Norton.com > Virus et Risques > W32.HLLW.Lovgate Removal Tool

W32.HLLW.Lovgate Removal Tool

Découvert :
9 Juillet 2004
Mis à jour :
13 Février 2007 11:34:23 AM
Type :
Removal Information


Fonctions de l'outil
Il est désormais possible de télécharger la version 1.1.9.3 de l'outil de suppression de W32.HLLW.Lovgate@mm. Cet outil supprimera toutes les variantes connues des menaces ci-dessous, ainsi que leurs effets secondaires :

W32.HLLW.Lovgate@mm
W32.HLLW.Lovgate.B@mm
W32.HLLW.Lovgate.C@mm
W32.HLLW.Lovgate.D@mm
W32.HLLW.Lovgate.E@mm
W32.HLLW.Lovgate.F@mm
W32.HLLW.Lovgate.G@mm
W32.HLLW.Lovgate.H@mm
W32.HLLW.Lovgate.I@mm
W32.HLLW.Lovgate.J@mm
W32.HLLW.Lovgate.K@mm
W32.HLLW.Lovgate.L@mm
W32.Lovgate.R@mm
W32.Lovgate.W@mm
W32.Lovgate.X@mm
W32.Lovgate.Y@mm
W32.Lovgate.Z@mm
W32.Lovgate.AD@mm

L'outil de suppression :
  1. Détermine si l'ordinateur est infecté par une des variantes de W32.HLLW.Lovgate@mm mentionnées ci-dessus.
  2. Localise et supprime tous les fichiers comportant le ver.
  3. Localise et supprime les valeurs suivantes de la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    syshelp
    WinGate initialize
    Module Call initialize


    Il est possible également que certaines variantes créent les valeurs de registre suivantes sous la même clé, que l'outil de suppression supprimera aussi :

    winhelp
    Remote Procedure Call Locator
    Program in Windows
  4. Supprime les clés de registre suivantes :

    HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
    HKEY_LOCAL_MACHINE\Software\KittyXP.sql
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
    HKEY_CLASSES_ROOT\txtfile\shell\open\command


    Remarque : Le ver écrase toutes les valeurs définies par l'utilisateur qui étaient contenues dans la clé. Par conséquent, une fois que l'ordinateur est infecté, il est impossible de récupérer les informations contenues dans ces clés.
  5. Localise la clé de registre :

    HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

    et remplace la valeur :

    winrpc.exe %1

    ou :

    Update_OB.exe %1

    par :

    notepad.exe %1
  6. Localise la clé de registre :

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

    et supprime la valeur :

    run RAVMOND.EXE
  7. Suspend et supprime les services suivants :

    Window Remote Service
    Microsoft NetWork Services FireWall
    Windows Management Instrumentation Driver Extension
    NetMeeting Remote Desktop (RPC) Sharing
  8. Trouve la thread virale fonctionnant sous le Local Security Authority Service (lsass.exe) - processus légitime de Windows que le ver utilise lorsqu'il infecte un système - puis empêche son fonctionnement.
  9. Elimine tous les fichiers installés par le ver sur le système.

Options de ligne de commande disponibles pour cet outil


Option

Description

/HELP, /H, /?

Affiche le message d'aide.

/SILENT, /S

Active le mode silencieux.

/LOG=<chemin d'accès>

Crée un fichier journal dans lequel le <chemin d'accès> désigne l'emplacement pour conserver le résultat de l'outil. Par défaut, cette option crée le fichier journal FixLGate.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

Pour obtenir l'outil et l'exécuter

Remarque : Vous devez posséder les droits d’administrateur pour exécuter cet outil sous Windows NT 4/2000/XP.
  1. Téléchargez le fichier FixLG.com à partir de : http://securityresponse.symantec.com/avcenter/FixLG.com.
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows, ou tout support amovible non infecté.
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section intitulée Signature numérique.
  4. Fermez tous les programmes en cours d’exécution avant d'exécuter l'outil.
  5. Cliquez deux fois sur le fichier FixLGate.exe pour lancer l'outil de suppression.
  6. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  7. Redémarrez l’ordinateur.
  8. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  9. Exécutez LiveUpdate pour vous assurer que vous disposez des définitions de virus les plus récentes.
Signature numérique
FixLG.com est signé numériquement. Symantec conseille de n'utiliser que des copies de FixLG.com téléchargées directement depuis le site Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier Chktrust.exe sous le même dossier dans lequel vous avez enregistré FixLG.com (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invites de commande.
  4. Allez dans le dossier contenant FixLG.com et Chktrust.exe puis tapez :

    chktrust -i FixLG.com

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, exécutez les commandes suivantes (tapez Entrée après avoir saisi chaque commande) :

    cd\
    cd downloads
    chktrust -i FixLG.com

    Si la signature numérique est valide, le message suivant s'affichera :

    Voulez-vous installer et exécuter "W32.HLLW.Lovgate Removal Tool" signé le 8/5/2004 10:28 AM et distribué par Symantec Corporation ?


    Remarques :
      • La date et l'heure qui s'affichent dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
      • Si vous suivez l'horaire Daylight Saving, l'horaire affiché dans le message sera exactement une heure en avance.
      • Si cette boîte de dialogue ne s'affiche pas, il y a deux raisons possibles :
        • L'outil ne provient pas de Symantec : A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site web légitime de Symantec, vous ne devriez pas l'exécuter.
        • L'outil provient de Symantec et il est légitime : Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance des contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boîte de dialogue de confirmation, consultez le document en anglais How to restore the Publisher Authenticity confirmation dialog box.
  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit puis appuyez sur Entrée. (Pour fermer la session MS-DOS.)


Pour exécuter l'outil à partir d'une disquette
  1. Insérez la disquette contenant le fichier FixLG.com dans le lecteur de disquettes.
  2. Cliquez sur Démarrer, puis sur Exécuter.
  3. Tapez le texte suivant :

    a:\FixLG.com

    puis cliquez sur OK.

    Remarque : Il n'y a pas d'espaces dans la commande aa:\FixLG.com.
  4. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  5. Si vous êtes sous Windows Me, réactivez l'option Restauration du système.