Útmutató a LovSan eltávolításához

0. Győződjünk meg arról, hogy a gépünk valóban fertőzésre utaló jeleket
mutat! Amennyiben lefagyások tapasztalhatók, vagy a hálózati kapcsolat
(modem) lebontása akadályokba ütközik, gyanakodhatunk.

Jellemző tünet a Remote Procedure Call (RPC) vagy SVCHost szolgáltatás
hibájára utaló felbukkanó ablak, azonban ez nem feltétlenül jelenti a gép
megfertőződését. Sajnos egyes Windows 2000/XP gépek már a távolról érkező
fertőzési kísérletre is lefagynak A legbiztosabb jel az, ha a Windows
rendszerkönyvtárban megtalálható az "msblast.exe / penis32.exe /
teekids.exe" féregfájlok valamelyike.

Tapasztalatok szerint a LovSan jelenleg ismert változata a Windows NT4-es
vagy 2003.NET operációs rendszert futtató gépeket nem tudja megfertőzni, bár
az alapvető RPC/DCOM hiba ezekben is megtalálható. A Microsoft által
kibocsátott javítás ezen platformokra is elérhető az alábbi címen:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

1. Amennyiben a gép valóban fertőzött, indítsuk (újra) a rendszert.

2. Ha a gép a Windows indulása után felbukkanó ablakban elkezd
visszaszámolni egy újabb újraindításhoz, ezt gyorsan akadályozzuk meg, amire
hatvan másodpercünk van. Írjuk be a Start Menü/Futtatás alá a
"shutdown -a" parancsot és futtassuk le.

3. Győződjünk meg arról, hogy a gépünk a legújabb szervizcsomagot
futtatja-e? Windows 2000 esetén SP4, Windows XP esetén SP1 szükséges.
Amennyiben szervizcsomagot kell telepítenünk a gépre, húzzuk ki a helyi
hálózat és a modem csatlakozóját, nehogy ez idő alatt fertőződjön meg a
gépünk!

4. Ha a szervizcsomag-szint megfelelő, töltsük le és futtassuk a Microsoft
által kiadott utólagos javítást (hotfix), amely megakadályozza a féreg által
saját terjesztésére felhasznált Windows hiba további alkalmazását.
(Figyelem! Amennyiben megfelelő service pack nélkül telepítjük fel a hotfix
javítást, az a tapasztalatok szerint nem nyújt megfelelő védelmet!)

Win2000 esetén innen választhatjuk ki a megfelelő nyelvű hotfix csomagot.

WinXP esetén innen választhatjuk ki a megfelelő nyelvű hotfix csomagot:


A javítás futtatása után újra kell indítani a gépet. Sajnos tudni kell, hogy
bizonyos Windows változatok esetén még a feltelepített hotfix sem
garantálja, hogy a gépünkre érkező RPC-feltörési próbálkozások hatására a
rendszer nem áll le, azonban a káros kód végrehajtását (a tényleges
megfertőződést) a javítás megakadályozza.

5., Futtassuk az ingyenes LovSan mentesítő
segédprogramot, amely memóriában, lemezen és a registry-ben irtja a féreg
eredeti, Lovsan.A változatát.

Hálózati környezetben központilag telepíthető változata is elérhető, innen.

A segédprogram által végzett módosításokat a Windows könyvtárban található
"F-Lovsan.log" fájl fogja tartalmazni.

Amennyiben nem kívánunk segédprogramot használni, vagy az újabb LovSan.B
változat által fertőzött gépet mentesítünk, az alábbiak szerint járjunk el:

a., Fontos! Windows XP esetén kapcsoljuk ki a System Restore szolgáltatást,
az alábbi képes instrukciók szerint.

b., A Feladatkezelő alkalmazás behívásával (Ctrl+Alt+Del gombok) állítsuk le
az "msblast.exe", "teekids.exe", "penis32.exe" folyamatokat a memóriában.

c., Töröljük az msblast.exe / teekids.exe / penis32.exe fájl(oka)t a Windows
rendszerkönyvtárából (többnyire C:WindowsSystem32 vagy C:WINNTSystem32).

d., Töröljük az alábbi registry kulcsot:
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwindows auto update"

Ezt a Start Menü/Futtatás sorban a Regedit parancs begépelése után tehetjük meg.

6., Frissítsük a gépre telepített Windows-os víruskereső program
vírus-ismereti adatbázisát. Javasolt, hogy ezután végezzünk az összes fájlra
kiterjedő víruskeresést az összes merevlemezen; amellyel meggyőződhetünk
arról, hogy nincsen további kártékony program a gépen.

2F