病毒的解決方法
提 醒:重要資料及時備份,防比殺更有效 簡介:lovgate集蠕蟲、後門、黑客於一身,通過病毒郵件進行郵件傳播,通過建立後門給用戶的計算機建立一個洩密通道,通過放出後門程序與外界遠程木馬溝通,通過放出盜竊密碼程序主動盜竊計算機密碼,通過遠程瘋狂傳播局域網,最終導致所有計算機用戶受到病毒控制,網絡癱瘓、信息洩露等嚴重後果。 一、病毒資料名字: W32/Lovgate.r@M發現日期: 3/22/2004大小:97,280字節傳播途徑:EMAIL傳播; 通過RPC漏洞傳播; 通過U盤、移動硬盤傳播;通過網絡共享傳播。網絡傳播途徑:Lovgate病毒新的變種,通過445端口搜索鄰近IP共享目錄,5自學網,對密碼進行弱口令破解,成功後共享media目錄,啟動NETMANAGER.EXE遠程管理程序,並做為服務器,繼續搜索鄰近IP,快速傳播。 二、病毒被執行時,產生下列文件:%System%\Hxdef.exe%System%\iexplore.exe%System%\WinHelp.exe%System%\NetMeeting.exe (61,440 bytes)%System%\spollsv.exe (61,440 bytes)%SysDir%\IEXPLORE.EXE%SysDir%\kernel66.dll%SysDir%\RAVMOND.exe%WinDir%\SYSTRA.EXE%SysDir%\msjdbc11.dll%SysDir%\MSSIGN30.DLL%SysDir%\ODBC16.dll%System%\LMMIB20.DLLC:\COMMAND.EXE (被加入autorun.inf文件,雙擊磁盤時自動轉行)三、在每個磁盤根目錄下產生後綴為COM,EXE,PIF,SCR病毒文件,常見名稱如下:passbakpasswordemailbookletterimportant四、更改注冊表,機器啟動時自動加載運行病毒程序HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows"run" = RAVMOND.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXEHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WinDir%\SysTra.EXEHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg其中最後一行,為病毒的後門服務。五、自動生成和加載三個服務1、Display name: _regImagePath: Rundll32.exe msjdbc11.dll ondll_serverStartup: automaticHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg描述:提供後門服務2、Display name: Windows Management Protocol v.0 (experimental)ImagePath: Rundll32.exe msjdbc11.dll ondll_serverStartup: automatic描述: 高級服務器,執行計劃性掃描局域網。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows3、Display name: Windows Management Network Service ExtensionsImagePath: NetManager.exe -exe_startStartup: Automatic描述:為遠程管理程序,提供後門服務。 六、由於病毒會自動檢測進程,如果發現被關閉,就會繼續產生病毒進程。而且會插入線程到EXPLORER.EXE或者TASKMGR.EXE中,幾乎沒有辦法手動完全關閉病毒進程。 七、病毒在每個磁盤分區會創建文件AUTORUN.INF,以COMMAND.COM或者COMMAND.EXE病毒文件。雙擊磁盤時,系統會根據AUTORUN.INF文件的指示,調用COMMAND.COM/EXE病毒文件,結果是無法打開磁盤分區。右鍵可以打開。 八、病毒檢測移動磁盤,網絡映射磁盤,以及盤符超過E的磁盤。如果發現有EXE文件,病毒會把它改名,後綴為.ZMX,並且隱藏文件。病毒會創造同名的EXE文件,125K,為病毒體。 九、自動刪除一些殺毒軟件的進程。病毒會檢測一些進程的文件名,如果發現相關文件,會一概刪除。主要的判斷文件名包括:KVKAVDubaNAVkillRavMon.exeRfw.exeGateMcAfeeSymantecSkyNetRising常見的殺毒軟件和防火牆都有。。。。。。所以大家不要以為計算機安裝上殺毒軟件和防火牆後,就絕對安全了!!!還是要謹慎!!!十、lovegate病毒查殺方法1、安全模式下查殺或用啟動盤DOS下查殺,至少查殺二遍。 SYMANTEC的專殺工具下載網址為: 瑞星的專殺工具下載網址為: 這個是.com,不會被改名,偽裝。。。。2、 EXE會被病毒改名,5自學網,重新進入文件目錄,顯示所有文件,包括顯示後綴,把隱藏的.ZMX文件改成.EXE文件。3、 硬盤分區無法雙擊打開,顯示所有文件,刪除AUTORUN.INF。 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 在注冊表的這個項中尋找帶有子項的{數字}項(不同機器數字不同),目標是子項中有shell/autorun這樣子項的romReg鍵,鍵值為對應驅動器的名稱,將shell子項刪除, 對應驅動器就可以通過我的電腦雙擊進入4、 殺毒後如果注冊表修復不完整,可能會提示啟動缺少什麼DLL文件,可以手動查找注冊表,刪除相關注冊表。5、關閉磁盤共享,設置系統用戶強悍密碼。6、打全系統補丁。不要再問我都打哪個,每個安全補丁都有其存在的價值。不想再中招就done all :)7、小建議:打開電子郵件要小心。怕怕~~~~~ 如果信件非常頻繁,推薦 信箱自動查殺病毒功能 =============================d、e、f、g盤(如果有的話)雙擊不能直接打開,說Windows無法找到COMMAND.EXE文件,要求定位該文件,定位C:\windows\explorer之後每次打開會提示“/StartExplorer”出錯,然後依然能打開驅動器文件夾。 病毒在你的每個驅動器下面寫入了一個AutoRun.inf文件內容為:
open="X:\command.exe" /StartExplorer (注:X為驅動器盤符) 所以,如果你沒有殺毒,每次點開/D/E/F/G盤都會激活病毒 瑞星比較笨不會幫你搞定這個問題(就算升級到最新版也沒有用,瑞星網站上專殺也無法解決,且無相關說明),需要自己手工解決。 解決方法如下(以D盤為例): =================== 開始 運行 cmd(打開命令提示符) D: dir /a (沒有參數A是看不到的,A是顯示所有的意思) 此時你會發現一個autorun.inf文件,約49字節 attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏屬性,否則無法刪除 del autorun.inf 到這裡還沒完,因為你雙擊了D盤盤符沒有打開卻得到一個錯誤。要求定位command.exe,這個時候自動運行的信息已經加入注冊表了。下面清除注冊表中相關信息: 開始 運行 regedit 編輯 查找 command.exe 找到的第一個就是D盤的自動運行,刪除整個shell子鍵 其它盤也用同樣方法解決。
十一,重啟RPC服務
因該病毒中毒的症狀有點像沖擊波,震蕩波不斷進行重啟,停了RPC,後無法再用服務中的屬性頁進行重啟,導致啟動Windows時間較長;窗口最小化後不顯示在狀態欄;不能復制、粘貼;打開不了第二層網頁;找不到RPC服務的屬性頁等等。筆者想重新啟用RPC服務時費了點周折。
我的關閉方法是依次點擊“管理工具→服務→Remote Procedure Call→屬性”,其默認啟動類別是“自動”,但選項是灰色的(不可用狀態),點擊標簽“登錄”,將硬件配置文件服務禁用,重新啟動系統。
在網上查閱了大量的資料,找出啟用的三種方法:
方法一:修改注冊表
運行注冊表編輯器,打開HKEY_LOCAL_MACHINE\system\CurrentControl-Set\Services\RpcSs分支,將Start項的值由“4”修改為“2”,即把啟動類型設為自動,重新啟動系統即可。
方法二:使用“SC”命令
進入“命令提示符”窗口,鍵入“sc config RpcSs start=auto”命令,系統會顯示“SC ChangeServiceConfig SUCCESS”,這樣就可以成功啟用RPC服務。
方法三:使用故障恢復控制台
以Windows 2003系統為例,用安裝光盤啟動,系統進入到Windows 2003安裝界面,按下“R”鍵登錄到故障恢復控制台。在故障恢復控制台下,鍵入“enable RpcSs service_auto_start”命令,然後再鍵入“exit”命令,重新啟動系統,以正常模式登錄,即可成功啟用RPC服務。
筆者使用上面的幾種方法都不成功,看來只有自己動手解決了。我想注冊表中的某些鍵值一定要變,這樣才能啟用。
把禁用前的備份注冊表恢復到被禁用後的注冊表中,提示無法導入,不成功。無法啟用。
把禁用前和禁用後的兩個注冊表(只取HKEY_LOCAL_MACHINE\SYSTEM分支)內容轉化成Word文檔,再使用Word中的“比較並合並文檔”功能,就能自動找到兩個注冊表的不同之處。我通過比較分析,發現禁用後的注冊表中有以下分支:
1. HKEY_LOCAL_MACHINE\SYSTEM\Curr-
entControlSet\HardwareProfiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_RPCSS
2.HKEY_LOCAL_MACHINE\SYSTEM\Curr-
entControlSet\HardwareProfiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_RPCSS
禁用前的注冊表中沒有以上兩個分支。通過進一步操作,發現只要刪除第1個分支即可重新起用RPC服務。
原來上面三種方法,只能應用於把RPC服務啟動類型改為禁止後的情況。關閉RPC服務不是改變啟動類型,而是禁止與之相關聯的硬件配置文件服務,“Start”項的值仍是“2”,沒有變。所以先要將硬件配置文件服務啟用,才能啟用RPC服務。
