W32/Lovgate病毒的解决方法 RPC重启

病毒的解决方法
        
提    醒：重要资料及时备份，防比杀更有效 

简介：lovgate集蠕虫、后门、黑客于一身，通过病毒邮件进行邮件传播，通过建立后门给用户的计算机建立一个泄密通道，通过放出后门程序与外界远程木马沟通，通过放出盗窃密码程序主动盗窃计算机密码，通过远程疯狂传播局域网，最终导致所有计算机用户受到病毒控制，网络瘫痪、信息泄露等严重后果。

一、病毒资料

名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小：97,280字节
传播途径：EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径：Lovgate病毒新的变种，通过445端口搜索邻近IP共享目录，对密码进行弱
口令破解，成功后共享media目录，启动NETMANAGER.EXE远程管理程序，并做为服务器,继续搜索邻近IP，快速传播。

二、病毒被执行时，产生下列文件：

%System%Hxdef.exe
%System%iexplore.exe
%System%WinHelp.exe
%System%NetMeeting.exe (61,440 bytes)
%System%spollsv.exe (61,440 bytes)
%SysDir%IEXPLORE.EXE
%SysDir%kernel66.dll
%SysDir%RAVMOND.exe
%WinDir%SYSTRA.EXE
%SysDir%msjdbc11.dll
%SysDir%MSSIGN30.DLL
%SysDir%ODBC16.dll
%System%LMMIB20.DLL

C:COMMAND.EXE （被加入autorun.inf文件，双击磁盘时自动转行）

三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下：
pass
bak
password
email
book
letter
important

四、更改注册表，机器启动时自动加载运行病毒程序

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Program In
Windows" = %SysDir%IEXPLORE.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion unServices
"SystemTra" = %WinDir%SysTra.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行，为病毒的后门服务。

五、自动生成和加载三个服务

1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices\_reg
描述：提供后门服务

2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器，执行计划性扫描局域网。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic
描述：为远程管理程序，提供后门服务。

六、由于病毒会自动检测进程，如果发现被关闭，就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中，几乎没有办法手动完全关闭病毒进程。

七、病毒在每个磁盘分区会创建文件AUTORUN.INF，以COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时，系统会根据AUTORUN.INF文件的指示，调用COMMAND.COM/EXE病毒文件，结果是无法打开磁盘分区。右键可以打开。

八、病毒检测移动磁盘，网络映射磁盘，以及盘符超过E的磁盘。如果发现有EXE文件，病毒会把它改名，后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件，125K，为病毒体。

九、自动删除一些杀毒软件的进程。病毒会检测一些进程的文件名，如果发现相关文件，会一概删除。主要的判断文件名包括：
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
常见的杀毒软件和防火墙都有。。。。。。
所以大家不要以为计算机安装上杀毒软件和防火墙后,就绝对安全了!!!还是要谨慎!!!

十、lovegate病毒查杀方法

1、安全模式下查杀或用启动盘DOS下查杀，至少查杀二遍。
 
SYMANTEC的专杀工具下载网址为：
  http://securityresponse.symantec.com/avcenter/FixLGate.com
 
 
瑞星的专杀工具下载网址为：
  http://download.rising.com.cn/zsgj/RavLovGate.com
  这个是.com，不会被改名，伪装。。。。

2、 EXE会被病毒改名，重新进入文件目录，显示所有文件，包括显示后缀，把隐藏的.ZMX文件改成.EXE文件。

3、 硬盘分区无法双击打开，显示所有文件，删除AUTORUN.INF。
   [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2]
   在注册表的这个项中寻找带有子项的{数字}项（不同机器数字不同），目标是子项中有shell/autorun这样子项的romReg键，键值为对应驱动器的名称，将shell子项删除, 对应驱动器就可以通过我的电脑双击进入

4、 杀毒后如果注册表修复不完整，可能会提示启动缺少什么DLL文件，可以手动查找注册表，删除相关注册表。

5、关闭磁盘共享，设置系统用户强悍密码。

6、打全系统补丁。不要再问我都打哪个，每个安全补丁都有其存在的价值。不想再中招就done all    ：）

7、小建议：打开电子邮件要小心。怕怕~~~~~
  如果信件非常频繁，推荐www.hotmail.com  信箱自动查杀病毒功能
 
=============================
d、e、f、g盘（如果有的话）双击不能直接打开，说Windows无法找到COMMAND.EXE文件，要求定位该文件，定位C:windowsexplorer之后每次打开会提示“/StartExplorer”出错，然后依然能打开驱动器文件夹。 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为：

open="X:command.exe" /StartExplorer   (注:X为驱动器盘符)

所以，如果你没有杀毒，每次点开/D/E/F/G盘都会激活病毒
瑞星比较笨不会帮你搞定这个问题（就算升级到最新版也没有用，瑞星网站上专杀也无法解决，且无相关说明），需要自己手工解决。

解决方法如下(以D盘为例)：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
开始
运行
cmd（打开命令提示符）
D:
dir /a （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除
del autorun.inf

到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe，这个时候自动运行的信息已经加入注册表了。

下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
command.exe
找到的第一个就是D盘的自动运行，删除整个shell子键
其它盘也用同样方法解决。
十一，重启RPC服务

因该病毒中毒的症状有点像冲击波，震荡波不断进行重启，停了RPC，后无法再用服务中的属性页进行重启，导致启动Windows时间较长；窗口最小化后不显示在状态栏；不能复制、粘贴；打开不了第二层网页；找不到RPC服务的属性页等等。笔者想重新启用RPC服务时费了点周折。

　　我的关闭方法是依次点击“管理工具→服务→Remote Procedure Call→属性”，其默认启动类别是“自动”，但选项是灰色的（不可用状态），点击标签“登录”，将硬件配置文件服务禁用，重新启动系统。

　　在网上查阅了大量的资料，找出启用的三种方法：

　　方法一：修改注册表

　　运行注册表编辑器，打开HKEY_LOCAL_MACHINEsystemCurrentControl-SetServicesRpcSs分支，将Start项的值由“4”修改为“2”，即把启动类型设为自动，重新启动系统即可。

　　方法二：使用“SC”命令

　　进入“命令提示符”窗口，键入“sc config RpcSs start=auto”命令，系统会显示“SC ChangeServiceConfig SUCCESS”，这样就可以成功启用RPC服务。

　　方法三：使用故障恢复控制台

　　以Windows 2003系统为例，用安装光盘启动，系统进入到Windows 2003安装界面，按下“R”键登录到故障恢复控制台。在故障恢复控制台下，键入“enable RpcSs service_auto_start”命令，然后再键入“exit”命令，重新启动系统，以正常模式登录，即可成功启用RPC服务。

　　笔者使用上面的几种方法都不成功，看来只有自己动手解决了。我想注册表中的某些键值一定要变，这样才能启用。

　　把禁用前的备份注册表恢复到被禁用后的注册表中，提示无法导入，不成功。无法启用。

　　把禁用前和禁用后的两个注册表（只取HKEY_LOCAL_MACHINESYSTEM分支）内容转化成Word文档，再使用Word中的“比较并合并文档”功能，就能自动找到两个注册表的不同之处。我通过比较分析，发现禁用后的注册表中有以下分支：

　　1. HKEY_LOCAL_MACHINESYSTEMCurr-

　　entControlSetHardwareProfiles001SystemCurrentControlSetEnumROOTLEGACY_RPCSS

　　2.HKEY_LOCAL_MACHINESYSTEMCurr-