卤猪(Win32.iuhzu.a)病毒清除办法及专杀工具下载

卤猪(Win32.iuhzu.a)病毒中毒症状：

　　来自上海市信息化服务热线等反病毒机构的专家介绍，“卤猪”病毒运行后会在系统目录下生成名为“progmon.exe”“internt.exe”等文件，它还会将自身复制到硬盘各个分区的根目录下，试图通过U盘、移动硬盘等移动存储设备传播。该病毒会猜解局域网中其他计算机的密码，试图通过局域网共享进行传播。该病毒会感染用户计算机上的EXE格式可执行文件，造成用户的系统运行异常甚至崩溃。专家建议，电脑用户不要随便打开不明来历的可执行文件，在使用移动存储设备时要先进行病毒扫描。

卤猪(Win32.iuhzu.a)病毒分析：

File: Server.exe
Size: 13327 bytes
MD5: F6CAC56E082ED27D232B87911F6D0442
SHA1: 5183CF2B9CE262265294B7778E0A2A59CD6EA2B1
CRC32: 2F3AA8FD
加壳方式：nSPack

病毒运行后：
文件变化:
释放文件
C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\progmon.exe
C:\WINDOWS\system32\internt.exe

试图向所有分区的根目录下写入setup.exe和autorun.inf

注册表变化：
创建服务Alerter COM+ 指向C:\WINDOWS\system32\IME\svchost.exe
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目
<Internt><C:\WINDOWS\system32\internt.exe>
<Program file><C:\WINDOWS\system32\progmon.exe>
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000
屏蔽显示隐藏

关闭带有如下字样的窗口：
Windows 任务管理器
兔子
任务
优化
注册表
Process
进程
毒
木马
天网
防火墙

修改system32文件夹的属性 为隐藏
连接网络：
下载http://www.xxxxxon9.com/tt11/psexec.exe
http://www.xxxxxon9.com/tt11/Server.exe
到system32文件夹
命名为1.exe和2.exe
1.exe不断试图访问局域网上的其他机器 试图将2.exe（就是前面的C:\WINDOWS\system32\IME\svchost.exe）复制到其他机器上
利用下列用户名和密码进行试探
用户名                           密码
administrator            空        123456 login love
admin                    空        123456 login love
Guest                    空        123456 login love
home                     空        123456 login love

并通过http://union.itlearxxx.com/ip/getip.asp做感染统计

感染除如下目录以外的exe文件（虚拟机里由于只有一个分区，没看到这些，只是从病毒中看到的）
%Program Files%\Windows Media Player
%Windows%\system
%Program Files%\Internet Explorer\Connection Wizard
Outlook Express
Windows Media Player
Internet Explorer
NetMeeting
ComPlus Applications
Messenger
WINNT
Documents and Settings
System Volume Information
Recycled
WindowsUpdate
Windows NT
Microsoft Frontpage
Movie maker
NetMeeting
WINDOWS

并且又在此病毒中发现了前几天发现的那个xiaohui的QQ号！！！

卤猪(Win32.iuhzu.a)病毒清除办法：

安全模式

打开sreng
启动项目        注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
<Internt><C:\WINDOWS\system32\internt.exe>
<Program file><C:\WINDOWS\system32\progmon.exe>

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[Alerter COM+ / Alerter COM+][Stopped/Auto Start]
        <C:\WINDOWS\system32\IME\svchost.exe><N/A>

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

去掉system32的隐藏属性

开始 运行 输入cmd 打开命令行窗口 输入attrib -h C:\windows\system32

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\progmon.exe
C:\WINDOWS\system32\internt.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\2.exe
右键点击菜单中的 “打开” 打开其他分区
删除 autorun.inf和setup.exe

使用杀毒软件全盘杀毒 清理被感染的exe文件

卤猪(Win32.iuhzu.a)病毒专杀工具下载地址：