||||
Symantec.com > Security Response > W32.HLLW.Lovgate Removal Tool

W32.HLLW.Lovgate Removal Tool

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 9 de Luglio de 2004
Aggiornato: 13 de Febbraio de 2007 11:34:22 AM
Tipo: Removal Information


Cosa fa lo strumento di rimozione

È ora possibile scaricare la versione 1.1.9.6 dello strumento di rimozione per W32.HLLW.Lovgate@mm. Grazie allo strumento di rimozione è possibile eliminare tutte le varianti note delle minacce elencate di seguito risolvendo anche gli effetti collaterali da queste provocati:

W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate.D@mm
W32.HLLW.Lovgate.E@mm
W32.HLLW.Lovgate.F@mm
W32.HLLW.Lovgate.G@mm
W32.HLLW.Lovgate.H@mm
W32.HLLW.Lovgate.I@mm
W32.HLLW.Lovgate.J@mm
W32.HLLW.Lovgate.K@mm
W32.HLLW.Lovgate.L@mm
W32.Lovgate.R@mm
W32.Lovgate.W@mm
W32.Lovgate.X@mm
W32.Lovgate.Y@mm
W32.Lovgate.Z@mm
W32.Lovgate.AD@mm
W32.Lovgate.AO@mm

Lo strumento di rimozione esegue le seguenti operazioni:
  1. Determina con precisione se il computer è infetto da un variante di W32.HLLW.Lovgate@mm.
  2. Individua ed elimina tutti i file che contengono il worm.
  3. Individua ed elimina tutti i valori seguenti dalla chiave di registroHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    syshelp
    WinGate initialize
    Module Call initialize

    Alcune varianti possono anche creare i seguenti valori di chiave di registro sotto la stessa chiave, anch'essi destinati ad essere eliminati dallo strumento di rimozione:

    winhelp
    Remote Procedure Call Locator
    Program in Windows
  4. Rimuove le seguenti chiavi di registro:

    HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
    HKEY_LOCAL_MACHINE\Software\KittyXP.sql
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
    HKEY_CLASSES_ROOT\txtfile\shell\open\command

    NOTA: il worm sovrascrive il valore definito dall'utente precedentemente contenuto nella chiave. Di conseguenza, quando il computer è infetto non è più possibile recuperare le informazioni precedentemente contenute nella chiave.
  5. Individua la chiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

    e modifica il valore:

    winrpc.exe %1

    in

    notepad.exe %1
  6. Individua la chiave di registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

    e rimuove il valore:

    run RAVMOND.EXE
  7. Interrompe ed elimina i seguenti servizi:

    Window Remote Service
    Microsoft NetWork Services FireWall
    Windows Management Instrumentation Driver Extension
    NetMeeting Remote Desktop (RPC) Sharing
  8. Individua il thread virale in esecuzione nel Local Security Authority Service (lsass.exe), un processo legittimo di Windows che il worm utilizza in fase di infezione del sistema, e ne interrompe l'esecuzione.
  9. Rimuove tutti i file installati dal worm nel sistema.

Parametri della riga di comando utilizzabili con lo strumento di rimozione


Parametro

Descrizione

/HELP, /H, /?
Visualizza il messaggio di aiuto.

/SILENT, /S
Attiva la modalità invisibile.

/LOG=<nome percorso>
Crea un file di registro in cui <nome percorso> è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FixLGate.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.

Come ottenere ed eseguire lo strumento

NOTA: per eseguire lo strumento su Windows NT 4/2000/XP è necessario disporre di privilegi amministrativi.
  1. Scaricare il file FixLGate.exe all’indirizzo: http://securityresponse.symantec.com/avcenter/FixLG.com.
  2. Salvarlo su una posizione di uso pratico, quale la cartella download o il desktop (oppure, se possibile, su un supporto rimovibile che si sappia con certezza non essere infetto).
  3. Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata Firma digitale.
  4. Chiudere tutti programmi in esecuzione prima di avviare lo strumento.
  5. Fare doppio clic sul file FixLGate.exe, per avviare lo strumento di rimozione.
  6. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
  7. Riavviare il computer.
  8. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
  9. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.
    Firma digitale
    FixSQLex.exe dispone di una firma digitale. Symantec consiglia l’utilizzo di copie di FixLGate.exe scaricate esclusivamente dal sito Internet del Symantec Security Response. Per controllare l’autenticità della firma digitale procedere nel modo seguente:
    1. Accedere a http://www.wmsoftware.com/free.htm.
    2. Scaricare il file Chktrust.exe e salvarlo nella stessa cartella su cui è stato salvato FixLGate.exe (ad esempio, la cartella C:\Downloads).
    3. In base al proprio sistema operativo svolgere una delle seguenti operazioni:
      • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
      • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.
    4. Accedere alla cartella su cui sono stati salvati FixLGate.exe e Chktrust.exe, quindi digitare:

      chktrust -i FixLGate.exe

      Ad esempio, se il file si trova nella cartella C:\Download digitare i seguenti comandi (premendo Invio dopo ciascuno):

      cd\
      cd downloads
      chktrust -i FixLGate.exe

      Se la firma digitale è valida verrà visualizzato il seguente messaggio:

      Installare ed eseguire "FixLGate", firmato 01/07/2004 16:08 e distribuito da Symantec Corporation?

      NOTE:
        • Se il computer non è impostato sul fuso orario americano della costa pacifica la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
        • Se si utilizza l’ora legale, l’orario apparirà spostato indietro esattamente di un’ora.
        • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
          • Lo strumento in questione non viene da Symantec: se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
          • Lo strumento in questione è di Symantec ed è legittimo: si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma consultare il documento (in inglese) How to restore the Publisher Authenticity confirmation dialog box.
    5. Fare clic su Sì per chiudere la finestra di dialogo.
    6. Digitare exit, quindi premere Invio. Viene così chiusa la sessione di MS-DOS.

    Esecuzione dello strumento di rimozione da disco floppy
    1. Inserire nell’unità floppy il disco contenente il file FixLG.com.
    2. Fare clic su Start e poi su Esegui.
    3. Digitare quanto segue:

      a:\FixLG.com

      e fare clic su OK.

      NOTA: non digitare spazi nel comando a:\FixLG.com.
    4. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
    5. Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.



    STAMPA QUESTA PAGINA
    Ricerca per nome
    Esempio: W32.Beagle.AG@mm
    Norton 360: Versione 2.0.
    Purchase Client Security
    ©1995 - 2008 Symantec Corporation
    Indice del sito |
    Note legali |
    Trattamento dei dati riservati |
    Contattaci |
    Siti globali |
    Contratti di licenza