools Nero 10.x.x.x.exe
  • FTP Cracker.exe
  • G-Force Platinum v3.7.6.exe
  • Google SketchUp 7.1 Pro.exe
  • Grand Theft Auto IV [Offline Activation + mouse patch].exe
  • Half-Life 2 Downloader.exe
  • Hotmail Cracker [Brute method].exe
  • Hotmail Hacker [Brute method].exe
  • ICQ Hacker Trial version [brute].exe
  • Image Size Reducer Pro v1.0.1.exe
  • Internet Download Manager V5.exe
  • IP Nuker.exe
  • K-Lite Mega Codec v5.2 Portable.exe
  • K-Lite Mega Codec v5.2.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • Keylogger unique builder.exe
  • L0pht 4.0 Windows Password Cracker.exe
  • LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
  • Magic Video Converter 8.exe
  • McAfee Total Protection 2010 [serial patch by AnalGin].exe
  • Microsoft Visual Basic KeyGen.exe
  • Microsoft Visual C++ KeyGen.exe
  • Microsoft Visual Studio KeyGen.exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • MSN Password Cracker.exe
  • Myspace theme collection.exe
  • NetBIOS Cracker.exe
  • NetBIOS Hacker.exe
  • Norton Anti-Virus 2005 Enterprise Crack.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Norton Internet Security 2010 crack.exe
  • Password Cracker.exe
  • PDF password remover (works with all acrobat reader).exe
  • Power ISO v4.4 + keygen milon.exe
  • Rapidshare Auto Downloader 3.8.6.exe
  • sdbot with NetBIOS Spread.exe
  • Sophos antivirus updater bypass.exe
  • Sub7 2.5.1 Private.exe
  • Super Utilities Pro 2009 11.0.exe
  • Total Commander7 license+keygen.exe
  • Tuneup Ultilities 2010.exe
  • Twitter FriendAdder 2.3.9.exe
  • UT 2003 KeyGen.exe
  • VmWare 7.x keygen.exe
  • Website Hacker.exe
  • Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • Windows Password Cracker + Elar3 key.exe
  • Windows2008 keygen and activator.exe
  • WinRAR v3.x keygen [by HiXem].exe
  • Youtube Music Downloader 1.3.exe
  • YouTubeGet 5.6.exe

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HP Software Updater II = "%System%\HPWuSchde.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {SID}
StubPath = "%Windows%\reader_sl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft\
HP91
(Default) = ?

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
||||||||||||||||||||||||||||||... = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h8 = "{number}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h9 = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\HPWuSchde.exe = "%System%\HPWuSchde.exe:*:Enabled:Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalaci¨®n:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Crea las carpetas siguientes en todas las unidades extra¨ªbles:

  • %Removable Drive%\RECYCLER

Infiltra una copia de s¨ª mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

  • %Program Files%\bearshare\shared\
  • %Program Files%\edonkey2000\incoming\
  • %Program Files%\emule\incoming\
  • %Program Files%\grokster\my grokster\
  • %Program Files%\icq\shared folder\
  • %Program Files%\kazaa lite k++\my shared folder\
  • %Program Files%\kazaa lite\my shared folder\
  • %Program Files%\kazaa\my shared folder\
  • %Program Files%\limewire\shared\
  • %Program Files%\morpheus\my shared folder\
  • %Program Files%\tesla\files\
  • %Program Files%\winmx\shared\

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Este malware infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles.

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Evita enviar mensajes de correo electr¨®nico a direcciones que contienen las cadenas siguientes:

    • .gov
    • abuse
    • acd-group
    • {BLOCKED}t.com
    • {BLOCKED}tems.com
    • acketst
    • admin
    • ahnlab
    • {BLOCKED}l-lucent.com
    • anyone
    • apache
    • arin
    • avg.comsysinternals
    • avira
    • badware
    • berkeley
    • bitdefender
    • {BLOCKED}n.ch
    • borlan
    • bpsoft com
    • bsd
    • {BLOCKED}r.com
    • cerific
    • certific
    • cisco
    • clamav
    • contact
    • debian
    • drweb
    • {BLOCKED}t.com
    • example
    • f-secure
    • fido
    • firefox
    • fsf.
    • {BLOCKED}r.com
    • gimp
    • gnu
    • gold-certs
    • gov.
    • honeynet
    • honeypot
    • iana
    • {BLOCKED}m.com
    • icrosoft
    • idefense
    • ietf
    • ikarus
    • {BLOCKED}tyinc.com
    • inpris
    • isc.o
    • isi.e
    • jgsoft
    • kaspersky
    • kernel
    • lavasoft
    • linux
    • listserv
    • mcafee
    • messagelabs
    • mit.e
    • mozilla
    • mydomai
    • nobody
    • nodomai
    • noone
    • nothing
    • novirusthanks
    • ntivi
    • {BLOCKED}ft.org
    • panda
    • pgp
    • postmaster
    • prevx
    • privacy
    • qualys
    • {BLOCKED}or.com
    • rating
    • redhat
    • rfc-ed
    • ruslis
    • sales
    • samba
    • samples
    • secur
    • security
    • sendmail
    • service
    • slashdot
    • somebody
    • someone
    • sopho
    • sourceforge
    • spam
    • spm
    • {BLOCKED}h.com
    • submit
    • {BLOCKED}n.com
    • support
    • suse
    • syman
    • tanford.e
    • the.bat
    • unix
    • usenet
    • utgers.ed
    • virus
    • virusbuster
    • webmaster
    • websense
    • winamp
    • winpcap
    • wireshark
    • www.{BLOCKED}m

Capacidades de rootkit

Oculta archivos, procesos y/o entradas de registro.

Finalizaci¨®n del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • Almon.exe
  • ALSvc.exe
  • APvxdwin.exe
  • ashdisp.exe
  • ashserv.exe
  • avcenter.exe
  • avciman.exe
  • AVENGINE.exe
  • avgcsrvx.exe
  • avgemc.exe
  • avgnt.exe
  • avgrsx.exe
  • avgtray.exe
  • avguard.exe
  • avgui.exe
  • avgwdsvc.exe
  • avp.exe
  • bdagent.exe
  • bdss.exe
  • CCenter.exe
  • drweb32w.exe
  • drwebupw.exe
  • egui.exe
  • ekrn.exe
  • emproxy.exe
  • FPAVServer.exe
  • FprotTray.exe
  • FPWin.exe
  • guardgui.exe
  • HWAPI.exe
  • iface.exe
  • isafe.exe
  • K7EmlPxy.exe
  • K7RTScan.exe
  • K7SysTry.exe
  • K7TSecurity.exe
  • K7TSMngr.exe
  • livesrv.exe
  • mcagent.exe
  • mcmscsvc.exe
  • McNASvc.exe
  • mcods.exe
  • mcpromgr.exe
  • McProxy.exe
  • Mcshield.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • MpfSrv.exe
  • mps.exe
  • mskagent.exe
  • msksrver.exe
  • NTRtScan.exe
  • Pavbckpt.exe
  • PavFnSvr.exe
  • PavPrSrv.exe
  • PAVSRV51.exe
  • pccnt.exe
  • PSCtrlS.exe
  • PShost.exe
  • PsIMSVC.exe
  • psksvc.exe
  • Rav.exe
  • RavMon.exe
  • RavmonD.exe
  • RavStub.exe
  • RavTask.exe
  • RedirSvc.exe
  • SavAdminService.exe
  • SavMain.exe
  • SavService.exe
  • sbamtray.exe
  • sbamui.exe
  • seccenter.exe
  • spidergui.exe
  • SrvLoad.exe
  • TmListen.exe
  • TPSRV.exe
  • vetmsg.exe
  • vsserv.exe
  • Webproxy.exe
  • xcommsvr.exe

Otros detalles

Seg¨²n el an¨¢lisis de los c¨®digos, tiene las siguientes capacidades:

  • Attempts to determine the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system by using the gathered domain name and the following prefixes:
    • mx.
    • mail.
    • smtp.
    • mx1.
    • mxs.
    • mail1.
    • relay.
    • ns.
    • gate.
  • Checks the location of the Windows Address Book by querying the following registry key:

    HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

  • Searches for email addresses in the following folder:
    • %User Profile%\Local Settings\Temporary Internet Files
  • Harvests email addresses from files with the following extensions:
    • .txt
    • .htm
    • .xml
    • .php
    • .asp
    • .dbx
    • .log
    • .nfo
    • .lst
    • .rtf
    • .xml
    • .wpd
    • .wps
    • .xls
    • .doc
    • .wab
  • Uses its own Simple Mail Transfer Protocol (SMTP) engine to send email messages with a copy of itself as attachment. The email messages it sends out bear the following details:

    From:
    e-cards@hallmark.com
    invitations@twitter.com
    invitations@hi5.com
    order-update@amazon.com
    resume-thanks@google.com
    update@facebookmail.com

    Subject:
    You have received A Hallmark E-Card!
    Your friend invited you to Twitter!
    Laura would like to be your friend on hi5!
    Shipping update for your Amazon.com order.
    Thank you from Google!
    You have got a new message on Facebook!

  Soluciones

Motor de exploraci¨®n m¨ªnimo 8.900
Archivo de patrones de VSAPI 7.376.19
Fecha de publicaci¨®n de patrones de VSAPI 11 de agosto de 2010
Fecha de publicaci¨®n de patrones de VSAPI 8/11/2010 12:00:00 AM
Primer archivo de patrones de VSAPI 7.374.05
Primera fecha de publicaci¨®n de patrones de VSAPI 10 de agosto de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_BLAKCONT.W

    • ?JS_DURSG.H

Step 3

Eliminar esta clave del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\
    • HP91

Step 4

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Run
    • Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
    • Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
    • HP Software Updater II = %System%\HPWuSchde.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Active Setup\Installed Components\ {SID}
    • StubPath = %Windows%\reader_sl.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\ Explorer\Run
    • RTHDBPL = %User Profile%\Application Data\SystemProc\lsass.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion
    • ||||||||||||||||||||||||||||||... = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • h8 = {number}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • h9 = {number}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • DeleteFlag = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %System%\HPWuSchde.exe = %System%\HPWuSchde.exe:*:Enabled:Explorer
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • DeleteFlag = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,

Step 5

Restaurar este valor del Registro modificado

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • From: Start = 4
      To: Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = 4
      To: Start = 2

Step 6

Buscar y eliminar este archivo

[ aprenda m¨¢s ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • %Windows%\areader.dll - data file?

Step 7

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como WORM_BLAKCONT.W En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Rellene nuestra encuesta!