WORM_BLAKCONT.W

Canal de infección Se propaga vía correo electrónico, Se propaga vía redes P2P (de igual a igual), Se propaga vía unidades extraíbles

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Este malware infiltra copias de sí mismo en todas las unidades extraíbles. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Oculta archivos, procesos y/o entradas de registro.

Tamaño del archivo Varía

Residente en memoria Sí

Fecha de recepción de las muestras iniciales 10 agosto 2010

Carga útil Drops files, Hides files and processes, Terminates processes

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

%System%\HPWuSchde.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Infiltra los archivos siguientes:

%Windows%\areader.dll - data file

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

%System%\hp-24570.exe - also detected as WORM_BLAKCONT.W
%System%\reader_sl.exe - also detected as WORM_BLAKCONT.W
%User Profile%\Application Data\SystemProc\lsass.exe - also detected as WORM_BLAKCONT.W
%Windows%\reader_sl.exe - also detected as WORM_BLAKCONT.W

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s):

%Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul - detected as JS_DURSG.H

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Crea las carpetas siguientes:

%Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
%User Profile%\Application Data\SystemProc

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

HPWuSchde.exe{Random characters}

Usa los nombres siguientes para las copias que infiltra:

[+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
[antihack tool] Trojan Killer v2.9.4173.exe
[Eni0j0 team] Vmvare keygen.exe
[Eni0j0 team] Windows 7 Ultimate keygen.exe
[fixed]RapidShare Killer AIO 2010.exe
[patched, serial not need] Nero 9.x keygen.exe
[patched, serial not needed] Absolute Video Converter 6.2-7.exe
[patched, serial not needed] PDF to Word Converter 3.4.exe
[patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
Ad-aware 2010.exe
Adobe Acrobat Reader keygen.exe
Adobe Illustrator CS4 crack.exe
Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
Alcohol 120 v1.9.x.exe
Anti-Porn v13.x.x.x.exe
AnyDVD HD v.6.3.1.8 Beta incl crack.exe
AOL Instant Messenger (AIM) Hacker.exe
AOL Password Cracker.exe
Ashampoo Snap 3.xx [Skarleot Group].exe
Avast 4.x Professional.exe
Avast 5.x Professional.exe
BitDefender AntiVirus 2010 Keygen.exe
Blaze DVD Player Pro v6.52.exe
Brutus FTP Cracker.exe
CleanMyPC Registry Cleaner v6.02.exe
Counter-Strike Serial key generator [Miona patch].exe
Daemon Tools Pro 4.8.exe
DCOM Exploit archive.exe
DivX 5.x Pro KeyGen generator.exe
Divx Pro 7.x version Keymaker.exe
Download Accelerator Plus v9.2.exe
Download Boost 2.0.exe
DVD Tools Nero 10.x.x.x.exe
FTP Cracker.exe
G-Force Platinum v3.7.6.exe
Google SketchUp 7.1 Pro.exe
Grand Theft Auto IV [Offline Activation + mouse patch].exe
Half-Life 2 Downloader.exe
Hotmail Cracker [Brute method].exe
Hotmail Hacker [Brute method].exe
ICQ Hacker Trial version [brute].exe
Image Size Reducer Pro v1.0.1.exe
Internet Download Manager V5.exe
IP Nuker.exe
K-Lite Mega Codec v5.2 Portable.exe
K-Lite Mega Codec v5.2.exe
Kaspersky AntiVirus 2010 crack.exe
Kaspersky Internet Security 2010 keygen.exe
Keylogger unique builder.exe
L0pht 4.0 Windows Password Cracker.exe
LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
Magic Video Converter 8.exe
McAfee Total Protection 2010 [serial patch by AnalGin].exe
Microsoft Visual Basic KeyGen.exe
Microsoft Visual C++ KeyGen.exe
Microsoft Visual Studio KeyGen.exe
Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
Motorola, nokia, ericsson mobil phone tools.exe
Mp3 Splitter and Joiner Pro v3.48.exe
MSN Password Cracker.exe
Myspace theme collection.exe
NetBIOS Cracker.exe
NetBIOS Hacker.exe
Norton Anti-Virus 2005 Enterprise Crack.exe
Norton Anti-Virus 2010 Enterprise Crack.exe
Norton Internet Security 2010 crack.exe
Password Cracker.exe
PDF password remover (works with all acrobat reader).exe
Power ISO v4.4 + keygen milon.exe
Rapidshare Auto Downloader 3.8.6.exe
sdbot with NetBIOS Spread.exe
Sophos antivirus updater bypass.exe
Sub7 2.5.1 Private.exe
Super Utilities Pro 2009 11.0.exe
Total Commander7 license+keygen.exe
Tuneup Ultilities 2010.exe
Twitter FriendAdder 2.3.9.exe
UT 2003 KeyGen.exe
VmWare 7.x keygen.exe
Website Hacker.exe
Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Windows Password Cracker + Elar3 key.exe
Windows2008 keygen and activator.exe
WinRAR v3.x keygen [by HiXem].exe
Youtube Music Downloader 1.3.exe
YouTubeGet 5.6.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HP Software Updater II = "%System%\HPWuSchde.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {SID}
StubPath = "%Windows%\reader_sl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
HP91
(Default) =

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
||||||||||||||||||||||||||||||... = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h8 = "{number}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h9 = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\HPWuSchde.exe = "%System%\HPWuSchde.exe:*:Enabled:Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

%Removable Drive%\RECYCLER

Infiltra una copia de sí mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

%Program Files%\bearshare\shared\
%Program Files%\edonkey2000\incoming\
%Program Files%\emule\incoming\
%Program Files%\grokster\my grokster\
%Program Files%\icq\shared folder\
%Program Files%\kazaa lite k++\my shared folder\
%Program Files%\kazaa lite\my shared folder\
%Program Files%\kazaa\my shared folder\
%Program Files%\limewire\shared\
%Program Files%\morpheus\my shared folder\
%Program Files%\tesla\files\
%Program Files%\winmx\shared\

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Evita enviar mensajes de correo electrónico a direcciones que contienen las cadenas siguientes:

- .gov
- abuse
- acd-group
- {BLOCKED}t.com
- {BLOCKED}tems.com
- acketst
- admin
- ahnlab
- {BLOCKED}l-lucent.com
- anyone
- apache
- arin
- avg.comsysinternals
- avira
- badware
- berkeley
- bitdefender
- {BLOCKED}n.ch
- borlan
- bpsoft com
- bsd
- {BLOCKED}r.com
- cerific
- certific
- cisco
- clamav
- contact
- debian
- drweb
- {BLOCKED}t.com
- example
- f-secure
- fido
- firefox
- fsf.
- {BLOCKED}r.com
- gimp
- gnu
- gold-certs
- gov.
- honeynet
- honeypot
- iana
- {BLOCKED}m.com
- icrosoft
- idefense
- ietf
- ikarus
- {BLOCKED}tyinc.com
- inpris
- isc.o
- isi.e
- jgsoft
- kaspersky
- kernel
- lavasoft
- linux
- listserv
- mcafee
- messagelabs
- mit.e
- mozilla
- mydomai
- nobody
- nodomai
- noone
- nothing
- novirusthanks
- ntivi
- {BLOCKED}ft.org
- panda
- pgp
- postmaster
- prevx
- privacy
- qualys
- {BLOCKED}or.com
- rating
- redhat
- rfc-ed
- ruslis
- sales
- samba
- samples
- secur
- security
- sendmail
- service
- slashdot
- somebody
- someone
- sopho
- sourceforge
- spam
- spm
- {BLOCKED}h.com
- submit
- {BLOCKED}n.com
- support
- suse
- syman
- tanford.e
- the.bat
- unix
- usenet
- utgers.ed
- virus
- virusbuster
- webmaster
- websense
- winamp
- winpcap
- wireshark
- www.{BLOCKED}m

Capacidades de rootkit

Oculta archivos, procesos y/o entradas de registro.

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

Almon.exe
ALSvc.exe
APvxdwin.exe
ashdisp.exe
ashserv.exe
avcenter.exe
avciman.exe
AVENGINE.exe
avgcsrvx.exe
avgemc.exe
avgnt.exe
avgrsx.exe
avgtray.exe
avguard.exe
avgui.exe
avgwdsvc.exe
avp.exe
bdagent.exe
bdss.exe
CCenter.exe
drweb32w.exe
drwebupw.exe
egui.exe
ekrn.exe
emproxy.exe
FPAVServer.exe
FprotTray.exe
FPWin.exe
guardgui.exe
HWAPI.exe
iface.exe
isafe.exe
K7EmlPxy.exe
K7RTScan.exe
K7SysTry.exe
K7TSecurity.exe
K7TSMngr.exe
livesrv.exe
mcagent.exe
mcmscsvc.exe
McNASvc.exe
mcods.exe
mcpromgr.exe
McProxy.exe
Mcshield.exe
mcsysmon.exe
mcvsshld.exe
MpfSrv.exe
mps.exe
mskagent.exe
msksrver.exe
NTRtScan.exe
Pavbckpt.exe
PavFnSvr.exe
PavPrSrv.exe
PAVSRV51.exe
pccnt.exe
PSCtrlS.exe
PShost.exe
PsIMSVC.exe
psksvc.exe
Rav.exe
RavMon.exe
RavmonD.exe
RavStub.exe
RavTask.exe
RedirSvc.exe
SavAdminService.exe
SavMain.exe
SavService.exe
sbamtray.exe
sbamui.exe
seccenter.exe
spidergui.exe
SrvLoad.exe
TmListen.exe
TPSRV.exe
vetmsg.exe
vsserv.exe
Webproxy.exe
xcommsvr.exe

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

Attempts to determine the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system by using the gathered domain name and the following prefixes:
- mx.
- mail.
- smtp.
- mx1.
- mxs.
- mail1.
- relay.
- ns.
- gate.
Checks the location of the Windows Address Book by querying the following registry key:

HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name
Searches for email addresses in the following folder:
- %User Profile%\Local Settings\Temporary Internet Files
Harvests email addresses from files with the following extensions:
- .txt
- .htm
- .xml
- .php
- .asp
- .dbx
- .log
- .nfo
- .lst
- .rtf
- .xml
- .wpd
- .wps
- .xls
- .doc
- .wab
Uses its own Simple Mail Transfer Protocol (SMTP) engine to send email messages with a copy of itself as attachment. The email messages it sends out bear the following details:

From:
e-cards@hallmark.com
invitations@twitter.com
invitations@hi5.com
order-update@amazon.com
resume-thanks@google.com
update@facebookmail.com

Subject:
You have received A Hallmark E-Card!
Your friend invited you to Twitter!
Laura would like to be your friend on hi5!
Shipping update for your Amazon.com order.
Thank you from Google!
You have got a new message on Facebook!

Motor de exploración mínimo 8.900

Archivo de patrones de VSAPI 7.376.19

Fecha de publicación de patrones de VSAPI 11 de agosto de 2010

Fecha de publicación de patrones de VSAPI 8/11/2010 12:00:00 AM

Primer archivo de patrones de VSAPI 7.374.05

Primera fecha de publicación de patrones de VSAPI 10 de agosto de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_BLAKCONT.W

JS_DURSG.H

Step 3

Eliminar esta clave del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_CURRENT_USER\Software\Microsoft\
- HP91

Step 4

Eliminar este valor del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Run
- Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
- Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
- HP Software Updater II = %System%\HPWuSchde.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Active Setup\Installed Components\ {SID}
- StubPath = %Windows%\reader_sl.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\ Explorer\Run
- RTHDBPL = %User Profile%\Application Data\SystemProc\lsass.exe
In HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion
- ||||||||||||||||||||||||||||||... = 1
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- h8 = {number}
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- h9 = {number}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- DeleteFlag = 1
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %System%\HPWuSchde.exe = %System%\HPWuSchde.exe:*:Enabled:Explorer
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- DeleteFlag = 1
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,

Para eliminar el valor del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Policies> Explorer>Run
En el panel derecho, busque y elimine la entrada:
Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run
En el panel derecho, busque y elimine la entrada:
Adobe Reader Speed Launcher = %Windows%\reader_sl.exe
En el panel derecho, busque y elimine la entrada:
HP Software Updater II = %System%\HPWuSchde.exe
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Active Setup>Installed Components> {SID}
En el panel derecho, busque y elimine la entrada:
StubPath = %Windows%\reader_sl.exe
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>policies> Explorer>Run
En el panel derecho, busque y elimine la entrada:
RTHDBPL = %User Profile%\Application Data>SystemProc>lsass.exe
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft> Windows NT>CurrentVersion
En el panel derecho, busque y elimine la entrada:
||||||||||||||||||||||||||||||... = 1
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer
En el panel derecho, busque y elimine la entrada:
h8 = {number}
En el panel derecho, busque y elimine la entrada:
h9 = {number}
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>system
En el panel derecho, busque y elimine la entrada:
EnableLUA = 0
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>ERSvc
En el panel derecho, busque y elimine la entrada:
DeleteFlag = 1
En el panel derecho, busque y elimine la entrada:
FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile>AuthorizedApplications>List
En el panel derecho, busque y elimine la entrada:
%System%\HPWuSchde.exe = %System%\HPWuSchde.exe:*:Enabled:Explorer
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>wscsvc
En el panel derecho, busque y elimine la entrada:
DeleteFlag = 1
En el panel derecho, busque y elimine la entrada:
FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,
Cierre el Editor del Registro.

Step 5

Restaurar este valor del Registro modificado

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- From: Start = 4
  To: Start = 2
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = 4
  To: Start = 2

Step 6

Buscar y eliminar este archivo

[ aprenda más ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

%Windows%\areader.dll - data file

Step 7

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como WORM_BLAKCONT.W En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Rellene nuestra encuesta!

Resumen y descripción

Detalles técnicos

Soluciones

Sobre spam

Recursos

Soporte

Acerca de Trend

WORM_BLAKCONT.W

Resumen y descripción

Detalles técnicos

Soluciones

Sobre spam

Recursos

Soporte

Acerca de Trend

América

Oriente Medio y África

Europa

Asia-Pacífico