TROJ_AGENT.BBWF

Publish Date: 12 de октября de 2012

Dropper-FAG!BE84ADCA5C9F (McAfee); PAK:PE_Patch (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Gen:Variant.Kazy.31861 (FSecure)

PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

DISTRIBUTION POTENTIAL::

REPORTED INFECTION:

Low

Medium

High

Critical

Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes

OVERVIEW

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Este malware se elimina tras la ejecución.

TECHNICAL DETAILS

File size: 137,216 bytes

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 03 апреля 2012

Técnica de inicio automático

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaieSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynaSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynbSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsyncSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsyndSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsyneSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynfSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsyngSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynhSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsyniSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynjSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynkSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynlSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynmSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynnSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynoSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynpSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynqSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynrSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynsSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsyntSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynuSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynvSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynwSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynxSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynySvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynzSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynaSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynbSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsyncSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsyndSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsyneSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynfSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsyngSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynhSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsyniSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynjSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynkSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynlSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynmSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynnSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynoSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\XsynpSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakaSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakbSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakcSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakdSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakeSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakfSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakgSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakhSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakiSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakjSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakkSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaklSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakmSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaknSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakoSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakpSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakqSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakrSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaksSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaktSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakuSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakvSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakwSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakxSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakySvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WakzSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalaSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalbSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalcSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaldSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaleSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalfSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalgSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalhSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaliSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaljSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalkSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WallSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalmSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalnSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaloSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalpSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalqSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalrSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalsSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaltSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaluSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalvSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalwSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalxSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalySvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WalzSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamaSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WambSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamcSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamdSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WameSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamfSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamhSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamiSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamjSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamkSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamlSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WammSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamnSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamoSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WampSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamqSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamrSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamsSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamtSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamuSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamvSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamwSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamxSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamySvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WamzSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanaSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanbSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WancSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WandSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaneSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanfSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WangSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanhSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WaniSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanjSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WankSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanlSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanmSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WannSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanoSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanpSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanqSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanrSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WansSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WantSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanuSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WanvSvc

Otras modificaciones del sistema

Elimina los archivos siguientes:

%Windows%\Microsoft.NET\Framework\v2.0.50727\config\security.config.cch.280.38718
%Windows%\Microsoft.NET\Framework\v2.0.50727\config\enterprisesec.config.cch.280.38718
%User Profile%\v2.0.50727.42\security.config.cch.280.39359

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
Service1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\lib32wanw

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\lib32wanw\
DEBUG

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WanwSvc
Description = "{random characters}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WanwSvc
FailureActions = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
Service1
EventMessageFile = "%Windows%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application
Sources = "{random characters}"

(Note: The default value data of the said registry entry is {random values}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
EventMessageFile = "%System%\ESENT.dll"

(Note: The default value data of the said registry entry is {random values}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
CategoryMessageFile = "%System%\ESENT.dll"

(Note: The default value data of the said registry entry is {random values}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
CategoryCount = "1"

(Note: The default value data of the said registry entry is 10.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
TypesSupported = "7"

(Note: The default value data of the said registry entry is 7.)

Otros detalles

Este malware se elimina tras la ejecución.

SOLUTION

Minimum scan engine: 9.200

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Reiniciar en modo seguro

[ learnMore ]

Step 3

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaieSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynaSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynbSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsyncSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsyndSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsyneSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynfSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsyngSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynhSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsyniSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynjSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynkSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynlSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynmSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynnSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynoSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynpSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynqSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynrSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynsSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsyntSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynuSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynvSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynwSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynxSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynySvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WsynzSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynaSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynbSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsyncSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsyndSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsyneSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynfSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsyngSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynhSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsyniSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynjSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynkSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynlSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynmSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynnSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynoSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- XsynpSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakaSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakbSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakcSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakdSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakeSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakfSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakgSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakhSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakiSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakjSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakkSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaklSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakmSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaknSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakoSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakpSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakqSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakrSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaksSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaktSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakuSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakvSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakwSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakxSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakySvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WakzSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalaSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalbSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalcSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaldSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaleSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalfSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalgSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalhSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaliSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaljSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalkSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WallSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalmSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalnSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaloSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalpSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalqSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalrSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalsSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaltSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaluSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalvSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalwSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalxSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalySvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WalzSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamaSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WambSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamcSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamdSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WameSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamfSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamhSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamiSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamjSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamkSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamlSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WammSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamnSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamoSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WampSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamqSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamrSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamsSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamtSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamuSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamvSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamwSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamxSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamySvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WamzSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanaSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanbSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WancSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WandSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaneSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanfSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WangSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanhSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WaniSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanjSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WankSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanlSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanmSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WannSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanoSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanpSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanqSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanrSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WansSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WantSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanuSvc

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WanvSvc

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application
- Service1

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process
- lib32wanw

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\lib32wanw
- DEBUG

Para eliminar la clave del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
También en el panel izquierdo, busque y elimine la clave:
WaieSvc
También en el panel izquierdo, busque y elimine la clave:
WsynaSvc
También en el panel izquierdo, busque y elimine la clave:
WsynbSvc
También en el panel izquierdo, busque y elimine la clave:
WsyncSvc
También en el panel izquierdo, busque y elimine la clave:
WsyndSvc
También en el panel izquierdo, busque y elimine la clave:
WsyneSvc
También en el panel izquierdo, busque y elimine la clave:
WsynfSvc
También en el panel izquierdo, busque y elimine la clave:
WsyngSvc
También en el panel izquierdo, busque y elimine la clave:
WsynhSvc
También en el panel izquierdo, busque y elimine la clave:
WsyniSvc
También en el panel izquierdo, busque y elimine la clave:
WsynjSvc
También en el panel izquierdo, busque y elimine la clave:
WsynkSvc
También en el panel izquierdo, busque y elimine la clave:
WsynlSvc
También en el panel izquierdo, busque y elimine la clave:
WsynmSvc
También en el panel izquierdo, busque y elimine la clave:
WsynnSvc
También en el panel izquierdo, busque y elimine la clave:
WsynoSvc
También en el panel izquierdo, busque y elimine la clave:
WsynpSvc
También en el panel izquierdo, busque y elimine la clave:
WsynqSvc
También en el panel izquierdo, busque y elimine la clave:
WsynrSvc
También en el panel izquierdo, busque y elimine la clave:
WsynsSvc
También en el panel izquierdo, busque y elimine la clave:
WsyntSvc
También en el panel izquierdo, busque y elimine la clave:
WsynuSvc
También en el panel izquierdo, busque y elimine la clave:
WsynvSvc
También en el panel izquierdo, busque y elimine la clave:
WsynwSvc
También en el panel izquierdo, busque y elimine la clave:
WsynxSvc
También en el panel izquierdo, busque y elimine la clave:
WsynySvc
También en el panel izquierdo, busque y elimine la clave:
WsynzSvc
También en el panel izquierdo, busque y elimine la clave:
XsynaSvc
También en el panel izquierdo, busque y elimine la clave:
XsynbSvc
También en el panel izquierdo, busque y elimine la clave:
XsyncSvc
También en el panel izquierdo, busque y elimine la clave:
XsyndSvc
También en el panel izquierdo, busque y elimine la clave:
XsyneSvc
También en el panel izquierdo, busque y elimine la clave:
XsynfSvc
También en el panel izquierdo, busque y elimine la clave:
XsyngSvc
También en el panel izquierdo, busque y elimine la clave:
XsynhSvc
También en el panel izquierdo, busque y elimine la clave:
XsyniSvc
También en el panel izquierdo, busque y elimine la clave:
XsynjSvc
También en el panel izquierdo, busque y elimine la clave:
XsynkSvc
También en el panel izquierdo, busque y elimine la clave:
XsynlSvc
También en el panel izquierdo, busque y elimine la clave:
XsynmSvc
También en el panel izquierdo, busque y elimine la clave:
XsynnSvc
También en el panel izquierdo, busque y elimine la clave:
XsynoSvc
También en el panel izquierdo, busque y elimine la clave:
XsynpSvc
También en el panel izquierdo, busque y elimine la clave:
WakaSvc
También en el panel izquierdo, busque y elimine la clave:
WakbSvc
También en el panel izquierdo, busque y elimine la clave:
WakcSvc
También en el panel izquierdo, busque y elimine la clave:
WakdSvc
También en el panel izquierdo, busque y elimine la clave:
WakeSvc
También en el panel izquierdo, busque y elimine la clave:
WakfSvc
También en el panel izquierdo, busque y elimine la clave:
WakgSvc
También en el panel izquierdo, busque y elimine la clave:
WakhSvc
También en el panel izquierdo, busque y elimine la clave:
WakiSvc
También en el panel izquierdo, busque y elimine la clave:
WakjSvc
También en el panel izquierdo, busque y elimine la clave:
WakkSvc
También en el panel izquierdo, busque y elimine la clave:
WaklSvc
También en el panel izquierdo, busque y elimine la clave:
WakmSvc
También en el panel izquierdo, busque y elimine la clave:
WaknSvc
También en el panel izquierdo, busque y elimine la clave:
WakoSvc
También en el panel izquierdo, busque y elimine la clave:
WakpSvc
También en el panel izquierdo, busque y elimine la clave:
WakqSvc
También en el panel izquierdo, busque y elimine la clave:
WakrSvc
También en el panel izquierdo, busque y elimine la clave:
WaksSvc
También en el panel izquierdo, busque y elimine la clave:
WaktSvc
También en el panel izquierdo, busque y elimine la clave:
WakuSvc
También en el panel izquierdo, busque y elimine la clave:
WakvSvc
También en el panel izquierdo, busque y elimine la clave:
WakwSvc
También en el panel izquierdo, busque y elimine la clave:
WakxSvc
También en el panel izquierdo, busque y elimine la clave:
WakySvc
También en el panel izquierdo, busque y elimine la clave:
WakzSvc
También en el panel izquierdo, busque y elimine la clave:
WalaSvc
También en el panel izquierdo, busque y elimine la clave:
WalbSvc
También en el panel izquierdo, busque y elimine la clave:
WalcSvc
También en el panel izquierdo, busque y elimine la clave:
WaldSvc
También en el panel izquierdo, busque y elimine la clave:
WaleSvc
También en el panel izquierdo, busque y elimine la clave:
WalfSvc
También en el panel izquierdo, busque y elimine la clave:
WalgSvc
También en el panel izquierdo, busque y elimine la clave:
WalhSvc
También en el panel izquierdo, busque y elimine la clave:
WaliSvc
También en el panel izquierdo, busque y elimine la clave:
WaljSvc
También en el panel izquierdo, busque y elimine la clave:
WalkSvc
También en el panel izquierdo, busque y elimine la clave:
WallSvc
También en el panel izquierdo, busque y elimine la clave:
WalmSvc
También en el panel izquierdo, busque y elimine la clave:
WalnSvc
También en el panel izquierdo, busque y elimine la clave:
WaloSvc
También en el panel izquierdo, busque y elimine la clave:
WalpSvc
También en el panel izquierdo, busque y elimine la clave:
WalqSvc
También en el panel izquierdo, busque y elimine la clave:
WalrSvc
También en el panel izquierdo, busque y elimine la clave:
WalsSvc
También en el panel izquierdo, busque y elimine la clave:
WaltSvc
También en el panel izquierdo, busque y elimine la clave:
WaluSvc
También en el panel izquierdo, busque y elimine la clave:
WalvSvc
También en el panel izquierdo, busque y elimine la clave:
WalwSvc
También en el panel izquierdo, busque y elimine la clave:
WalxSvc
También en el panel izquierdo, busque y elimine la clave:
WalySvc
También en el panel izquierdo, busque y elimine la clave:
WalzSvc
También en el panel izquierdo, busque y elimine la clave:
WamaSvc
También en el panel izquierdo, busque y elimine la clave:
WambSvc
También en el panel izquierdo, busque y elimine la clave:
WamcSvc
También en el panel izquierdo, busque y elimine la clave:
WamdSvc
También en el panel izquierdo, busque y elimine la clave:
WameSvc
También en el panel izquierdo, busque y elimine la clave:
WamfSvc
También en el panel izquierdo, busque y elimine la clave:
WamhSvc
También en el panel izquierdo, busque y elimine la clave:
WamiSvc
También en el panel izquierdo, busque y elimine la clave:
WamjSvc
También en el panel izquierdo, busque y elimine la clave:
WamkSvc
También en el panel izquierdo, busque y elimine la clave:
WamlSvc
También en el panel izquierdo, busque y elimine la clave:
WammSvc
También en el panel izquierdo, busque y elimine la clave:
WamnSvc
También en el panel izquierdo, busque y elimine la clave:
WamoSvc
También en el panel izquierdo, busque y elimine la clave:
WampSvc
También en el panel izquierdo, busque y elimine la clave:
WamqSvc
También en el panel izquierdo, busque y elimine la clave:
WamrSvc
También en el panel izquierdo, busque y elimine la clave:
WamsSvc
También en el panel izquierdo, busque y elimine la clave:
WamtSvc
También en el panel izquierdo, busque y elimine la clave:
WamuSvc
También en el panel izquierdo, busque y elimine la clave:
WamvSvc
También en el panel izquierdo, busque y elimine la clave:
WamwSvc
También en el panel izquierdo, busque y elimine la clave:
WamxSvc
También en el panel izquierdo, busque y elimine la clave:
WamySvc
También en el panel izquierdo, busque y elimine la clave:
WamzSvc
También en el panel izquierdo, busque y elimine la clave:
WanaSvc
También en el panel izquierdo, busque y elimine la clave:
WanbSvc
También en el panel izquierdo, busque y elimine la clave:
WancSvc
También en el panel izquierdo, busque y elimine la clave:
WandSvc
También en el panel izquierdo, busque y elimine la clave:
WaneSvc
También en el panel izquierdo, busque y elimine la clave:
WanfSvc
También en el panel izquierdo, busque y elimine la clave:
WangSvc
También en el panel izquierdo, busque y elimine la clave:
WanhSvc
También en el panel izquierdo, busque y elimine la clave:
WaniSvc
También en el panel izquierdo, busque y elimine la clave:
WanjSvc
También en el panel izquierdo, busque y elimine la clave:
WankSvc
También en el panel izquierdo, busque y elimine la clave:
WanlSvc
También en el panel izquierdo, busque y elimine la clave:
WanmSvc
También en el panel izquierdo, busque y elimine la clave:
WannSvc
También en el panel izquierdo, busque y elimine la clave:
WanoSvc
También en el panel izquierdo, busque y elimine la clave:
WanpSvc
También en el panel izquierdo, busque y elimine la clave:
WanqSvc
También en el panel izquierdo, busque y elimine la clave:
WanrSvc
También en el panel izquierdo, busque y elimine la clave:
WansSvc
También en el panel izquierdo, busque y elimine la clave:
WantSvc
También en el panel izquierdo, busque y elimine la clave:
WanuSvc
También en el panel izquierdo, busque y elimine la clave:
WanvSvc
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Services>Eventlog>Application
También en el panel izquierdo, busque y elimine la clave:
Service1
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>ESENT>Process
También en el panel izquierdo, busque y elimine la clave:
lib32wanw
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>ESENT>Process>lib32wanw
También en el panel izquierdo, busque y elimine la clave:
DEBUG
Cierre el Editor del Registro.

Step 4

Eliminar este valor del Registro

[ learnMore ]

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WanwSvc
- Description = "{random characters}"

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WanwSvc
- FailureActions = "{random values}"

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Service1
- EventMessageFile = "%Windows%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll"

Step 5

Restaurar este valor del Registro modificado

[ learnMore ]

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application
- From: Sources = "{random characters}"
  To: Sources = ""{random values}""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: EventMessageFile = "%System%\ESENT.dll"
  To: EventMessageFile = ""{random values}""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: CategoryMessageFile = "%System%\ESENT.dll"
  To: CategoryMessageFile = ""{random values}""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: CategoryCount = "1"
  To: CategoryCount = ""10""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
- From: TypesSupported = "7"
  To: TypesSupported = ""7""

Step 6

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como TROJ_AGENT.BBWF En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

TROJ_AGENT.BBWF

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

TROJ_AGENT.BBWF

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Северная и Южная Америка

Ближний Восток и Африка

Европа

Азиатско-Тихоокеанский регион