熊猫烧香病毒专杀升级至16,超级巡警全面监测熊猫烧香可查杀熊猫烧香病毒变种
下载地址:
>你这个机器不只是中了熊猫烧香病毒~~~还有其它病毒哦~~~你的专杀工具是金山的还是瑞星的~如果金山的不行~去瑞星下~瑞星的还不行去360安全卫士下~还不行的话再去江民下~
下一个不属于EXE扩展名文件的专杀工具就可以打开了~
因为如提示不是有效的win32程序的话~那你只有下载不属于EXE扩展名的文件~这样才可以在windows中运行~~~~最近网络中流行“熊猫烧香”病毒,本区教育网内部已经发现有部分学校被感染。该病毒破坏性较大,并且具有ddos攻击功能,占用带宽。现对该病毒进行分析和给出具体查杀办法,请各校积极防范和查杀。
档案编号:CISRT2006081
病毒名称:WormWin32Delfbf(Kaspersky)
病毒别名:WormNimayad(瑞星)
Win32TrojanQQRobbernw22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:200611
更新时间:200611
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
是“熊猫烧香”FuckJacksexe的变种,使用白底熊猫烧香图标,
比如:
病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsvexe
创建启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsvexe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:\setupexe
X:\autoruninf
autoruninf内容:
[Copy to clipboard]CODE:
[AutoRun]
OPEN=setupexe
shellexecute=setupexe
shell\Auto\command=setupexe
尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木马清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
尝试关闭进程
Mcshieldexe
VsTskMgrexe
naPrdMgrexe
UpdaterUIexe
TBMonexe
scan32exe
Ravmondexe
CCenterexe
RavTaskexe
Ravexe
Ravmonexe
RavmonDexe
RavStubexe
KVXPkxp
KvMonXPkxp
KVCenterkxp
KVSrvXPexe
KRegExexe
UIHostexe
TrojDiekxp
FrogAgentexe
Logo1_exe
Logo_1exe
Rundl132exe
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有EXE/SCR/PIF/COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除 GHO文件 <-------注意这点
添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings \All Users\「开始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\ Profiles\All Users\Start Menu\Programs\Startup\
监视记录QQ和访问局域网文件记录:c:\testtxt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetupexe)
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patrick
pat
administrator
root
sex
god
foobar
secrettest
test123
temp
temp123
win
pc
asdf
pwd
qwer yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root
所有根目录及移动存储生成
X:\setupexe
X:\autoruninf
[AutoRun]
OPEN=setupexe
shellexecute=setupexe
shell\Auto\command=setupexe
删除隐藏共享
cmdexe /c net share $ /del /y
cmdexe /c net share admin$ /del /y
cmdexe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsvexe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
清除步骤
==========
1 断开网络
2 结束病毒进程
%System%\drivers\spoclsvexe
3 删除病毒文件:
%System%\drivers\spoclsvexe
4 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setupexe
X:\autoruninf
5 删除病毒创建的启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsvexe"
6 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7 修复或重新安装反病毒软件
8 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
请下载熊猫烧香专杀病毒工具查杀最好用专杀工具!
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsvexe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsvexe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsvexe
并中止系统中以下的进程:
Mcshieldexe、VsTskMgrexe、naPrdMgrexe、UpdaterUIexe、TBMonexe、scan32exe、Ravmondexe、CCenterexe、RavTaskexe、Ravexe、Ravmonexe、RavmonDexe、RavStubexe、KVXPkxp、kvMonXPkxp、KVCenterkxp、KVSrvXPexe、KRegExexe、UIHostexe、TrojDiekxp、FrogAgentexe、Logo1_exe、Logo_1exe、Rundl132exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
>你中的是熊猫烧香病毒,现在网络上很流行。
瑞星熊猫烧香专杀工具
>本人教你三招两试以备不患
1 结束病毒进程:
%System%\drivers\spoclsvexe
不同的spoclsvexe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsvexe。但可用此方法清除。
“%System%\system32\spoclsvexe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsvexe的路径,可使用超级兔子魔法设置。
2 删除病毒文件:
%System%\drivers\spoclsvexe
请注意区分病毒和系统文件。详见步骤1。
3 删除病毒启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsvexe"
4 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setupexe
X:\autoruninf
5 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6 修复或重新安装被破坏的安全软件。
7修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
8 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
您好:
熊猫烧香病毒一般是经过接受文件和下载软件的方式进行传播的,建议您使用腾讯电脑管家保护您的电脑安全防止熊猫烧香病毒入侵电脑吧,腾讯电脑管家是采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,杀毒防毒能力强,腾讯电脑管家还有清理垃圾、电脑加速、修复漏洞、软件管理、电脑诊所等电脑管理功能,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)