[求助]中了worm_lovgate.f和pe_valla.a

水袖 · 发表于 2004-9-14 13:32

杀毒软件经常提示我中了worm_lovgate.f和pe_valla.a病毒,已隔离,无法清除,但是当我根据网上查来的资料对电脑进行检查,却发觉一条也对不上,然而隔三差五的还是老是出来这样的提示,都不知道是怎么会事了....
有谁知道该怎么处理这种情况啊 ..
先谢谢各位了..

吟风听月 · 发表于 2004-9-14 13:44

病毒种类: 蠕虫

具破坏性: 不会

别名: W32/Lovgate.F@m, W32.HLLW.Lovgate.G@mm, Win32/Lovgate.F.Worm

可侦测的最新病毒码: 1.590.54

可侦测的最新扫描引擎: 5.200

风险程度:  低度
--------------------------------------------------------------------------------

感染报告:  低度

破坏力:  高度

感染力:  高度

---------------------------------------------------------------------------

说明:
该蠕虫为常驻内存类型。通过在可读写的网络共享中身成自身的拷贝传播。生成的文件名称如下之一：
Are you looking for Love.doc.exe
autoexec.bat
The world of lovers.txt.exe
How To Hack Websites.exe
Panda Titanium Crack.zip.exe
Mafia Trainer!!!.exe
100 free essays school.pif
AN-YOU-SUCK-IT.txt.pif
Sex_For_You_Life.JPG.pif
CloneCD + crack.exe
Age of empires 2 crack.exe
MoviezChannelsInstaler.exe
Star Wars II Movie Full Downloader.exe
Winrar + crack.exe
SIMS FullDownloader.zip.exe
MSN Password Hacker and Stealer.exe
该蠕虫同时也会通过电子邮件传播，其方法为自动回复Microsoft Outlook 以及 Outlook Express收到的新邮件。该电子邮件包含如下信息：

account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE account now! <
Attachment: (Randomly selected from any of the following)
I am For u.doc.exe
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
the hardcore game-.pif
电子邮件的地址从当前机器中的 HTML 文件中收集，邮件附件为蠕虫自身的拷贝。邮件的内容如下:
Subject: Reply to this!
Message Body: For further assistance, please contact!
Attachment: About_Me.txt.pif
Subject: Let's Laugh
Message Body: Copy of your message, including all the headers is attached.
Attachment: driver.exe
Subject: Last Update
Message Body: This is the last cumulative update.
Attachment: Doom3 Preview!!!.exe
Subject: for you
Message Body: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
Attachment: enjoy.exe
Subject: Great
Message Body: Send reply if you want to be official beta tester.
Attachment: YOU_are_FAT!.TXT.pif

Subject: Help
Message Body: This message was created automatically by mail delivery software (Exim).
Attachment: Source.exe
Subject: Attached one Gift for u..
Message Body: It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
Attachment: Interesting.exe
Subject: Hi
Message Body: Adult content!!! Use with parental advisory.
Attachment: README.TXT.pif
Subject: Hi Dear
Message Body: Patrick Ewing will give Knick fans something to cheer about Friday night.
Attachment: images.pif
Subject: See the attachement
Message Body: Send me your comments...
Attachment: Pics.ZIP.scr
蠕虫也具备后门的能力，使得远程用户可以在受影响的系统执行命令。
此蠕虫可以在 Windows 95, 98, ME, NT, 2000, 和 XP中运行。
解决方案:
此步骤用于中止内存中运行的恶意程序进程。您需要之前记录的病毒文件列表。
打开 Windows 任务管理器 Windows 9x/ME 系统，按
CTRL+ALT+DELETE Windows NT/2000/XP 系统，按
CTRL+SHIFT+ESC，然后单击进程选项卡。
在运行程序清单中，查找之前检测的恶意程序名称。
选择被检测的文件，然后按中止程序和中止进程按钮，取决于您的系统Windows版本。
对所有检测的文件重复以上步骤。
为检查恶意程序是否被中止，关闭任务管理器，然后重新打开。
(中止恶意程序进程会导致自动执行IEXPLORE.EXE。请在中止了所有其他恶意程序实例后中止IEXPLORE.EXE的执行)
Close Task Manager.
*注意：运行 Windows 9x/ME 的系统，任务管理器可能无法显示所有进程。您可能需要第三方的进程管理器中止恶意程序进程。其他情况请继续下列步骤。
删除注册表中的自启动项目
删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行。
打开注册表编辑器。单击开始>运行，输入 REGEDIT，然后按 Enter 键。
在左边的列表中，双击以下键：
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
在右边的列表中查找并删除以下项目：
WinHelp = "C:\WINNT\System32\WinHelp.exe"
WinGate initialize = "C:\WINNT\System32\WinGate.exe -remoteshell"
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE"
在左边的列表中，双击以下键：
HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>
CurentVersion>Windows
在右边的列表中查找并删除以下项目：
Run = RAVMOND.EXE?
查找 Registry Shell Spawning
Registry shell spawning使得每当用户打开一个文本文件时恶意程序即被执行。下列步骤用于将注册表键还原。
仍然在注册表编辑器中，在左边的力表中双击以下键：
HKEY_CLASSES_ROOT>txtfile>shell>open>command
在右边的列表中查找以下注册表项目：
Default
查看其值是否为：
"winrpc.exe %1"
如果是恶意程序文件，请右键单击“默认”并选择“修改”。
在输入框中输入： %SysDir%\NOTEPAD.EXE %1
单击确定。
关闭注册表编辑器
删除系统文件中的自启动项目
删除系统文件中的自启动项目可以阻止恶意程序在系统启动时运行。
打开 WIN.INI。请单击开始>运行，输入 WIN.INI，然后按 Enter 键。
在[windows]一节中，查找并删除包含RAVMOND.EXE的行：
Run=%System%RAVMOND.exe
* %System% 为Windows系统文件夹，通常Windows 9x 和 ME为C:\Windows\System，Windows NT 和 2000为C:\WINNT\System32，Windows XP为C:\Windows\System32。)
关闭 WIN.INI 并在提示保存时单击是。
注意：如果之前无法从内存中中止恶意程序进程，请重启您的系统。
禁用Windows NT, 2000, 以及 XP下的恶意程序服务
从注册表中删除恶意程序服务项目
打开注册表编辑器，单击开始>运行，输入REGEDIT，然后按 Enter 键。
在左边的列表中，双击下列键：
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Windows Management Instrumentation Driver Extension
右键单击"Windows Management Instrumentation Driver Extension"然后选择"删除"。
在左边的列表中，双击下列键：
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>NetMeeting Remote Desktop (RPC) Sharing
右键单击"NetMeeting Remote Desktop (RPC) Sharing"然后选择"删除"。
在左边的列表中，双击下列键：
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Microsoft NetWork FireWall Services
右键单击"Microsoft NetWork FireWall Services"然后选择"删除"。
Close Registry Editor.

makeawish · 发表于 2004-9-14 16:29

注册表
看不懂啊

水袖 · 发表于 2004-9-15 06:30

下面引用由吟风听月在 2004/09/14 01:44pm 发表的内容：
病毒种类不会

别名: W32/Lovgate.F@m, W32.HLLW.Lovgate.G@mm, Win32/Lovgate.F.Worm

...

多谢。

		自动登录	找回密码
密码			注册