与“爱情后门”的遭遇
数码时尚
近日,笔者在关电脑时,出现一行提示,显示有一位用户已经连接到本机,关闭计算机将切断共享。笔者当时急于回家也没多想,关机便走了。第二天关机时又出现了同样的提示。奇怪,机器没有设置共享啊,会不会是有病毒?
于是立即运行杀毒软件查毒,没有。运行“netstat -a”,发现局域网内业务机连上了本机,对那台机器运行瑞星杀毒软件,发现了“worm.lovgate.h”也就是“爱情后门”病毒,共有 Winrpc.exe、Ravmond.exe、Iexplore、WinDriver、WinGate、Task688.dll、reg678.dll七个文件有毒。记得《电脑报》曾有过介绍,这是一种集“蠕虫、黑客、后门于一体”的病毒。
出于安全起见,笔者对局域网内每台机子进行查毒,还好,别的机子都没有感染。正当笔者松一口气的时候,那台业务机子就又提示有病毒了。看来是没杀干净,于是下载“爱情后门专杀工具”进行查杀,查杀后提示没有发现病毒。病毒一定是修改了启动项或注册表。业务机装的是Win2000,笔者对win.ini和system.ini仔细检查,没有发现可疑项,进入“注册表编辑器”查找(先对注册表做个备份)。果然在Hkey_local_machine\software\microsoft\windows\current version\run下发现两个可疑键:remote procedure键值为rundll32.exe、reg678.dll、ondll_reg;synchronization键值为mobsync.exe\logon。Rundll32.exe,mobsync.exe两个文件都在winnt\system32下,删除这两个文件后重启系统进入注册表,以rundll32.exe、mobsync.exe、Winrpc.exe、Ravmond.exe、Iexplore、WinDriver、WinGate、Task688.dll、reg678.dll为关键字查找,把所有找到的键值删除。重启系统,不再出现病毒警告,关电脑也不再提示有用户连接本机了。
注意:1.查毒时先将网络断开。
2.删除文件最好在DOS下进行,删完再修改注册表。
3.改好注册表后重新启动。