Norton.com > Viren & Risiken > W32.HLLW.Lovgate Removal Tool

W32.HLLW.Lovgate Removal Tool

Entdeckt am:
9 Juli 2004
Aktualisiert:
13 Februar 2007 11:34:25 AM
Typ:
Removal Information


Was bewirkt das Programm?

Die Version 1.1.9.3 des W32.HLLW.Lovgate@mm-Entfernungsprogramms kann nun heruntergeladen werden. Dieses Programm entfernt die folgenden Bedrohungen sowie deren Nebeneffekte:

W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm (deutsche Beschreibung)
W32.HLLW.Lovgate.D@mm
W32.HLLW.Lovgate.E@mm
W32.HLLW.Lovgate.F@mm
W32.HLLW.Lovgate.G@mm
W32.HLLW.Lovgate.H@mm
W32.HLLW.Lovgate.I@mm
W32.HLLW.Lovgate.J@mm
W32.HLLW.Lovgate.K@mm
W32.HLLW.Lovgate.L@mm (deutsche Beschreibung)
W32.Lovgate.R@mm
W32.Lovgate.W@mm
W32.Lovgate.X@mm
W32.Lovgate.Y@mm
W32.Lovgate.Z@mm
W32.Lovgate.AD@mm


Das Entfernungsprogramm bewirkt Folgendes:
  1. Es stellt fest, ob der Computer mit einer der Varianten von W32.HLLW.Lovgate@mm infiziert ist.
  2. Es findet und löscht alle Dateien, die zum Wurm gehören.
  3. Es findet und löscht alle der folgenden Werte aus dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

    syshelp
    WinGate initialize
    Module Call initialize

    Manche Varianten erstellen zudem unter Umständen die folgenden Registrierungsschlüsselwerte im selben Schlüssel, die ebenfalls vom Entfernungsprogramm gelöscht werden:

    winhelp
    Remote Procedure Call Locator
    Program in Windows
  4. Es löscht die folgenden Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
    HKEY_LOCAL_MACHINE\Software\KittyXP.sql
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
    HKEY_CLASSES_ROOT\txtfile\shell\open\command


    Hinweis: Der Wurm überschreibt sämtliche benutzerdefinierten Werte, die der Schlüssel zuvor enthielt. Deshalb ist es nach einer Infizierung des Computers nicht möglich, die ursprünglich in den Schlüsseln enthaltenen Informationen wiederherzustellen.

  5. Es findet den Registrierungsschlüssel

    HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command

    und ändert den Wert (Default) von:

    winrpc.exe %1

    oder:

    Update_OB.exe %1

    zu:

    notepad.exe %1

  6. Es findet den Registrierungsschlüssel

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

    und entfernt den Wert:

    run RAVMOND.EXE
  7. Es beendet und löscht die folgenden Dienste:

    Window Remote Service
    Microsoft NetWork Services FireWall
    Windows Management Instrumentation Driver Extension
    NetMeeting Remote Desktop (RPC) Sharing
  8. Es findet den viralen Thread, der unter dem Local Security Authority Service (lsass.exe) läuft. Dies ist ein legitimer Windows-Prozess, den der Wurm zur Infizierung eines Systems benutzt. Das Entfernungsprogramm beendet die Ausführung des Wurm-Threads.
  9. Es entfernt sämtliche Dateien, die der Wurm auf dem System installiert hat.

Befehlzeilenparameter für dieses Programm


Parameter

Beschreibung

/HELP, /H, /?

Zeigt die Hilfsnachricht an.

/SILENT, /S

Deaktiviert Rückmeldungen.

/LOG=<Pfadname>

Erstellt eine Protokolldatei, wobei der <Pfadname> den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixLGate.log im gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.


Bezug und Ausführung des Programms


Hinweis: Für die Ausführung dieses Programms unter Windows NT 4/2000/XP müssen Sie über Administratorrechte verfügen.

  1. Laden Sie die Datei FixLG.com hier herunter: http://securityresponse.symantec.com/avcenter/FixLG.com.
  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder, wenn möglich, auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt "Die digitale Unterschrift".
  4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  5. Doppelklicken Sie auf die Datei FixLG.com, um das Entfernungsprogramm zu starten.
  6. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
  7. Starten Sie den Computer neu.
  8. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  9. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.
Die digitale Unterschrift
FixLG.com ist mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien von FixLG.com zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie bitte diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im selben Ordner, in dem Sie die Datei FixLG.com gespeichert haben (z. B. im Ordner C:\Downloads).
  3. Abhängig vom verwendeten Betriebssystem führen Sie einen der folgenden Schritte aus:
    • Klicken Sie auf "Start", zeigen Sie auf "Programme" und klicken Sie auf "MS-DOS-Eingabeaufforderung".
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und anschließend auf "Eingabeaufforderung".
  4. Wechseln Sie zum Ordner, in dem FixLG.com und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein:

    chktrust -i FixLG.com

    Haben Sie die Datei z. B. im Ordner C:\Downloads abgelegt, so geben Sie die folgenden Befehle ein und drücken nach jedem Befehl die Eingabetaste:

    cd\
    cd downloads
    chktrust -i FixLG.com


    Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

    Installieren und Ausführen von "W32.HLLW.Lovgate Removal Tool", signiert am 5.8.2004 10:28 und herausgegeben von: Symantec Corporation


    Hinweise:
      • Das im Dialogfeld angezeigte Datum wird Ihrer Zeitzone angepasst.
      • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
      • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
        • Das Programm stammt nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
        • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.

  5. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  6. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.


Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der Datei FixLG.com in das Diskettenlaufwerk ein.
  2. Klicken Sie auf "Start" und dann auf "Ausführen".
  3. Geben Sie den folgenden Text ein:

    a:\FixLG.com

    Klicken Sie anschließend auf "OK".


    Hinweis: In dem Befehl a:\FixLG.com sind keine Leerzeichen enthalten.

  4. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
  5. Wenn Sie mit Windows Me arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".