Lovegate病毒（爱情后门）的症状及清除方法

一、感染后的症状：
在每个盘里自动生成几个压缩包，install.ZIP pass.ZIP setup.ZIP bak.RAR pass.RAR
该病毒集蠕虫、后门、黑客于一身，通过病毒邮件进行邮件传播，通过建立后门给用户的计算机建立一个泄密通道，通过放出后门程序与外界远程木马沟通，通过放出盗窃密码程序主动盗窃计算机密码，通过远程疯狂传播局域网，最终导致所有计算机用户受到病毒控制，网络瘫痪、信息泄露等严重后果。

二、清毒方法

第一种

结束进程： hxdef.exe iexplore.exe NetMeeting.exe（如果结束不了，进安全模式在杀毒。或者先删注册表中的各项，重启后在删文件）删掉％systemroot％system32下的：

hxdef.exe

ravmond.exe

iexplore.exe

kernel66.dll

odbc16.dll

msjdbc11.dll

MSSIGN30.DLL

spollsv.exe

NetMeeting.exe

（注意，有的文件是隐藏文件）

删掉％systemroot％目录下的systra.exe

删掉各个磁盘跟目录下的autorun.inf和command.exe(都是隐藏文件）

删掉各个磁盘跟目录下的rar和zip文件（大小126k）

关闭系统还原(此病毒可能感染系统还原目录内的文件）

搜索各磁盘中的.zmx文件，把相应目录中的exe文件删掉（如果是abc.zmx，就删掉abc.exe，注意，此文件是125k。）然后把zmx文件改回exe（如abc.zmx改成abc.exe)。文件属性被修改，通过下面这条命令改回属性：attrib -s -h *.zmx /s（在发现zmx文件的磁盘跟目录下运行，如：F:>attrib -s -h *.zmx /s

删掉注册表中下面各项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"Hardware Profile"="%Windir%\System32\hxdef.exe"

"VFW Encoder/Decoder Settings"="

RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"

"Shell Extension"="%Windir%\System32\spollsv.exe"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices

"SystemTra"="%Windir%\SysTra.EXE"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

Management Protocol v.0 (experimental)

第二种

手工杀毒步骤为：

1.删除了以上列出的病毒文件，有些文件只能在安全模式下删除。

2.然后修改注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run]中的相应条目。

3.删除服务，可以使用resource kit中的delsrv命令，也可以到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中删除。

做了以上工作后，计算机暂时恢复正常。但是过了一段时间以后，发现计算机重新感染病毒，原来的所有现象重新出现。再做一遍仍然如此。使用任务管理器查看进程，未发现其它可疑进程。后来使用瑞星最新版本杀毒，可以看到winnt\explorer.exe感染病毒，但无法杀掉。所以把注意力转到这个文件上，经检查文件尺寸为238kb，到别的正常机器上一看，结果是233kb，原来如此。由于操作系统运行过程中无法替换该explorer.exe文件，所以使用win2000安装光盘启动，进入恢复控制台。使用软盘把从正常计算机上拷贝来的文件替换上。并且使用上面的三个步骤手工杀毒。