【求助】我中了W32.HLLW.Lovgate.G@mm

**freesoul** · 2003-03-27, 10:43 PM

前幾天一直跳出來要以我名義傳送我outlook express的郵件出去
今天在安全模式下掃了一下毒
發現有好幾個重要的檔案都感染了W32.HLLW.Lovgate.G@mm
我也去了賽門鐵克的網站看了一下還是看不懂它寫些什麼
我把那些感染的檔案都隔離起來了
但卻造成開機有錯誤
而且我也下載了新的定義檔還是沒有辦法修復
請問我該怎麼辦??
順問有沒有那個地方有中文解說病毒屬性及如何解決的網站呢??
在norton媢j離的檔案是不是只要更新病毒檔然後選取修復就好了呢??
(使用系統win 2k , norton v8.07.17c)

**pcboy** · 2003-03-27, 11:54 PM

> 而且我也下載了新的定義檔還是沒有辦法修復, 請問我該怎麼辦??
請耐心看 Trend 和 Symantec 說明, 哪裡看不懂特別提出

> 順問有沒有那個地方有中文解說病毒屬性及如何解決的網站呢??
除非流行比較廣的, 否則 Trend 和 Symantec 沒有中文解說

> 在norton媢j離的檔案是不是只要更新病毒檔然後選取修復就好了呢??
不保證對每個病毒都可以這樣

**freesoul** · 2003-03-28, 12:08 AM

>而且我也下載了新的定義檔還是沒有辦法修復, 請問我該怎麼辦??
請耐心看 Trend 和 Symantec 說明, 哪裡看不懂特別提出
>基本上我英文很遜...所以完全頭大

> 順問有沒有那個地方有中文解說病毒屬性及如何解決的網站呢??
除非流行比較廣的, 否則 Trend 和 Symantec 沒有中文解說
>嗯這個了解

> 在norton媢j離的檔案是不是只要更新病毒檔然後選取修復就好了呢??
不保證對每個病毒都可以這樣
>那是不是定義檔修復不了就是沒法修復了呢??

堶惘閉搢鴠姵egedit修改..
那是不是病毒就不用隔離了直接改就好了呢??
那改了會不會對現在的系統會有問題??

**EVO** · 2003-03-28, 02:13 AM

解決方法：

更新防毒軟體並掃瞄電腦
修正被更改的機碼：

在：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除:
winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll

在：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

刪除:
run RAVMOND.EXE

在：
HKEY_CLASSES_ROOT\txtfile\shell\open\command

中修改成符合 Windows 版本的值。
註：這個值隨版本，安裝路徑的不同會有一些差別，你也許要看其他相同版本的電腦，這裡有兩個預設值：
Windows 98: C:\Windows\Notepad.exe %
Windows 2000: %SystemRoot%\system32\NOTEPAD.EXE %1

**freesoul** · 2003-03-28, 02:21 AM

那也就是說我不須隔離這些檔案只要修改機碼就好了嗎??
那會不會對現在的系統造成什麼情況??

**shauronglu** · 2003-03-28, 09:00 AM

>> 在norton媢j離的檔案是不是只要更新病毒檔然後選取修復就好了呢??
>不保證對每個病毒都可以這樣
>>那是不是定義檔修復不了就是沒法修復了呢??
不一定, 這次更新修復不了, 不保證新的無法修復 (但是機率幾乎一樣)
這個版本防毒軟體無法修復, 不等於新版不能修復 (只比使用定義檔案高)

機碼不要改錯, 不會傷害系統
中毒檔案最好隔離
防毒做好, 有些病毒一但中毒, 解毒很麻煩

**sweetboy** · 2003-04-06, 12:19 AM

最初由 shauronglu 發表
>> 在norton媢j離的檔案是不是只要更新病毒檔然後選取修復就好了呢??
>不保證對每個病毒都可以這樣
>>那是不是定義檔修復不了就是沒法修復了呢??
不一定, 這次更新修復不了, 不保證新的無法修復 (但是機率幾乎一樣)
這個版本防毒軟體無法修復, 不等於新版不能修復 (只比使用定義檔案高)

機碼不要改錯, 不會傷害系統
中毒檔案最好隔離
防毒做好, 有些病毒一但中毒, 解毒很麻煩

ㄜ.....

先謝謝大大上面的解毒方法....我也是中一樣的病毒....

不過我剛剛照著上面想要刪掉那些機碼,...進去的時候發現都沒有??

(就是沒有上面說要刪掉的那些機碼)...

但是我的norton還是會一直偵測到那個病毒,視窗還是會一直跳出....
(就是說發現病毒然後拿到隔離所之類......的)

那這樣的話能怎麼辦呢??...

那個訊息一直跳出真的是很擾人...雖然沒有破壞力.....

P.s順便問一下那如果換成norton 2003的話是不是就可以掃掉了???

**Athlon** · 2003-04-07, 05:59 PM

文章引用自:台灣賽門鐵克

W32.HLLW.Lovgate@mm 移除工具
發現時間： February 24, 2003
上次更新時間： March 14, 2003 03:48:37 PM

此工具會執行下列作業

W32.HLLW.Lovgate@mm 移除工具1.0.4版現在已經提供下載。此移除工具將移除下列已知病毒威脅的所有變種及它們的副作用:
W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate.F@mm

移除工具將:

1. 確認電腦是否被任何 W32.HLLW.Lovgate@mm的變種所感染。
2. 找出並刪除所有包含病蟲的檔案。
3. 由HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run登錄鍵中找出並刪除所有下列值:
syshelp
WinGate initialize
Module Call initialize

4. 刪除下列登錄鍵:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
HKEY_LOCAL_MACHINE\Software\KittyXP.sql
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
HKEY_CLASSES_ROOT\txtfile\shell\open\command

注意: 此病蟲會覆寫登錄鍵之前所包含的用戶定義數值。這麼一來,一但電腦被感染後便無法將這些鍵所包含的數值救回。

5. 找出登錄鍵:
HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

並改變數值:
winrpc.exe %1

成為:
notepad.exe %1

6. 停止並刪除下列服務:
Window Remote Service (Window 遠端服務)
Microsoft NetWork Services FireWall (Microsoft 網路服務防火牆)
Windows Management Extension

7. 在區域安全支配服務列（Local Security Authority Service (lsass.exe))下找出正在執行的病毒執行緒 , 此執行緒是病蟲感染系統時所使用的合法 Windows 程式，移除工具將停止此執行緒執行。

8. 移除所有病蟲安裝在系統上的檔案。

此工具可使用的指令行參數

參數

說明

/HELP, /H, /?
顯示說明訊息。

/SILENT, /S
啟用無回應模式。

/LOG=<path name>
建立記錄檔，其中 <path name> 是儲存工具輸出的位置。根據預設，這個參數會在執行移除工具的同一個資料夾內建立記錄檔 FixLGate.log。

取得並執行工具

NOTE: 您必須擁有管理員權限才能在 Windows NT4.0/2000/XP 上執行此工具。

1. 從下列位址下載 FixLGate.exe 檔案： http://securityresponse.symantec.com.../FixLGate.exe.
2. 將檔案儲存在方便的位置，例如您的下載資料夾或 Windows 桌面 (或者，如果方便，請儲存在未受感染的可移除式媒體上)
3. 若要檢查數位簽章的真偽，請參考「數位簽章」一節。
4. 執行工具前請先關閉所有程式。
5. 在 FixLGate.exe 檔上按兩下滑鼠，即可啟動移除工具。
6. 按下「開始」啟動程序，並允許工具執行。
7. 重新啟動電腦。
8. 再次執行移除工具，確保系統已清除乾淨。
9. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。

數位簽章
FixLGate.exe 已通過數位簽章。賽門鐵克建議您使用直接從「賽門鐵克安全機制應變中心」網站所下載的 FixLGate.exe。若要檢查數位簽章的真偽，請遵循下列步驟：
1. 到 http://www.wmsoftware.com/free.htm.
2. 下載 Chktrust.exe 檔，並和 FixLGate.exe 儲存在同一個資料夾 (例如，C:\Downloads 資料夾)。
3. 請根據您的作業系統執行下列步驟：
按下「開始」，指向「程式集」，然後按下「MS-DOS 模式」。
按下「開始」，指向「程式集」，按下「附屬應用程式」，然後按下「指令提示字元」。
4. 移至包含 FixLGate.exe 和 Chktrust.exe 的目錄，然後輸入：
chktrust -i FixLGate.exe

例如，如果您將檔案儲存在 C:\Downloads 資料夾中，可輸入下列指令 (每輸入一行指令按下 Enter)：
cd\
cd downloads
chktrust -i FixLGate.exe

如果數位簽章有效，您會看到下列訊息：
Do you want to install and run "FixLGate" signed on 2/24/2003 1:29 PM and distributed by Symantec Corporation?
（您要安裝並執行由賽門鐵克公司於 2/24/2003 1:29 PM 所簽署發行的 "FixLGate.com" 嗎？）

注意：
如果您的電腦不是設定為太平洋時區，則此對話方塊中的日期和時間會隨您的時區而調整。
如果您使用「日光節約時間」，則顯示的時間會剛好慢一個鐘頭。
如果沒有出現這個對話方塊，問題可能來自兩個地方：
您使用的工具不是由賽門鐵克所提供：除非您確定使用的工具是從合法的賽門鐵克網站所下載的，否則請勿執行它。
您可以在賽門鐵克的網站上找到這個工具，而且完全合法：然而，您的作業系統已經過設定接受所有來自賽門鐵克的內容。如需關於如何檢視關於再次確認對話方塊的相關資訊，請參閱「如何還原 Publisher Authenticity 確認對話方塊」(英文)文件。
5. 按下「是」關閉對話方塊。
6. 鍵入 exit, 並按下 Enter. (這會關閉 MS-DOS 視窗。)

從磁片中執行工具
1. 請插入包含 FixLGate.exe 檔案的軟碟至軟碟機。
2. 按下「開始」，然後按下「執行」。
3. 輸入下列字行：

a:\FixLGate.exe

然後按下「確定」。

注意: 在 a:\FixLGate.exe 指令中並無空格。

4. 按下「開始」啟動程序，並允許工具執行。
5. 如果您是執行 Windows Me，請重新啟動「系統還原」。
6.

修訂歷史:

2003年2月24日。 W32.HLLW.Lovgate 移除工具版本1.0 支援 W32.HLLW.Lovgate.C@mm 變種。
2003年2月25日。 1.0.1版本加入對 W32.HLLW.Lovgate.D@mm 的支援。
2003年3月4日。1.0.3 版從感染的系統中移除下列登錄鍵﹕
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
2003年3月12日。1.0.4 版加入了對 W32.HLLW.Lovgate.F@mm 的支援。