1. /

W32.HLLW.Lovgate Removal Tool

Detectado:
9 de Julio de 2004
Actualizado:
13 de Febrero de 2007 11:34:26 AM
Tipo:
Removal Information

Utilidad de la herramienta

    La versión 1.1.9.6 de la herramienta de eliminación de W32.HLLW.Lovgate@mm está disponible para su descarga. Esta herramienta eliminará todas las variantes conocidas de las siguientes amenazas, así como sus efectos secundarios:

    W32.HLLW.Lovgate@mm
    W32.HLLW.Lovgate.B@mm
    W32.HLLW.Lovgate.C@mm
    W32.HLLW.Lovgate.D@mm
    W32.HLLW.Lovgate.E@mm
    W32.HLLW.Lovgate.F@mm
    W32.HLLW.Lovgate.G@mm
    W32.HLLW.Lovgate.H@mm
    W32.HLLW.Lovgate.I@mm
    W32.HLLW.Lovgate.J@mm
    W32.HLLW.Lovgate.K@mm
    W32.HLLW.Lovgate.L@mm
    W32.Lovgate.R@mm
    W32.Lovgate.W@mm
    W32.Lovgate.X@mm
    W32.Lovgate.Y@mm
    W32.Lovgate.Z@mm
    W32.Lovgate.AD@mm
    W32.Lovgate.AO@mm

    La herramienta de eliminación:
    1. Determinará si el equipo está infectado con una de las variantes anteriormente mencionadas de W32.HLLW.Lovgate@mm.
    2. Ubicará y eliminará todos los archivos de los que está compuesto el gusano.
      Ubica y suprime todos los siguientes valores de la clave de registro

      KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      syshelp
      WinGate initialize
      Module Call initialize
    3. Algunas variantes pueden agregar los siguientes valores a la misma clave de registro, los cuales también son eliminados por la herramienta de eliminación.

      winhelp
      Remote Procedure Call Locator
      Program in Windows
    4. Suprimirá las claves de registro siguientes:

      HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
      HKEY_LOCAL_MACHINE\Software\KittyXP.sql
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
      HKEY_CLASSES_ROOT\txtfile\shell\open\command


      Nota: el gusano sobrescribe cualquier valor definido por el usuario que contenga la clave. Por lo tanto, cuando un equipo ha estado infectado, no es posible recuperar la información contenida en estas claves.
    5. Ubicará la clave de registro:

      HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

      Cambiará el valor:

      winrpc.exe %1

      Lo cambiará al siguiente valor:

      notepad.exe %1
    6. Ubicará la clave de registro:

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

      Cambiará el valor:

      run RAVMOND.EXE
    7. Detendrá y eliminará los siguientes servicios:

      Servicio remoto de Windows
      Firewall de servicios de red de Microsoft
      Extensiones del controlador de Windows Management Instrumentation
      Llamada a equipo remoto compartido (RPC)
    8. Encuentra el hilo viral que se ejecuta bajo el servicio de Autoridad de seguridad local (lsass.exe); este es un proceso legítimo de Windows que el gusano utiliza cuando infecta el sistema. A continuación, detiene la ejecución del hilo.
    9. Elimina todos los archivos que el gusano instaló en el sistema.

    Parámetros de línea de comandos disponibles con esta herramienta

    Parámetros
    Descripción
    /HELP, /H, /?Despliegua las opciones de ayuda.
    /SILENT, /SHabilita el modo silencioso.
    /LOG=<path name>Crea un archivo de registro en donde <nombre de la ruta> es la ubicación en la cual se almacenará la información recopilada por la herramienta. En forma predeterminada este parámetro crea el archivo con el nombre de FixLG.log, en la misma carpeta en la que se ejecutó la herramienta.


    Para obtener y ejecutar la herramienta

    Nota: para poder ejecutar esta herramienta en Windows NT4/2000/XP, necesita tener derechos administrativos.
    1. Descargue el archivo FixLG.com desde: http://securityresponse.symantec.com/avcenter/FixLG.com.
    2. Guarde el archivo en una ubicación adecuada, por ejemplo, una carpeta de archivos descargados o en el Escritorio de Windows (o bien en un medio extraíble que, de ser posible, esté libre de infecciones).
    3. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
    4. Cierre todos los programas antes de ejecutar la herramienta.
    5. Haga doble clic en el archivo FixLG.com para iniciar la herramienta de eliminación.
    6. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
    7. Reinicie el equipo.
    8. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
    9. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.
      La firma digital
      FixLGate.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixLG.com descargadas directamente del sitio Web de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
      1. Acceda a http://www.wmsoftware.com/free.htm. (Este recurso se encuentra en inglés.)
      2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FixLG.exe (por ejemplo, C:\Descargas).
      3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
        • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
        • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.
      4. Cambie a la carpeta donde almacenó los archivos FixLGate.com y Chktrust.exe y escriba:

        chktrust -i FixLG.com

        Por ejemplo, si guardó los archivos en la carpeta C:\Descargas, escriba los siguientes comandos (presione INTRO después de escribir cada comando):

        cd\
        cd descargas
        chktrust -i FixLG.com

        Si la firma digital es válida, aparecerá lo siguiente:

        "Se pide su aprobación para instalar y ejecutar "W32.HLLW.Lovgate Removal Tool" firmado el 8/26/2004 a las 8:57 AM y distribuido por Symantec Corporation."

        Nota:
        • La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado según la zona horaria del Pacífico.
        • Si se está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
        • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
          • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la ha descargado desde el verdadero sitio Web de Symantec.
          • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre el tema y ver nuevamente el cuadro de diálogo de confirmación, consulte el documento "How to restore the Publisher Authenticity confirmation dialog box."

      5. Haga clic en Sí para cerrar el cuadro de diálogo.
      6. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

      Para ejecutar la herramienta desde un disquete
      1. Introduzca el disquete que contiene el archivo FixLG.exe en la unidad de disquetes.
      2. Haga clic en Inicio y luego en Ejecutar.
      3. Escriba lo siguiente:

        a:\FixLG.com

        y luego haga clic en Aceptar.


        Nota: No inserte ningún espacio en el comando a:\FixLG.com

      4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
      5. Si está utilizando Windows Me, tendrá que volver a activar Restaurar sistema.

    Resumen