Lovegate病毒(爱情后门)的症状及清除方法

一、感染后的症状
在每个盘里自动生成几个压缩包，install.ZIP pass.ZIP setup.ZIP bak.RAR
pass.RAR
二、方法
第一种
结束进程： hxdef.exe iexplore.exe NetMeeting.exe
（如果结束不了，进安全模式(开机,按F8)在杀毒。或者先删注册表中的各项，重启后再删文件）
删掉％systemroot％system32下(systemroot,即安装系统的分区,一般为 C:\ )的：
hxdef.exe
ravmond.exe
iexplore.exe
kernel66.dll
odbc16.dll
msjdbc11.dll
MSSIGN30.DLL
spollsv.exe
NetMeeting.exe
（注意，有的文件是隐藏文件）
删掉％systemroot％目录下的systra.exe
删掉各个磁盘跟目录下的autorun.inf和command.exe(都是隐藏文件）
删掉各个磁盘跟目录下的rar和zip文件（大小126k）
关闭系统还原(此病毒可能感染系统还原目录内的文件）
搜索各磁盘中的.zmx文件，把相应目录中的exe文件删掉（如果是abc.zmx，就删掉abc.exe，注意，此文件是125k。）然后把zmx文件改回exe（如abc.zmx改成abc.exe)。文件属性被修改，通过下面这条命令改回属性：attrib -s -h *.zmx /s（在发现zmx文件的磁盘跟目录下运行，如：F:>attrib -s -h *.zmx /s
删掉注册表中下面各项：
HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
"Hardware Profile"="%Windir%\System32\hxdef.exe"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"
"Shell Extension"="%Windir%\System32\spollsv.exe"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
"SystemTra"="%Windir%\SysTra.EXE"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows
Management Protocol v.0 (experimental)
进入注册表的方法: "开始" \ "运行" \ 输入"regedit" \ 回车

第二种

手工杀毒步骤为：
1.删除了以上列出的病毒文件，有些文件只能在安全模式下删除。
2.然后修改注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Curre
ntVersion\Run]中的相应条目。
3.删除服务，可以使用resource kit中的delsrv命令，也可以到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中删除。
做了以上工作后，计算机暂时恢复正常。但是过

了一段时间以后，发现计算机重新感染病毒，原来的所有现象重新出现。再做一遍仍然如此。使用任务管理器查看进程，未发现其它可疑进程。后来使用瑞星最新版本杀毒，可以看到winnt\explorer.exe感染病毒，但无法杀掉。所以把注意力转到这个文件上，经检查文件尺寸为238kb，到别的正常机器上一看，结果是233kb，原来如此。由于操作系统运行过程中无法替换该explorer.exe文件，所以使用win2000安装光盘启动，进入恢复控制台。使用软盘把从正常计算机上拷贝来的文件替换上。并且使用上面的三个步骤手工杀毒。



简介：lovgate集蠕虫、后门、黑客于一身，通过病毒邮件进行邮件传播，通过建立后门给用户的计算机建立一个泄密通道，通过放出后门程序与外界远程木马沟通，通过放出盗窃密码程序主动盗窃计算机密码，通过远程疯狂传播局域网，最终导致所有计算机用户受到病毒控制，网络瘫痪、信息泄露等严重后果。

一、病毒资料

名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小：97,280字节
传播途径：EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径：Lovgate病毒新的变种，通过445端口搜索邻近IP共享目录，对密码进行弱
口令破解，成功后共享media目录，启动NETMANAGER.EXE远程管理程序，并做为服务器,继续搜索邻近IP，快速传播。

二、病毒被执行时，产生下列文件：

%System%\Hxdef.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes)
%System%\spollsv.exe (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\RAVMOND.exe
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL

C:\COMMAND.EXE （被加入autorun.inf文件，双击磁盘时自动转行）

三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下：
pass
bak
password
email
book
letter
important

四、更改注册表，机器启动时自动加载运行病毒程序

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In
Windows" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
"SystemTra" = %WinDir%\SysTra.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行，为病毒的后门服务。

五、自动生成和加载三个服务

1、Display name: _reg
ImagePath: Rundll3
2.exe msjdbc11.d …… 此处隐藏：3531字，全部文档内容请下载后查看。喜欢就下载吧 ……