本文摘自 本站-中毒...幫幫忙-一文byBeta大大貼
名稱: W32.Worm.Lovgate.G
別名: W32.HLLW.Lovgate.C@mm[Symantec]; WORM_LOVGATE.F [Trend]; WORM_LOVGATE.G [Trend]; W32/Lovgate.f@M [McAfee]; W32/Lovgate.g@M [McAfee]; I-Worm.LovGate.f [Kaspersky]
種類: 蠕蟲
問題: 使用防毒軟體偵測到 W32.Worm.Lovgate.G 後卻無法進行解毒或隔離動作.
原因: 因為惡意程式正在執行,因此無法更動惡意程式在磁碟上的檔案.
解決辦法: 使用手動解除 或 使用特別解除工具 (賽門鐵克)
http://securityresponse.symantec.com...oval.tool.html
手動解解除程序:
如果使用 Window NT/2000/XP 作業系統,可按下 CTRL+ALT+DEL 並開啟"工作管理員"
在工作管理員中選擇"處理程序"標籤,並找到影像名稱為 "RAVMOND.EXE" 點選並結束處理程序.
1. 執行登錄編輯程式 (在 開始/執行 中輸入 regedit 並按下"確定")
2. 刪除以下機碼:
機碼位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱: winhelp 資料: %system%\winhelp.exe
名稱: WinGate initialize 資料: %system%\WinGate.exe -remoteshell
名稱: Remote Procedure Call Locator 資料: rundll32.exe reg678.dll
名稱: Program in Windows 資料: %system%\iexplore.exe
機碼位置: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
名稱: run 資料: RAVMOND.EXE
3. 修改以下機碼:
機碼位置: HKEY_CLASSES_ROOT\txtfile\shell\open\command
名稱: (預設值)
請修改 (預設值) 機碼內容為以下說明的資料:
* 如果您的作業系統為 Windows 95/98/Me 則修改為 [Windows 安裝目錄]\Notepad.exe %
ps. [Windows 安裝目錄] 請自行代換成您安裝作業系統的目錄. 例如修改為: C:\Windows\Notepad.exe %
* 如果您的作業系統為 Windows NT/2000/XP 則修改為 %SystemRoot%\system32\NOTEPAD.EXE %1
4. 離開登錄編輯程式
5. 重新開機
6. 重新執行掃毒程式掃描 或 執行以下動作
7. 如果您的作業系統為 Windows NT/2000/XP 請開啟我的電腦到 [Windows 安裝目錄]\system32 檔案夾中:
如果您的作業系統為 Windows 95/98/Me 請開啟我的電腦到 [Windows 安裝目錄]\system 檔案夾中:
ps. [Windows 安裝目錄] 請自行代換成您安裝作業系統的目錄. 如: C:\WINNT\SYSTEM32
在檔案夾中找到並刪除以下檔案: (不一定全部都有)
Ravmond.exe
WinGate.exe
WinDriver.exe
Winrpc.exe
Winhelp.exe
Iexplore.exe
Kernel66.dll
NetServices.exe
Task688.dll
Ily688.dll
Reg678.dll
111.dll
8. 解除完成