史萊姆論壇 - 一上網就會發現病毒還有病毒無法把它刪除該如何辦....(內詳)

文章引用自:台灣賽門鐵克

W32.HLLW.Lovgate@mm 移除工具
發現時間： February 24, 2003
上次更新時間： March 14, 2003 03:48:37 PM

此工具會執行下列作業

W32.HLLW.Lovgate@mm 移除工具1.0.4版現在已經提供下載。此移除工具將移除下列已知病毒威脅的所有變種及它們的副作用:
W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate.F@mm

移除工具將:

1. 確認電腦是否被任何 W32.HLLW.Lovgate@mm的變種所感染。
2. 找出並刪除所有包含病蟲的檔案。
3. 由HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run登錄鍵中找出並刪除所有下列值:
syshelp
WinGate initialize
Module Call initialize

4. 刪除下列登錄鍵:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
HKEY_LOCAL_MACHINE\Software\KittyXP.sql
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
HKEY_CLASSES_ROOT\txtfile\shell\open\command

注意: 此病蟲會覆寫登錄鍵之前所包含的用戶定義數值。這麼一來,一但電腦被感染後便無法將這些鍵所包含的數值救回。

5. 找出登錄鍵:
HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

並改變數值:
winrpc.exe %1

成為:
notepad.exe %1

6. 停止並刪除下列服務:
Window Remote Service (Window 遠端服務)
Microsoft NetWork Services FireWall (Microsoft 網路服務防火牆)
Windows Management Extension

7. 在區域安全支配服務列（Local Security Authority Service (lsass.exe))下找出正在執行的病毒執行緒 , 此執行緒是病蟲感染系統時所使用的合法 Windows 程式，移除工具將停止此執行緒執行。

8. 移除所有病蟲安裝在系統上的檔案。

此工具可使用的指令行參數

參數

說明

/HELP, /H, /?
顯示說明訊息。

/SILENT, /S
啟用無回應模式。

/LOG=<path name>
建立記錄檔，其中 <path name> 是儲存工具輸出的位置。根據預設，這個參數會在執行移除工具的同一個資料夾內建立記錄檔 FixLGate.log。

取得並執行工具

NOTE: 您必須擁有管理員權限才能在 Windows NT4.0/2000/XP 上執行此工具。

1. 從下列位址下載 FixLGate.exe 檔案： http://securityresponse.symantec.co...r/FixLGate.exe.
2. 將檔案儲存在方便的位置，例如您的下載資料夾或 Windows 桌面 (或者，如果方便，請儲存在未受感染的可移除式媒體上)
3. 若要檢查數位簽章的真偽，請參考「數位簽章」一節。
4. 執行工具前請先關閉所有程式。
5. 在 FixLGate.exe 檔上按兩下滑鼠，即可啟動移除工具。
6. 按下「開始」啟動程序，並允許工具執行。
7. 重新啟動電腦。
8. 再次執行移除工具，確保系統已清除乾淨。
9. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。

數位簽章
FixLGate.exe 已通過數位簽章。賽門鐵克建議您使用直接從「賽門鐵克安全機制應變中心」網站所下載的 FixLGate.exe。若要檢查數位簽章的真偽，請遵循下列步驟：
1. 到 http://www.wmsoftware.com/free.htm.
2. 下載 Chktrust.exe 檔，並和 FixLGate.exe 儲存在同一個資料夾 (例如，C:\Downloads 資料夾)。
3. 請根據您的作業系統執行下列步驟：
按下「開始」，指向「程式集」，然後按下「MS-DOS 模式」。
按下「開始」，指向「程式集」，按下「附屬應用程式」，然後按下「指令提示字元」。
4. 移至包含 FixLGate.exe 和 Chktrust.exe 的目錄，然後輸入：
chktrust -i FixLGate.exe

例如，如果您將檔案儲存在 C:\Downloads 資料夾中，可輸入下列指令 (每輸入一行指令按下 Enter)：
cd\
cd downloads
chktrust -i FixLGate.exe

如果數位簽章有效，您會看到下列訊息：
Do you want to install and run "FixLGate" signed on 2/24/2003 1:29 PM and distributed by Symantec Corporation?
（您要安裝並執行由賽門鐵克公司於 2/24/2003 1:29 PM 所簽署發行的 "FixLGate.com" 嗎？）

注意：
如果您的電腦不是設定為太平洋時區，則此對話方塊中的日期和時間會隨您的時區而調整。
如果您使用「日光節約時間」，則顯示的時間會剛好慢一個鐘頭。
如果沒有出現這個對話方塊，問題可能來自兩個地方：
您使用的工具不是由賽門鐵克所提供：除非您確定使用的工具是從合法的賽門鐵克網站所下載的，否則請勿執行它。
您可以在賽門鐵克的網站上找到這個工具，而且完全合法：然而，您的作業系統已經過設定接受所有來自賽門鐵克的內容。如需關於如何檢視關於再次確認對話方塊的相關資訊，請參閱「如何還原 Publisher Authenticity 確認對話方塊」(英文)文件。
5. 按下「是」關閉對話方塊。
6. 鍵入 exit, 並按下 Enter. (這會關閉 MS-DOS 視窗。)

從磁片中執行工具
1. 請插入包含 FixLGate.exe 檔案的軟碟至軟碟機。
2. 按下「開始」，然後按下「執行」。
3. 輸入下列字行：

a:\FixLGate.exe

然後按下「確定」。

注意: 在 a:\FixLGate.exe 指令中並無空格。

4. 按下「開始」啟動程序，並允許工具執行。
5. 如果您是執行 Windows Me，請重新啟動「系統還原」。
6.

修訂歷史:

2003年2月24日。 W32.HLLW.Lovgate 移除工具版本1.0 支援 W32.HLLW.Lovgate.C@mm 變種。
2003年2月25日。 1.0.1版本加入對 W32.HLLW.Lovgate.D@mm 的支援。
2003年3月4日。1.0.3 版從感染的系統中移除下列登錄鍵﹕
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
2003年3月12日。1.0.4 版加入了對 W32.HLLW.Lovgate.F@mm 的支援。