卤猪(Win32.iuhzu.a)病毒清除办法及专杀工具下载

<BR><P><STRONG><FONT size=3>卤猪(Win32.iuhzu.a)病毒中毒症状：</FONT></STRONG></P>
<P><FONT size=2>　　来自上海市信息化服务热线等反病毒机构的专家介绍，“卤猪”病毒运行后会在系统目录下生成名为“progmon.exe”“internt.exe”等文件，它还会将自身复制到硬盘各个分区的根目录下，试图通过U盘、移动硬盘等移动存储设备传播。该病毒会猜解局域网中其他计算机的密码，试图通过局域网共享进行传播。该病毒会感染用户计算机上的EXE格式可执行文件，造成用户的系统运行异常甚至崩溃。专家建议，电脑用户不要随便打开不明来历的可执行文件，在使用移动存储设备时要先进行病毒扫描。</FONT> </P>
<P><STRONG><FONT size=3>卤猪(Win32.iuhzu.a)病毒分析：</FONT></STRONG></P>
<P><FONT color=#000000 size=2>File: Server.exe<BR>Size: 13327 bytes<BR>MD5: F6CAC56E082ED27D232B87911F6D0442<BR>SHA1: 5183CF2B9CE262265294B7778E0A2A59CD6EA2B1<BR>CRC32: 2F3AA8FD<BR>加壳方式：nSPack</FONT></P>
<P><FONT color=#000000 size=2>病毒运行后：<BR>文件变化: <BR>释放文件<BR>C:\WINDOWS\system32\IME\svchost.exe<BR>C:\WINDOWS\system32\progmon.exe<BR>C:\WINDOWS\system32\internt.exe</FONT></P>
<P><FONT color=#000000 size=2>试图向所有分区的根目录下写入setup.exe和autorun.inf</FONT></P>
<P><FONT color=#000000 size=2>注册表变化：<BR>创建服务Alerter COM+ 指向C:\WINDOWS\system32\IME\svchost.exe<BR>在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目<BR>&lt;Internt&gt;&lt;C:\WINDOWS\system32\internt.exe&gt;<BR>&lt;Program file&gt;&lt;C:\WINDOWS\system32\progmon.exe&gt; <BR>修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000<BR>屏蔽显示隐藏</FONT></P>
<P><FONT color=#000000 size=2>关闭带有如下字样的窗口：<BR>Windows 任务管理器<BR>兔子<BR>任务<BR>优化<BR>注册表<BR>Process<BR>进程<BR>毒<BR>木马<BR>天网<BR>防火墙</FONT></P>
<P><FONT color=#000000 size=2>修改system32文件夹的属性 为隐藏<BR>连接网络：<BR>下载<U>http://www.xxxxxon9.com/tt11/psexec.exe</U><BR><U>http://www.xxxxxon9.com/tt11/Server.exe</U><BR>到system32文件夹<BR>命名为1.exe和2.exe<BR>1.exe不断试图访问局域网上的其他机器 试图将2.exe（就是前面的C:\WINDOWS\system32\IME\svchost.exe）复制到其他机器上<BR>利用下列用户名和密码进行试探<BR>用户名&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 密码<BR>administrator&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 空&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 123456 login love<BR>admin&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 空&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 123456 login love<BR>Guest&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 空&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 123456 login love<BR>home&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 空&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 123456 login love</FONT></P>
<P><FONT color=#000000 size=2>并通过<U>http://union.itlearxxx.com/ip/getip.asp</U>做感染统计</FONT></P>
<P><FONT color=#000000 size=2>感染除如下目录以外的exe文件（虚拟机里由于只有一个分区，没看到这些，只是从病毒中看到的）<BR>%Program Files%\Windows Media Player<BR>%Windows%\system<BR>%Program Files%\Internet Explorer\Connection Wizard<BR>Outlook Express<BR>Windows Media Player<BR>Internet Explorer<BR>NetMeeting<BR>ComPlus Applications<BR>Messenger<BR>WINNT<BR>Documents and Settings<BR>System Volume Information<BR>Recycled<BR>WindowsUpdate<BR>Windows NT<BR>Microsoft Frontpage<BR>Movie maker<BR>NetMeeting<BR>WINDOWS</FONT></P>
<P><FONT color=#000000 size=2>并且又在此病毒中发现了前几天发现的那个xiaohui的QQ号！！！</FONT></P>
<P><STRONG><FONT size=3>卤猪(Win32.iuhzu.a)病毒清除办法：</FONT></STRONG></P>
<P><FONT size=2>安全模式</FONT></P>
<P><FONT size=2>打开sreng <BR>启动项目&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)<BR>&lt;Internt&gt;&lt;C:\WINDOWS\system32\internt.exe&gt;<BR>&lt;Program file&gt;&lt;C:\WINDOWS\system32\progmon.exe&gt; </FONT></P>
<P><FONT size=2>“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，<BR>选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：<BR>[Alerter COM+ / Alerter COM+][Stopped/Auto Start]<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;C:\WINDOWS\system32\IME\svchost.exe&gt;&lt;N/A&gt;</FONT></P>
<P><FONT size=2>把下面的 代码拷入记事本中然后另存为1.reg文件<BR>Windows Registry Editor Version 5.00</FONT></P>
<P><FONT size=2>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]<BR>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<BR>"Text"="@shell32.dll,-30500"<BR>"Type"="radio"<BR>"CheckedValue"=dword:00000001<BR>"ValueName"="Hidden"<BR>"DefaultValue"=dword:00000002<BR>"HKeyRoot"=dword:80000001<BR>"HelpID"="shell.hlp#51105"</FONT></P>
<P><FONT size=2>双击1.reg把这个注册表项导入</FONT></P>
<P><FONT size=2>去掉system32的隐藏属性</FONT></P>
<P><FONT size=2>开始 运行 输入cmd 打开命令行窗口 输入attrib -h C:\windows\system32</FONT></P>
<P><FONT size=2>双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定<BR>然后删除C:\WINDOWS\system32\IME\svchost.exe<BR>C:\WINDOWS\system32\progmon.exe<BR>C:\WINDOWS\system32\internt.exe<BR>C:\WINDOWS\system32\1.exe<BR>C:\WINDOWS\system32\2.exe<BR>右键点击菜单中的 “打开” 打开其他分区<BR>删除 autorun.inf和setup.exe</FONT></P>
<P><FONT size=2>使用杀毒软件全盘杀毒 清理被感染的exe文件</FONT></P>
<P><STRONG><FONT size=3>卤猪(Win32.iuhzu.a)病毒专杀工具下载地址：</FONT></STRONG></P> <BR>