一、感染后的症状
在每个盘里自动生成几个压缩包,install.ZIP  pass.ZIP  setup.ZIP  bak.RAR 
pass.RAR 
二、方法
第一种
结束进程:        
(如果结束不了,进安全模式(开机,按F8)在杀毒。或者先删注册表中的各项,重启后再删文件)
删掉%systemroot%system32下(systemroot,即安装系统的分区,一般为 C:\ )的:
<
<
<
kernel66.dll
odbc16.dll
msjdbc11.dll
MSSIGN30.DLL
<
<
(注意,有的文件是隐藏文件)
删掉%systemroot%目录下的
删掉各个磁盘跟目录下的autorun.inf和(都是隐藏文件)
删掉各个磁盘跟目录下的rar和zip文件(大小126k)
关闭系统还原(此病毒可能感染系统还原目录内的文件)
搜索各磁盘中的.zmx文件,把相应目录中的exe文件删掉(如果是,就删掉,注意,此文件是125k。)然后把zmx文件改回exe(如改成)。文件属性被修改,通过下面这条命令改回属性:attrib -s -h *.zmx /s(在发现zmx文件的磁盘跟目录下运行,如:F:>attrib -s -h *.zmx /s
删掉注册表中下面各项:
HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
"Hardware Profile"="%Windir%\"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Microsoft NetMeeting Associates, Inc."=""
"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"
"Shell Extension"="%Windir%\"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
"SystemTra"="%Windir%\SysTra.EXE"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows
Management Protocol v.0 (experimental)
进入注册表的方法: "开始" \ "运行" \ 输入"regedit" \ 回车
第二种
手工杀毒步骤为:
1.删除了以上列出的病毒文件,有些文件只能在安全模式下删除。
2.然后修改注册表,删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]中的相应条目。
3.删除服务,可以使用resource  kit中的delsrv命令,也可以到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中删除。
做了以上工作后,计算机暂时恢复正常。但是过
了一段时间以后,发现计算机重新感染病毒,原来的所有现象重新出现。再做一遍仍然如此。使用任务管理器查看进程,未发现其它可疑进程。后来使用瑞星最新版本杀毒,可以看到感染病毒,但无法杀掉。所以把注意力转到这个文件上,经检查文件尺寸为238kb,到别的正常机器上一看,结果是233kb,原来如此。由于操作系统运行过程中无法替换该文件,所以使用win2000安装光盘启动,进入恢复控制台。使用软盘把从正常计算机上拷贝来的文件替换上。并且使用上面的三个步骤手工杀毒。
简介:lovgate集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。
一、病毒资料
名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小:97,280字节
传播途径:EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径:Lovgate病毒新的变种,通过445端口搜索邻近IP共享目录,对密码进行弱
口令破解,成功后共享media目录,启动NETMANAGER.EXE远程管理程序,并做为服务器,继续搜索邻近IP,快速传播。
二、病毒被执行时,产生下列文件:
%System%\
%System%\
%System%\
%System%\ (61,440 bytes)
%System%\ (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL
C:\COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)
三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:
pass
bak
password
email
book
letter
important
四、更改注册表,机器启动时自动加载运行病毒程序
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In
Windows" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
"SystemTra" = %WinDir%\SysTra.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行,为病毒的后门服务。
五、自动生成和加载三个服务
1、Display name: _reg
ImagePath: msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
描述:提供后门服务
2、Display name: Win
dows Management Protocol v.0 (experimental)
ImagePath: msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器,执行计划性扫描局域网。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
3、Display name: Windows Management Network Service Extensions
ImagePath: -exe_start
Startup: Automatic
描述:为远程管理程序,提供后门服务。
六、由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中,几乎没有办法手动完全关闭病毒进程。
七、病毒在每个磁盘分区会创建文件AUTORUN.INF,以COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时,系统会根据AUTORUN.INF文件的指示,调用COMMAND.COM/EXE病毒文件,结果是无法打开磁盘分区。右键可以打开。
八、病毒检测移动磁盘,网络映射磁盘,以及盘符超过E的磁盘。如果发现有EXE文件,病毒会把它改名,后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件,125K,为病毒体。
九、自动删除一些杀毒软件的进程。病毒会检测一些进程的文件名,如果发现相关文件,会一概删除。主要的判断文件名包括:
KV
KAV
Duba
压缩包密码破解器NAV
kill
<
<
Gate
McAfee
Symantec
SkyNet
Rising
常见的杀毒软件和防火墙都有。。。。。。
所以大家不要以为计算机安装上杀毒软件和防火墙后,就绝对安全了!!!还是要谨慎!!!
十、lovegate病毒查杀方法
1、安全模式下查杀或用启动盘DOS下查杀,至少查杀二遍。
SYMANTEC的专杀工具下载网址为:
securityresponse.symantec/avcenter/FixLGate
瑞星的专杀工具下载网址为:
download.rising/zsgj/RavLovGate
这个是,不会被改名,伪装。。。。
2、 EXE会被病毒改名,重新进入文件目录,显示所有文件,包括显示后缀,把隐藏的.ZMX文件改成.EXE文件。
3、 硬盘分区无法双击打开,显示所有文件,删除AUTORUN.INF。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
在注册表的这个项中寻带有子项的{数字}项(不同机器数字不同),目标是子项中有shell/autorun这样子项的romReg键,键值为对应驱动器的名称,将shell子项删除, 对应驱动器就可以通过我的电脑双击进
4、 杀毒后如果注册表修复不完整,可能会提示启动缺少什么DLL文件,可以手动查注册表,删除相关注册表。
5、关闭磁盘共享,设置系统用户强悍密码。
6、打全系统补丁。不要再问我都打哪个,每个安全补丁都有其存在的价值。不想再中招就done all    :)
7、小建议:打开要小心。怕怕~~~~~
如果信件非常频繁,推荐www.hotmail  信箱
自动查杀病毒功能
=============================
d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法到COMMAND.EXE文件,要求定位该文件,定位C:\windows\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹。 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:
open="X:\" /StartExplorer  (注:X为驱动器盘符)
所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒
瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法解决,且无相关说明),需要自己手工解决。
解决方法如下(以D盘为例):
===================
开始
运行
cmd(打开命令提示符)
D:
dir /a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位,这个时候自动运行的信息已经加入注册表了。
下面清除注册表中相关信息:
开始
运行
regedit
编辑
<
到的第一个就是D盘的自动运行,删除整个shell子键

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。