随笔- 1073 文章- 240 评论- 22735

Lovgate病毒移除经验

这两天公司不少计算机感染了Lovgate病毒, 这是见过的最厉害的病毒, 我将自己的处理经验写出来。
病毒全名: W32.HLLW.Lovgate.?@mm (?代表Lovgate的各个变种)
传播途径: 网络共享、邮件
最大特点:
        1、以administrator用户名访问目标计算机的管理员共享(admin$), 并进行密码的枚举，空密码、1234、test等都是枚举的范围，如果成功破解密码，就进行感染行动。普通everyone完全控制的共享更是它优先照顾的对象。
        2、防病毒软件无法彻底实时防护，即时防病毒软件正常运行，只要有传播途径，还是会被感染，而且它能使防病毒软件失效。
处理方法:
1、阻断传播途径：
        A、更改管理员密码
        B、关闭everyone完全控制的共享, 最彻底的方法是禁用文件与打印共享
        C、关闭%SystemRoot%\Media共享，是病毒自己创建的共享
2、检查并关闭病毒进程
        A、关闭所有exploier.exe进程
        B、关闭所有iexplore.exe进程
        C、关闭所有iexplorer.exe进程
        这三个进程是感染lovgate明显的症状。
3、删除%SystemRoot%\system32\下的iexplore.exe与iexplorer.exe, 如果不能删除，将它们重命名, 待处理完重启后再删除。
4、删除相应的注册表项:

    A、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        " Program In Windows"="C:\\WINNT\\System32\\IEXPLORE.EXE"
        "WinHelp"="C:\\WINNT\\System32\\TkBellExe.exe"
         "Hardware Profile"="C:\\WINNT\\System32\\hxdef.exe"
        "Microsoft Associates, Inc."="iexplorer.exe"
        "Shell Extension"="C:\\WINNT\\System32\\spollsv.exe"

    B、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
"SystemTra"="C:\\WINNT\\CdPlay.EXE"
"COM++   System"="Exploier.exe"

    C、从注册表中删除恶意程序服务项目
       HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>   Services>Windows Management Instrumentation Driver Extension
        HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>  Services>NetMeeting Remote Desktop (RPC) Sharing         HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Microsoft NetWork FireWall Services

4、下载专门的Lovgate病毒移除工具, 比如Symantec或瑞星的，清除系统中的病毒
5、重启计算机后，卸载旧的防病毒软件(感染lovgate后, 防病毒软件会被lovgate病毒破坏)，重新安装防病毒软件，更新病毒定义文件。

附: 病毒枚举的密码列表:

Guest

Administrator

zxcv

yxcv

xxx

win

test123

test

temp123

temp

sybase

super

sex

secret

pwd

pw123

Password

owner

oracle

mypc123

mypc

mypass123

mypass

love

Internet

home

godblessyou

god

enable

database

computer

alpha

admin123

Admin

abcd

aaa

88888888

2600

2004

2003

123asd

123abc

123456789

1234567

123123

121212

11111111

110

007

00000000

000000

pass

54321

12345

password

passwd

server

sql

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

1234

111

root

abc123

12345678

abcdefg

abcdef

abc

888888

666666

111111

admin

administrator

guest

654321

123456

321

123

posted @ 2004-10-13 17:58 dudu 阅读(12854) 评论(12) 编辑收藏网摘所属分类: 电脑使用经验

发表评论

回复引用查看

#1楼 2004-10-14 08:48 | 灵感之源

我想国内的各大杀病毒厂商都有专杀工具：）……

回复引用查看

#2楼 [楼主]2004-10-14 12:27 | dudu

我用了Symantec的移除工具, 可以移除病毒。
但移除病毒, 一定要阻断传播途径：
A、更改管理员密码
B、关闭everyone完全控制的共享, 最彻底的方法是禁用文件与打印共享
C、关闭%SystemRoot%\Media共享，是病毒自己创建的共享
D、通过Windows Update安装最新的补丁, 病毒能够通过Winows漏洞进行感染。

回复引用

#3楼 2004-11-10 12:51 | baby [未注册用户]

我们这里是用俄罗斯的杀毒软件Kaspersky！

回复引用

#4楼 2004-11-25 19:37 | NICO [未注册用户]

大家好~

回复引用

#5楼 2004-11-25 19:43 | NICO [未注册用户]

我中了这种病毒，用NORTON查了，我的移动硬盘里所有的EXE文件全被NORTON隔离了，共925个，好象都是127K的，而且都不能用了，也找不到.zmx文件，现在我移动硬盘所有的EXE文件都不能用了，谁能告诉我怎么才能将他们都恢复呀，多谢多谢！

回复引用查看

#6楼 2005-02-04 22:08 | ymoti

我当时还遇到一个变种, 把Symatec的更新病毒库的网址在LMHOSTS里屏蔽成127.0.0.1, 让Norton无法在网上升级病毒库, 有够绝的. 望大家引以为诫.

回复引用

#7楼 2005-03-02 22:23 | oyeahot [未注册用户]

没用，还是有，重起后又来了，我现在一起动机器就把那几个进程杀掉，然后就可以安心上网了，都习惯了，反正我知道他还在呢！哈哈

回复引用

#8楼 2005-03-05 23:56 | 干死爱情后门的制作者 [未注册用户]

诺顿专杀这个软件的效果不是很好，只能查找系统中的病毒，并不能恢复遗留在硬盘上各个角落的被病毒感染的文件，以及文件中病毒代码。建议大家下载金山毒霸的“五毒虫专杀工具”，这个专杀工具可以做到，当然，我认为两个结合使用，可能效果会更好！反正瑞星的专杀工具我也用了，跟诺顿差不多，我是中了这个病毒后重装系统，然后杀毒的，也许这个和瑞星就没有机会施展了，呵呵！

回复引用

#9楼 2005-04-05 11:40 | stt [未注册用户]

我用U盘里毒霸的五毒虫专杀工具杀了,但是一开始杀就蹦出来一个警告一分钟后自动关机,所以每次只能杀一分钟就得重启,也不知道这一分钟内清理的是否都杀掉了,郁闷!!!!!
而且光盘里的杀毒软件都用不成,因为打不开,是不是驱动也被感染无法工作了?
难道只能用U盘装杀毒软件杀毒?

回复引用

#10楼 2005-04-11 18:16 | 乌鸦 [未注册用户]

如果出现关机提示的话你可以在开始--运行里面输入
shutdown -a
关机提示就会消除可以接着杀了
建议你在安全模式下杀毒并拔掉网线

回复引用

#11楼 2005-04-25 18:11 | 可耕地 [未注册用户]

里面得一个加载得SVCHOST.EXE文件要删除就OK

回复引用

#12楼 2005-10-30 15:23 | 罗杰锋 [未注册用户]

好文章，值得学习。