1. Symantec/
  2. Security Response/
  3. W32.HLLW.Lovgate Removal Tool
  4. W32.HLLW.Lovgate Removal Tool
  • Compartilhar

W32.HLLW.Lovgate Removal Tool

Descoberto:
9 de Julho de 2004
Atualizado:
13 de Fevereiro de 2007 11:34:20 AM
Tipo:
Removal Information


O que a ferramenta faz

A versão 1.0.5 da Ferramenta de Remoção do W32.HLLW.Lovgate@mm agora está disponível para download. Essa ferramenta irá remover todas as variantes conhecidas das seguintes ameaças, como também os seus efeitos colaterais:

W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate.D@mm
W32.HLLW.Lovgate.E@mm
W32.HLLW.Lovgate.F@mm
W32.HLLW.Lovgate.G@mm


A ferramenta de remoção:
  1. Determina se o computador está infectado por qualquer variante do W32.HLLW.Lovgate@mm.
  2. Localiza e remove todos os arquivos que incluem o worm.
  3. Localiza e remove todos os seguintes valores da chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

    syshelp
    WinGate initialize
    Module Call initialize


    Algumas variantes também podem criar os seguintes valores de registro sob a mesma chave, as quais também são removidas pela ferramenta:

    winhelp
    Remote Procedure Call Locator
    Program in Windows

  4. Remove as seguintes chaves de registro:

    HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
    HKEY_LOCAL_MACHINE\Software\KittyXP.sql
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
    HKEY_CLASSES_ROOT\txtfile\shell\open\command


    NOTA: O worm sobrescreve qualquer valor definido pelo usuário que a chave continha anteriormente. Sendo assim, depois que o computador for infectado, não será possível recuperar a informação contida nessas chaves.
  5. Localiza a chave de registro:

    HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

    e altera o valor:

    winrpc.exe %1

    para:

    notepad.exe %1
  6. Localiza a chave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

    e remove o valor:

    run RAVMOND.EXE
  7. Interrompe e apaga os seguintes serviços:

    Window Remote Service
    Microsoft NetWork Services FireWall
    Windows Management Instrumentation Driver Extension
    NetMeeting Remote Desktop (RPC) Sharing
  8. Encontra o processo viral sendo executado sob o Local Security Authority Service (lsass.exe), que é um processo legítimo do Windows, que o worm usa quando infecta um sistema e interrompe a execução do processo.
  9. Remove todos os arquivos que o worm instalou no sistema.

Opções na linha de comando disponíveis para essa ferramenta

Opção

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda

/SILENT, /S

Habilita o modo silencioso.

/LOG=<path name>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro, FixLGate.log, na mesma pasta em que a ferramenta for executada.

Obtendo e executando a ferramenta

NOTA: Você precisa ter privilégios administrativos para executar essa ferramenta no Windows NT 4/2000/XP.
  1. Faça o download do arquivo FixLGate.exe do endereço: http://securityresponse.symantec.com/avcenter/FixLG.com
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows ou uma mídia removível que não esteja infectada, se possível.
  3. Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura Digital.
  4. Feche todos os programas antes de executar a ferramenta.
  5. Clique duas vezes no arquivo FixLGate.exe para iniciar a ferramenta de remoção.
  6. Clique em Start [Iniciar] para começar o processo e deixe a ferramenta ser executada.
  7. Reinicie o computador.
  8. Execute a ferramenta de remoção outra vez para se assegurar de que o sistema está limpo.
  9. Execute o LiveUpdate para ter certeza de que você está usando as definições de vírus mais recentes.
Digital signature
O FixLGate.exe está assinado digitalmente. A Symantec recomenda que você use somente cópias do FixLGate.exe que tenham sido obtidas, diretamente, do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
  1. Vá para http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixLGate.exe (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
  4. Vá para a pasta no qual o FixLGate.exe e o Chktrust.exe estão guardados e então digite:

    chktrust -i FixLGate.exe

    Por exemplo, se você salvou o arquivo na pasta C:\Downloads, você deve digitar os seguintes comandos (pressione Enter após ter digitado cada comando):

    cd\
    cd downloads
    chktrust -i FixLGate.exe\

    Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "FixLGate" signed on 2/24/2003 1:29 PM and distributed by Symantec Corporation?
    (Você deseja instalar e executar "FixLGate" assinada em 24/2/2003 13:29 e distribuída pela Symantec Corporation?)

    NOTAS:
    • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
    • Se você estiver em Horário de Verão a hora que aparece marcará, exatamente, uma hora mais cedo.
    • Se essa caixa de diálogo não aparecer, há duas razões possíveis:
      • A ferramenta não é da Symantec: a menos que tenha certeza de que a ferramenta seja legítima e que tenha sido obtida através do site da Symantec, você não deve executá-la.
      • A ferramenta é da Symantec e é legitima: entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento, "How to restore the Publisher Authenticity confirmation dialog box" (Como restaurar a caixa de confirmação de Autenticidade de Editor - este recurso encontra-se em Inglês).
  5. Clique Yes (Sim) para fechar a caixa de diálogo.
  6. Digite exit e pressione Enter. (Isso fechará a sessão MS-DOS.)
    Executando a ferramenta a partir de um disquete
    1. Insira o disquete que contém o arquivo FixLGate.exe, na unidade de disco flexível.
    2. Clique em Iniciar e então, em Executar.
    3. Digite o seguinte:

      a:\FixLGate.exe

      e depois clique em OK.

      NOTA: Não há espaços no comando, a:\FixLGate.exe.
    4. Clique Start (Iniciar) para começar o processo e deixe a ferramenta ser executada.
    5. Se estiver usando o Windows Me reabilite a Restauração do Sistema.


    Resumo
    Internet Security Threat Report