这是什么病毒，有什么方法解决？救命呀！！

在每个盘都有install、letter、letter.rar、pass、pass.rar、setup.rar、work.rar文件。删除后，重新开机又有了。更可怕的是格式化所有盘之后，重装系统，开几次机后又有了。 问题点数：100、回复次数：9Top

1 楼jimmyge（Do Re Mi）回复于 2004-05-02 12:42:22 得分 25

1、病毒英文名：I-Worm.supnot.w  
  2、病毒中文名：爱情后门  
  3、病毒   大小　：125KTop

2 楼jimmyge（Do Re Mi）回复于 2004-05-02 12:42:45 得分 10

http://www.vrv.com.cn/Html/200448162359-1.HtmlTop

3 楼wdfjsj（风）回复于 2004-05-02 13:08:13 得分 0

怎样杀呀！！！Top

4 楼xbsyhx（冰释银狐）回复于 2004-05-02 13:27:05 得分 5

我的机器也中过，FORMAT后就没了呀Top

5 楼jimmyge（Do Re Mi）回复于 2004-05-02 13:37:55 得分 30

http://it.rising.com.cn/service/technology/tool.htmTop

6 楼shadow22（堂主）回复于 2004-05-02 14:09:09 得分 20

一、[病毒特征]：  
   
  1、病毒英文名：I-Worm.supnot.w  
  2、病毒中文名：爱情后门  
  3、病毒   大小　：125K  
   
  二、[病毒分析]：  
   
  　　　该病毒为爱情后门病毒的最新变种。大小约为125K，采用ASPACK2.12压缩。  
   
  　　　病毒被执行以后在system目录下生成了以下文件  
  　　　hxdef.exe  
  　　　ravmond.exe  
  　　　iexplore.exe  
  　　　kernel66.dll  
  　　　odbc16.dll  
  　　　msjdbc11.dll  
  　　　MSSIGN30.DLL  
  　　　spollsv.exe  
  　　　NetMeeting.exe  
  　　　a  
   
  　　　在windows目录下生成:  
   
  　　　SYSTRA.EXE  
   
  　　　在每个分区根根目录下生成以下文件：  
  　　　bak.rar  
  　　　bak.zip  
  　　　install.rar  
  　　　install.zip  
  　　　letter.rar  
  　　　letter.zip  
  　　　pass.rar  
  　　　pass.zip  
  　　　setup.rar  
  　　　setup.zip  
  　　　work.rar  
  　　　work.zip  
  　　　autorun.inf  
  　　　command.exe  
  　　　在被执行的病毒文件所在的目录下会生成以下文件：  
  　　　results.txt  
  　　　win2k.txt-----当当前系统是windows2000时产生  
  　　　winxp.txt-----当当前系统是windows   XP时产生  
   
  写以下注册表项：  
   
  [HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Run]  
  "Hardware   Profile"="%Windir%\\System32\\hxdef.exe"  
  "VFW   Encoder/Decoder   Settings"="  
  RUNDLL32.EXE   MSSIGN30.DLL　ondll_reg"  
  "Microsoft   NetMeeting   Associates,   Inc."="NetMeeting.exe"  
  "Program   In   Windows"="%Windir%\\System32\\IEXPLORE.EXE"  
  "Shell   Extension"="%Windir%\\System32\\spollsv.exe"  
  "Protected   Storage"="RUNDLL32.EXE   MSSIGN30.DLL　ondll_reg"  
  [HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\runServices]  
  "SystemTra"="%Windir%\\SysTra.EXE"  
   
  添加以下服务：  
   
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesWindows   Management   Protocol   v.0   (experimental)]  
   
  　　　病毒自带FTP服务器端，它会在15436端口提供一个FTP服务，这样病毒就可以通过建立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件。病毒会利用共享方式进行传播，共享传播主要通过netmeeting.exe来进行，它会扫描网络内的共享资源，并尝试将自身复制到远程共享。  
   
  　　　病毒会使用windows的程序CMD.EXE写文本文件a，内容如下：  
   
  open   127.0.0.1   15436  
  ftp  
  ftp  
  bin  
  get   hxdef.exe  
  bye  
   
  　　　并使用该文件来下载病毒可执行文件，病毒会不停调用cmd.exe程序，由于cmd.exe为隐藏运行，用户可以在进程管理器中看到1个以上的cmd.exe进程。  
  病毒还自带SMTP引擎，它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带病毒附件的垃圾邮件，邮件内容如下：  
   
  发件人：从搜索到的电子邮件地址中随机获取  
  收件人：从搜索到的电子邮件地址中随机获取  
  主题：  
  正文：  
  附件：大小125K左右，扩展名为以下类型的文件：  
  .exe  
  .scr  
  .pif  
  .cmd  
  .bat  
  .zip  
  .rar  
   
  　　　病毒会尝试感染网络中的共享资源（探测网络内计算机的135、139、445等端口），当发现有可写的共享资源时，病毒会将自己的副本写入该共享，如果病毒探测到被感染计算机的有权限用户的弱口令（使用自带的密码库），病毒会远程将病毒执行起来达到网络传染的目的。  
   
  　　　病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zmx，并将属性设置为隐藏+系统，然后将病毒的副本复制到EXE文件所在目录病毒将名称改为该EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当中（名称主要有自带的列表和从被感染计算机上搜索到的EXE文件名两种，自带的文件名列表略）。  
  Top

7 楼zhiqiu（http://www.bsdlover.cn（找兼职，谁有需求？））回复于 2004-05-03 09:21:21 得分 5

呵呵，你的杀毒软件没有升级到最新吧？最新的杀毒软件应该可以搞定的Top

8 楼joinmyarmy（天外之星）回复于 2004-05-03 09:47:05 得分 0

ddddTop

9 楼jerryfly（子辰）回复于 2004-05-03 16:35:27 得分 5

还是支持用新杀毒软件杀，　　　最方便。  
   
  Top

相关问题

• 病毒
• 文件
• zip
• 执行
• 系统
• 电子邮件
• 杀毒软件
• 计算机
• rar
• 生成

• 帖主：wdfjsj
• jimmyge
• jimmyge
• xbsyhx
• jimmyge
• shadow22
• zhiqiu
• jerryfly

• CSDN Blog
• 技术文档
• 代码下载
• 第二书店
• 读书频道