文章引用自:台灣賽門鐵克
W32.HLLW.Lovgate@mm 移除工具
發現時間: February 24, 2003
上次更新時間: March 14, 2003 03:48:37 PM
此工具會執行下列作業
W32.HLLW.Lovgate@mm 移除工具1.0.4版現在已經提供下載。 此移除工具將移除下列已知病毒威脅的所有變種及它們的副作用:
W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate.F@mm
移除工具將:
1. 確認電腦是否被任何 W32.HLLW.Lovgate@mm的變種所感染。
2. 找出並刪除所有包含病蟲的檔案。
3. 由HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run登錄鍵中找出並刪除所有下列值:
syshelp
WinGate initialize
Module Call initialize
4. 刪除下列登錄鍵:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
HKEY_LOCAL_MACHINE\Software\KittyXP.sql
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
HKEY_CLASSES_ROOT\txtfile\shell\open\command
注意: 此病蟲會覆寫登錄鍵之前所包含的用戶定義數值。這麼一來,一但電腦被感染後便無法將這些鍵所包含的數值救回。
5. 找出登錄鍵:
HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command
並改變數值:
winrpc.exe %1
成為:
notepad.exe %1
6. 停止並刪除下列服務:
Window Remote Service (Window 遠端服務)
Microsoft NetWork Services FireWall (Microsoft 網路服務防火牆)
Windows Management Extension
7. 在區域安全支配服務列(Local Security Authority Service (lsass.exe))下找出正在執行的病毒執行緒 , 此執行緒是病蟲感染系統時所使用的合法 Windows 程式,移除工具將停止此執行緒執行。
8. 移除所有病蟲安裝在系統上的檔案。
此工具可使用的指令行參數
參數
說明
/HELP, /H, /?
顯示說明訊息。
/SILENT, /S
啟用無回應模式。
/LOG=<path name>
建立記錄檔,其中 <path name> 是儲存工具輸出的位置。 根據預設,這個參數會在執行移除工具的同一個資料夾內建立記錄檔 FixLGate.log。
取得並執行工具
NOTE: 您必須擁有管理員權限才能在 Windows NT4.0/2000/XP 上執行此工具。
1. 從下列位址下載 FixLGate.exe 檔案:
http://securityresponse.symantec.co...r/FixLGate.exe.
2. 將檔案儲存在方便的位置,例如您的下載資料夾或 Windows 桌面 (或者,如果方便,請儲存在未受感染的可移除式媒體上)
3. 若要檢查數位簽章的真偽,請參考「數位簽章」一節。
4. 執行工具前請先關閉所有程式。
5. 在 FixLGate.exe 檔上按兩下滑鼠,即可啟動移除工具。
6. 按下「開始」啟動程序,並允許工具執行。
7. 重新啟動電腦。
8. 再次執行移除工具,確保系統已清除乾淨。
9. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。
數位簽章
FixLGate.exe 已通過數位簽章。 賽門鐵克建議您使用直接從「賽門鐵克安全機制應變中心」網站所下載的 FixLGate.exe。 若要檢查數位簽章的真偽,請遵循下列步驟:
1. 到
http://www.wmsoftware.com/free.htm.
2. 下載 Chktrust.exe 檔,並和 FixLGate.exe 儲存在同一個資料夾 (例如,C:\Downloads 資料夾)。
3. 請根據您的作業系統執行下列步驟:
按下「開始」,指向「程式集」,然後按下「MS-DOS 模式」。
按下「開始」,指向「程式集」,按下「附屬應用程式」,然後按下「指令提示字元」。
4. 移至包含 FixLGate.exe 和 Chktrust.exe 的目錄,然後輸入:
chktrust -i FixLGate.exe
例如,如果您將檔案儲存在 C:\Downloads 資料夾中,可輸入下列指令 (每輸入一行指令按下 Enter):
cd\
cd downloads
chktrust -i FixLGate.exe
如果數位簽章有效,您會看到下列訊息:
Do you want to install and run "FixLGate" signed on 2/24/2003 1:29 PM and distributed by Symantec Corporation?
(您要安裝並執行由賽門鐵克公司於 2/24/2003 1:29 PM 所簽署發行的 "FixLGate.com" 嗎?)
注意:
如果您的電腦不是設定為太平洋時區,則此對話方塊中的日期和時間會隨您的時區而調整。
如果您使用「日光節約時間」,則顯示的時間會剛好慢一個鐘頭。
如果沒有出現這個對話方塊,問題可能來自兩個地方:
您使用的工具不是由賽門鐵克所提供: 除非您確定使用的工具是從合法的賽門鐵克網站所下載的,否則請勿執行它。
您可以在賽門鐵克的網站上找到這個工具,而且完全合法: 然而,您的作業系統已經過設定接受所有來自賽門鐵克的內容。 如需關於如何檢視關於再次確認對話方塊的相關資訊,請參閱「如何還原 Publisher Authenticity 確認對話方塊」(英文)文件。
5. 按下「是」關閉對話方塊。
6. 鍵入 exit, 並按下 Enter. (這會關閉 MS-DOS 視窗。)
從磁片中執行工具
1. 請插入包含 FixLGate.exe 檔案的軟碟至軟碟機。
2. 按下「開始」,然後按下「執行」。
3. 輸入下列字行:
a:\FixLGate.exe
然後按下「確定」。
注意: 在 a:\FixLGate.exe 指令中並無空格。
4. 按下「開始」啟動程序,並允許工具執行。
5. 如果您是執行 Windows Me,請重新啟動「系統還原」。
6.
修訂歷史:
2003年2月24日。 W32.HLLW.Lovgate 移除工具版本1.0 支援 W32.HLLW.Lovgate.C@mm 變種。
2003年2月25日。 1.0.1版本加入對 W32.HLLW.Lovgate.D@mm 的支援。
2003年3月4日。1.0.3 版從感染的系統中移除下列登錄鍵﹕
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
2003年3月12日。1.0.4 版加入了對 W32.HLLW.Lovgate.F@mm 的支援。