扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:网络转载 2009年4月25日
Lovgate病毒移除
学校里不少计算机感染了Lovgate病毒,下面是手动处理方法。
病毒全名: W32.HLLW.Lovgate.?@mm (?代表Lovgate的各个变种)
传播途径: 网络共享、邮件
最大特点:
1、以administrator用户名访问目标计算机的管理员共享(admin$), 并进行密码的枚举,空密码、1234、test等都是枚举的范围,如果成功破解密码,就进行感染行动。普通everyone完全控制的共享更是它优先照顾的对象。
2、防病毒软件无法彻底实时防护,即时防病毒软件正常运行,只要有传播途径,还是会被感染,而且它能使防病毒软件失效。
处理方法:
1、阻断传播途径:
A、更改管理员密码
B、关闭everyone完全控制的共享, 最彻底的方法是禁用文件与打印共享
C、关闭%SystemRoot%Media共享,是病毒自己创建的共享
2、检查并关闭病毒进程
A、关闭所有exploier.exe进程
B、关闭所有iexplore.exe进程
C、关闭所有iexplorer.exe进程
这三个进程是感染lovgate明显的症状。
3、删除%SystemRoot%system32下的iexplore.exe与iexplorer.exe, 如果不能删除,将它们重命名, 待处理完重启后再删除。
4、删除相应的注册表项:
A、[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
" Program In Windows"="C:\WINNT\System32\IEXPLORE.EXE"
"WinHelp"="C:\WINNT\System32\TkBellExe.exe"
"Hardware Profile"="C:\WINNT\System32\hxdef.exe"
"Microsoft Associates, Inc."="iexplorer.exe"
"Shell Extension"="C:\WINNT\System32\spollsv.exe"
B、[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion unServices]
"SystemTra"="C:\WINNT\CdPlay.EXE"
"COM++ System"="Exploier.exe"
C、从注册表中删除恶意程序服务项目
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>Windows Management Instrumentation Driver Extension
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>NetMeeting Remote Desktop (RPC) Sharing HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Microsoft NetWork FireWall Services
4、下载专门的Lovgate病毒移除工具, 比如Symantec或瑞星的,清除系统中的病毒
5、重启计算机后,卸载旧的防病毒软件(感染lovgate后, 防病毒软件会被lovgate病毒破坏),重新安装防病毒软件,更新病毒定义文件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者