病毒的解决方法 提 醒:重要资料及时备份,防比杀更有效 简介:lovgate集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。 一、病毒资料名字: W32/Lovgate.r@M发现日期: 3/22/2004大小:97,280字节传播途径:EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。网络传播途径:Lovgate病毒新的变种,通过445端口搜索邻近IP共享目录,对密码进行弱口令破解,成功后共享media目录,启动NETMANAGER.EXE远程管理程序,并做为服务器,继续搜索邻近IP,快速传播。 二、病毒被执行时,产生下列文件:%System%\Hxdef.exe%System%\iexplore.exe%System%\WinHelp.exe%System%\NetMeeting.exe (61,440 bytes)%System%\spollsv.exe (61,440 bytes)%SysDir%\IEXPLORE.EXE%SysDir%\kernel66.dll%SysDir%\RAVMOND.exe%WinDir%\SYSTRA.EXE%SysDir%\msjdbc11.dll%SysDir%\MSSIGN30.DLL%SysDir%\ODBC16.dll%System%\LMMIB20.DLLC:\COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:passbakpasswordemailbookletterimportant四、更改注册表,机器启动时自动加载运行病毒程序HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows"run" = RAVMOND.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXEHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WinDir%\SysTra.EXEHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg其中最后一行,为病毒的后门服务。五、自动生成和加载三个服务1、Display name: _regImagePath: Rundll32.exe msjdbc11.dll ondll_serverStartup: automaticHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg描述:提供后门服务2、Display name: Windows Management Protocol v.0 (experimental)ImagePath: Rundll32.exe msjdbc11.dll ondll_serverStartup: automatic描述: 高级服务器,执行计划性扫描局域网。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows3、Display name: Windows Management Network Service ExtensionsImagePath: NetManager.exe -exe_startStartup: Automatic描述:为远程管理程序,提供后门服务。 六、由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中,几乎没有办法手动完全关闭病毒进程。 七、病毒在每个磁盘分区会创建文件AUTORUN.INF,以COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时,系统会根据AUTORUN.INF文件的指示,调用COMMAND.COM/EXE病毒文件,结果是无法打开磁盘分区。右键可以打开。 八、病毒检测移动磁盘,网络映射磁盘,以及盘符超过E的磁盘。如果发现有EXE文件,病毒会把它改名,后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件,125K,为病毒体。 九、自动删除一些杀毒软件的进程。病毒会检测一些进程的文件名,如果发现相关文件,会一概删除。主要的判断文件名包括:KVKAVDubaNAVkillRavMon.exeRfw.exeGateMcAfeeSymantecSkyNetRising常见的杀毒软件和防火墙都有。。。。。。所以大家不要以为计算机安装上杀毒软件和防火墙后,就绝对安全了!!!还是要谨慎!!!十、lovegate病毒查杀方法1、安全模式下查杀或用启动盘DOS下查杀,至少查杀二遍。 SYMANTEC的专杀工具下载网址为: http://securityresponse.symantec.com/avcenter/FixLGate.com 瑞星的专杀工具下载网址为: http://download.rising.com.cn/zsgj/RavLovGate.com 这个是.com,不会被改名,伪装。。。。2、 EXE会被病毒改名,重新进入文件目录,显示所有文件,包括显示后缀,把隐藏的.ZMX文件改成.EXE文件。3、 硬盘分区无法双击打开,显示所有文件,删除AUTORUN.INF。 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 在注册表的这个项中寻找带有子项的{数字}项(不同机器数字不同),目标是子项中有shell/autorun这样子项的romReg键,键值为对应驱动器的名称,将shell子项删除, 对应驱动器就可以通过我的电脑双击进入4、 杀毒后如果注册表修复不完整,可能会提示启动缺少什么DLL文件,可以手动查找注册表,删除相关注册表。5、关闭磁盘共享,设置系统用户强悍密码。6、打全系统补丁。不要再问我都打哪个,每个安全补丁都有其存在的价值。不想再中招就done all :)7、小建议:打开电子邮件要小心。怕怕~~~~~ 如果信件非常频繁,推荐www.hotmail.com 信箱自动查杀病毒功能 =============================d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,要求定位该文件,定位C:\windows\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹。 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:
open="X:\command.exe" /StartExplorer (注:X为驱动器盘符) 所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒 瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法解决,且无相关说明),需要自己手工解决。 解决方法如下(以D盘为例): =================== 开始 运行 cmd(打开命令提示符) D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现一个autorun.inf文件,约49字节 attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除 del autorun.inf 到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息: 开始 运行 regedit 编辑 查找 command.exe 找到的第一个就是D盘的自动运行,删除整个shell子键 其它盘也用同样方法解决。
十一,重启RPC服务
因该病毒中毒的症状有点像冲击波,震荡波不断进行重启,停了RPC,后无法再用服务中的属性页进行重启,导致启动Windows时间较长;窗口最小化后不显示在状态栏;不能复制、粘贴;打开不了第二层网页;找不到RPC服务的属性页等等。笔者想重新启用RPC服务时费了点周折。
我的关闭方法是依次点击“管理工具→服务→Remote Procedure Call→属性”,其默认启动类别是“自动”,但选项是灰色的(不可用状态),点击标签“登录”,将硬件配置文件服务禁用,重新启动系统。
在网上查阅了大量的资料,找出启用的三种方法:
方法一:修改注册表
运行注册表编辑器,打开HKEY_LOCAL_MACHINE\system\CurrentControl-Set\Services\RpcSs分支,将Start项的值由“4”修改为“2”,即把启动类型设为自动,重新启动系统即可。
方法二:使用“SC”命令
进入“命令提示符”窗口,键入“sc config RpcSs start=auto”命令,系统会显示“SC ChangeServiceConfig SUCCESS”,这样就可以成功启用RPC服务。
方法三:使用故障恢复控制台
以Windows 2003系统为例,用安装光盘启动,系统进入到Windows 2003安装界面,按下“R”键登录到故障恢复控制台。在故障恢复控制台下,键入“enable RpcSs service_auto_start”命令,然后再键入“exit”命令,重新启动系统,以正常模式登录,即可成功启用RPC服务。
笔者使用上面的几种方法都不成功,看来只有自己动手解决了。我想注册表中的某些键值一定要变,这样才能启用。
把禁用前的备份注册表恢复到被禁用后的注册表中,提示无法导入,不成功。无法启用。
把禁用前和禁用后的两个注册表(只取HKEY_LOCAL_MACHINE\SYSTEM分支)内容转化成Word文档,再使用Word中的“比较并合并文档”功能,就能自动找到两个注册表的不同之处。我通过比较分析,发现禁用后的注册表中有以下分支:
1. HKEY_LOCAL_MACHINE\SYSTEM\Curr-
entControlSet\HardwareProfiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_RPCSS
2.HKEY_LOCAL_MACHINE\SYSTEM\Curr-
entControlSet\HardwareProfiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_RPCSS
禁用前的注册表中没有以上两个分支。通过进一步操作,发现只要删除第1个分支即可重新起用RPC服务。
原来上面三种方法,只能应用于把RPC服务启动类型改为禁止后的情况。关闭RPC服务不是改变启动类型,而是禁止与之相关联的硬件配置文件服务,“Start”项的值仍是“2”,没有变。所以先要将硬件配置文件服务启用,才能启用RPC服务。