computer 版 (精华区)

发信人: Jesus (人类一思考，上帝就发笑), 信区: computer       
标  题:  LovGate病毒全面解决方案（Ver 1.0）zz
发信站: BBS 听涛站 (Tue Apr 27 22:24:52 2004), 转信

发信人: maybupt (小妹妹 OF BUPT), 信区: Virus
标  题: LovGate病毒全面解决方案（Ver 1.0）
发信站: BBS 水木清华站 (Tue Apr 27 19:23:02 2004), 站内

LoveGate病毒全面解决方案（Ver 1.0）

一、病毒分析部分

病毒表现有几点，根据SYMANTEC网站简单概括：

1，系统进程中多了一些奇怪文件，注意其名称，
有些和系统文件很类似，不要上当。
%Windir%\Systra.exe 
%System%\Hxdef.exe 
%System%\iexplore.exe 
%System%\RAVMOND.exe 
%System%\Kernel66.dll
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes) 
%System%\spollsv.exe (61,440 bytes)

由于病毒会自动检测进程，如果发现被关闭，就会继续产生病毒进程。
而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中，
几乎没有办法手动完全关闭病毒进程。

2，硬盘分区无法双击打开。必须右键打开。
主要是病毒在每个磁盘分区会创建文件AUTORUN.INF，
以及COMMAND.COM或者COMMAND.EXE病毒文件。
双击磁盘时，系统会根据AUTORUN.INF文件的指示，
调用COMMAND.COM/EXE病毒文件，结果是无法打开磁盘分区。
右键打开不会有这个问题。

3，硬盘各个分区根目录存在多个病毒压缩文件。
文件名一般为WORK，setup，Important，bak，letter，pass
后缀名为RAR或者ZIP，不要打开运行。

4，病毒检测移动磁盘，网络映射磁盘，以及盘符超过E的磁盘。
如果发现有EXE文件，病毒会把它改名，后缀为.ZMX,并且隐藏文件。
病毒会创造同名的EXE文件，125K，为病毒体。

5，创造一些新的系统DLL文件，添加系统服务。
主要相关文件名为
%System%\ODBC16.dll (53,760 bytes) 
%System%\Msjdbc11.dll (53,760 bytes) 
%System%\MSSIGN30.DLL (53,760 bytes) 
%System%\LMMIB20.DLL (53,760 bytes)

6，自动删除一些杀毒软件的进程。
病毒会检测一些进程的文件名，如果发现相关文件，会一概删除。
主要的判断文件名包括KV，KAV，Duba，NAV，kill，
RavMon，Rfw，Gate，McAfee，Symantec，SkyNet，rising

7，自动传播，途径多。
可以通过EMAIL传播。通过网络共享传播，包括IPC$漏洞等。通过RPC漏洞传播。
而且容易通过U盘、移动硬盘传播！！！！

二、杀毒办法

第一种，简单型。（我还没有试过，应该可以，如果有问题，请发帖提出问题。）

1，在本机上网，下载专杀工具，专杀工具存储在桌面，
或者在没有病毒的机器上下载专杀工具，放入U盘或者软盘，然后写保护！
使用软盘的，请注意：软盘质量要好，

诺顿（Symantec）的下载网址：
http://securityresponse.symantec.com/avcenter/FixLGate.com
瑞星（Rising）的下载地址：
http://download.rising.com.cn/zsgj/RavLovGate.com

这两个文件，本文提供下载，请翻到文章最后。

2，感染病毒机器重启，进入安全模式。
千万不要打开任何硬盘的盘符或者目录或者文件！很容易激活病毒。。。

3，运行桌面的专杀工具，或者使用U盘或者软盘的专杀工具杀毒。
诺顿提供的工具不会提示太多信息，但是会杀毒后提供一个TXT文件，
里面会记录共查杀多少文件，病毒多少，是否修复注册表等。

第二种，手动型。

由于方法复杂，效果不好，可能根本无法杀除，不推荐。
如果想看，请参考我前面的文章。谢谢^_^

三、后续工作总结

由于我的电脑没有感染病毒，所以没有具体实践，
下面的问题，是众多网友提出的，我给出一些解决办法。
如果还有问题，请发帖提出，我会继续补充。

1，各个盘符无法双击打开的问题，提示COMMAND.EXE文件错误。

原因：
病毒会在磁盘分区的根目录下创建AUTORUN.INF，
内容是运行COMMAND.EXE，这个文件其实是病毒，
经过专杀之后，COMMAND.EXE不存在，
双机磁盘，系统会根据AUTORUN.INF继续调用COMMAND.EXE，
于是就会出错，这个问题正常，其实是已经没有病毒的表现。

解决办法：
右键点击磁盘，选择打开，显示所有文件，
删除AUTORUN.INF就可以了。

2，一些程序仍然无法运行的问题！

原因：
由于病毒会把一些EXE文件改名，后缀是ZMX，并且隐藏，
所以用专杀杀毒后，一些程序仍然无法使用。

解决办法：
请进入程序原EXE文件对应的目录，选择查看所有文件，
把病毒改名后的.ZMX文件改成.EXE文件，就可以了。
最好把文件属性的隐藏属性取消。

3，病毒创建的压缩文件仍然存在的问题

原因：
专杀工具，只针对注册表，进程，病毒体进行检查，删除。
对病毒利用系统提供的压缩软件制造的压缩文件，不进行检查！！！

解决办法：
专杀之后，请手动删除各个盘符下面的病毒压缩文件。
或者安装NORTON，升级最新病毒库，对整个电脑全面检查，
就可以自动隔离所有病毒压缩文件。

4，开机提示缺少某些系统文件。

原因:
可能是专杀或者杀毒软件已经隔离了病毒文件，
但是没有修改相应的注册表，所以系统开机会提示错误。
注：这种情况不多，用专杀的话，一般不会，
但如果手动杀除，或者利用NAV隔离的话，可能会出现。

解决办法：
根据提示，记录相应的文件，
运行REGEDIT，进入注册表修改，
查找相应的文件，删除对应的注册表项目。

5，杀毒后，过一会NAV又发现病毒。

原因：
这个就是系统没有做好防护了，漏洞百出，结果病毒趁机而入。

解决办法：
设置管理员密码，尤其是ADMINISTRATOR的密码。
禁用无关帐户，比如GUEST等。
取消网络文件共享，删除IPX协议。
安装系统的必要补丁，尤其是最新的几个补丁，包括RPC漏洞。
这些操作请参考其他系统安全文章，在此无法详细讲解。
建议安装NORTON的企业版，俗称NAV CE。
再安装网络防火墙，我推荐
Sygate Firewall Personal，以及ZoneAlarm。
相关软件，请自己上网查找，在此不提供链接。


四、总结

病毒的确不是好东西，但是杀毒后不对系统造成任何危害，
那时的感觉才是一个爽，希望大家都能在本文的帮助下，
完美解决LOVEGATE病毒。

在此，对病毒版的版主，版二表示感谢，
他们的工作实在伟大，默默为大家服务，值得表扬。

还有感染病毒的各位同学，提供了详细的病毒信息以及各种特殊情况，
在此一并表示感谢。



--

※ 修改:·etnlegend 于 Apr 27 21:30:32 修改本文·[FROM: 219.224.183.163]
※ 来源:·BBS 水木清华站 http://smth.org·[FROM: 211.83.116.*]

FixLGate.com

--
 ┏█￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ヽ￣￣█┓
 █┛ ゝ     ヴロ    ー  ヽ-よ  ヽ   ┌ー┓丿ー        ┏ ー   ┗█
 ▏   フ,ロ   の  ロ|丅 ｀ーナ  ー   〡ヱ│ |ろ  こレ  │十      ▕
 ▏   ㄧノし ノゝ    丨  √/寸 ノゝ  丿ロ亅ー十  ンロ  丿丿ゝ    ▕
 █┓                                        ┃                ┏█
 ┗█____bbs.tingtao.net_____________________丨166.111.162.88__█┛


※ 来源:·BBS 听涛站 tingtao.net·[FROM: 219.224.174.172]