十尾vs须佐能乎:怎样清理内存，使机器快一些？

不要嫌多，你也可以用瑞星的最新版，就是不太彻底

杀w32.lovegate.R@mm病毒经验谈

我最近到一个企业做软件服务,在建立internet共享后,发现网站打开很慢,有的甚至打不开!打开进程管理,查找CPU资源占用情况,发现CPU占用率98%!惊奇之余,查找进程里的文件,发现一个可疑文件NetMeeting.exe,占用了不少资源.NetMeeting.exe 感觉好象是NetMeeting的主程序,但我启动NetMeeting后,发现它的程序名并不叫NetMeeting.exe,从而确定这又是一个隐藏的比较深的病毒!同时,在硬盘的所有分区的根目录下发现很多奇怪的.zip和.rar文件,问企业相关人员,都说不是他们做的压缩文件,看来和病毒有关.用杀毒软件查杀,发现该病毒叫w32.lovegate.R@mm,在杀该病毒的时候,杀毒软件被中断运行,自动退出,使系统彻底失去保护,而且启动不开了!这下愁了,到网上下载专杀工具吧,找了诺顿专杀和瑞星专杀,查出了病毒,并杀掉,重启机器,连接internet后,看进程,又发现了neetming.exe文件,打开一个分区,眼睁睁地看到若干.zip和.rar正在被建立,这病毒厉害啊,看来真的好好对付它了,然后又查看了局域网内的其他机器，发现大多数机器都感染了这个病毒。到网上查找相关资料,了解此病毒的特点,(相关资料附后)及杀毒方法,在一些论坛上看了若干帖子,有很多求救和解决方法,很多解决方法过程很烦琐,要改注册表等等,我是没那耐心.首先要处理的机器是代理服务器，它不仅是internet代理服务器，还是vpn服务器，如果杀不干净,后患无穷!说干就干,拔掉所有网线,光盘启动,格式化所有分区,安装WINDOWS 2000 SERVER,设置上administrator用户密码,（有资料说此病毒利用弱口令攻击电脑）装上杀毒软件，然后插上上网的那根网线,拨号上网,更新杀毒软件,再查进程,好了,正常了!然后安装好SYGATE,插上局域网网线,到别的机器上一试,好了,速度也不错.我以为万事大吉,就去干别的活了,一会别人又来找我,说机器又慢了,而且杀毒软件不停地出来有病毒提示.我去一看,完了,病毒又回来了.这下愁大了,只好坐下来,到网上继续查资料,终于发现有人介绍说要到安全模式下杀毒才行.于是到安全模式下,用瑞星专杀工具,清除了6个病毒,同时把局域网上所有装2000和XP的机器都杀了一遍.再启动上网,很不幸,该病毒再次光临.难道瑞星不好用？换诺顿专杀工具,居然杀了20多个存在病毒的文件,看来诺顿比瑞星的专杀工具好用些.说了太多了,看官们都烦了.说说我如何解决这个问题的吧.
解决方法:VPN服务器比较重要,所以我还是断开所有网络,格式化硬盘,重装windows 2000 server,administrator口令密码设上（密码起的复杂点）,通过移动硬盘(确保无毒)打上ie6和sp4补丁,装上瑞星2004,连上ADSL网线,拨号上网,先升级瑞星病毒库,完毕后利用WindowsUpdate，进微软升级网站安装所有关键更新.（这步很重要，我当时以为只要把杀毒软件装上，并升级到最新，补丁以后慢慢装应该不会感染上病毒，事实证明不是这样，如果局域网上其他机器还有此病毒，那么这个机器还是会感染上病毒。所以补丁必须要及时打上。）这样这个机器就高枕无忧了.可以连上局域网网线了.并设置好sygate软件.然后把我下载的诺顿FixLGate.com专杀工具放到共享文件夹里,到其他机器上,把这个文件复制到桌面上,(这样方便,因为看资料说,杀毒过程中不可双击文件夹,不知道是真是假,尽量避免吧.),拔掉网线,然后进入安全模式,点击桌面上的FixLGate.com杀毒,清理干净后,重启机器,然后的步骤同上.升级完毕后,将机器的分区中的.zip和.rar这些文件删掉即可.从此,可恶的病毒不再来了.
我的心得:

1. 对使用Windows操作系统的用户，为预防病毒和木马,对自己的爱机一定要装上杀毒软件和微软的各种安全补丁,最好也装上防火墙（Windows XP打上sp2后，用它自身的防火墙即可），并及时升级，最好设置成“自动升级”。上面所提的单位就是没有及时更新Windows“安全更新”，虽然机器上装了杀毒软件，但还是没有阻挡住病毒的入侵;

2. 对超级用户一定不能使用弱口令，我以前到另外一个单位去，也发现了“爱情后门”（lovegate）的另一个变种，这个单位的Administrator用户口令都是空，该病毒就是利用这个漏洞在局域网内广泛传播，即使用杀毒软件查杀，但杀完后，连上局域网后，别的机器上的病毒又把它感染了，后来给Administrator用户加上口令后，问题解决;

3. 万一中毒,一定要先仔细找相关资料研究,根据其特点想出对策.不可盲目杀毒.我写得简单,其实我对付这个病毒用了2天的时间,中间走了很多弯路,教训啊,切记!

附:有关W32.Lovgate.R@mm的相关资料:
病毒名：W32.Lovgate.R@mm

该病毒发现于2004年4月5日
描述最近更新于2004年4月27日
Symantec划定其危险等级为2级

W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一，是一种蠕虫病毒，
具有电子邮件群发性质，可以用多变的电子邮件形式将自身传播到其他计算机。
W32.Lovgate.R@mm由C 编写，实行了JDPack和ASPack压缩。

别名：W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky]
国内的金山公司将Lovgate系列病毒命名为Supnot系列
感染长度：128,000字节——即125KB

受威胁的操作系统：Windows 95/98/Me/NT/2000/XP
免疫的操作系统：DOS,Linux,Macintosh,OS/2,UNIX,Windows 3.×

Symantec 公司的 Norton AntiVirus 产品 2004年4月5日 之后的病毒定义对该病毒有效

部分主要技术参数：
[注意：其中的特征可以作为判定感染病毒的依据！破折号是需特别注意的]
当W32.Lovgate.R@mm病毒被激活时，会出现如下症状——

（1）病毒将自身复制到
％Windir％\Systra.exe
％System％\Hxdef.exe
％System％\iexplore.exe —— 注意区别于IE浏览器的iexplore.exe
％System％\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名
％System％\Kernel66.dll —— 该文件具有只读、隐藏和系统属性
％System％\WinHelp.exe
其中％Windir％ 为 WINNT 目录（Windows2000系统）或 WINDOWS 目录（WindowsXP系统），
％System％ 为 ％Windir％ 目录下的 system32 目录。

（2）创建后门/木马组件
％System％\ODBC16.dll
％System％\Msjdbc11.dll
％System％\MSSIGN30.DLL
％System％\LMMIB20.DLL
这些文件都具有 53,760 字节的长度。

（3）创建文件
％System％\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件
％System％\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe
这些文件具有 61,440 字节的长度。

（4）对注册表的操作
将键值
"Hardware Profile"="％System％\hxdef.exe
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="％System％\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="％System％\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="％System％\WinHelp.exe"
添加到位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

将键值
"SystemTra"="％Windir％\Systra.exe"
添加到位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

将键值
"run"="RAVMOND.exe"
添加到位置
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

可能生成
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。

（5）对进程的操作
终止下列服务——
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client

新建服务——
"Windows Management Protocol v.0 (experimental)"
映射到"Rundll32.exe msjdbc11.dll ondll_server"

新建服务——
"_reg"映射到"Rundll32.exe msjdbc11.dll ondll_server"

终止含有下列字符串的进程——
KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising

（6）运行后门程序
在计算机的6000端口运行后门程序，
该程序窃取计算机信息并存储于C:\Netlog.txt，
并由蠕虫以电子邮件形式发送给攻击者。

（7）在局域网中传播
以下列文件名将自身复制到网络共享文件夹和子文件夹中——
WinRAR.exe
Internet Explorer.bat
文档s and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
Windows更新.pif
Cain.pif
MSDN.ZIP.pif
auto执行.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
注意：如果计算机设置为隐藏已知类型文件的扩展名（默认设置），
则上述文件更具有欺骗性，容易误操作导致病毒激活！

扫描局域网上的所有计算机，用Administrator用户名和一组简单密码，
密码列表见本版精华区Symantec的技术资料。

如果病毒成功登录远程计算机，它将会把自身复制到
\\

用橡皮擦一下,内存的金手指就可以了,可以达到清洗内存的目的

对于没有必要的驻留程序,如果你对电脑的操作系统不太了解的话,最好不要动
但是可以建议你一下,可以用一些优化大师这样的软件