Start de PC op in "veilige modus" en start HijackThis.
Voer een scan uit en vink onderstaande regels aan:
O4 - HKLM\..\Run: [CPQHotkeys] HOTKEYSVC.EXE
O4 - HKLM\..\RunServices: [CPQHotkeys] HOTKEYSVC.EXE
O4 - HKCU\..\Run: [CPQHotkeys] HOTKEYSVC.EXE
O4 - HKCU\..\RunServices: [CPQHotkeys] HOTKEYSVC.EXE
Klik op "Fix Checked".
Verwijder indien nog aanwezig onderstaande bestanden en/of mappen:
c:\windows\system32\hotkeysvc.exe
c:\patch.exe
Het bestand hotkeysvc.exe is verborgen en read only.
Zorg ervoor dat in de verkenner bij de mapopties verborgen bestanden en mappen weergeven aan staat.
Klik met de rechtermuisknop op eigenschappen voor het bestand hotkeysvc.exe en haal de vinkjes weg bij "verborgen" en "alleen lezen".
Pas dan is het bestand te verwijderen.
Start regedit.
Navigeer naar de volgende registersleutels:
en verwijder in het rechterdeel de waarde:
"CPQHotkeys" = "hotkeysvc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.default\System\CurrentControlSet\Control\Lsa
HKEY_USERS\.default\Software\Microsoft\Ole
Sluit de registereditor en start daarna de PC weer op de normale wijze op.
De volledige beschrijving van de worm is te vinden op:
http://securityresponse.symantec.com/avcenter/venc/data/w32.kelvir.a.html
Een nieuwe variant is in aantocht:
http://securityresponse.symantec.com/avcenter/venc/data/w32.kelvir.b.html
