关于“熊猫烧香”病毒
<div class="viewthreadtxt">今天偶实验室一台电脑中了这个病毒,卡巴斯基被禁用,exe文件不能调用,而且原先作的ghost备份文件也被删了。一开始重装系统也没解决问题,后来用了金山网站上的方法,终于搞定了。把原文转帖如下,希望对朋友们有帮助! <table class="t_table" width="98%" align="center"><tbody><tr><td colspan="2"><font color="#0066cc">Worm.WhBoy.h</font></td><td><a href="http://vi.duba.net/index.php?CODE=02&virusid=38767&action=comment#tocomment" target="_blank"><b><font color="#0066cc">我要评论</font></b></a> </td></tr><tr><td colspan="3"></td></tr><tr><td><font color="#00468f"><b>病毒别名:</b></font></td><td><font color="#00468f"><b>处理时间:</b></font>2006-12-25</td><td><font color="#00468f"><b>威胁级别:</b></font><font color="#ff0000">★★</font></td></tr><tr><td><font color="#00468f"><b>中文名称:</b></font>熊猫烧香(武汉男生)</td><td><font color="#00468f"><b>病毒类型:</b></font>蠕虫</td><td><font color="#00468f"><b>影响系统:</b></font>Win 9x/ME,Win 2000/NT,Win XP,Win 2003</td></tr><tr><td colspan="3"><table class="t_table" width="98%" align="center"><tbody><tr><td><font color="#00468f"><b>病毒行为:</b></font></td></tr><tr><td>这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,<br/>它还能中止大量的反病毒软件进程<br/><br/><br/>1:拷贝文件<br/>病毒运行后,会把自己拷贝到<br/>C:\WINDOWS\System32\Drivers\spoclsv.exe<br/><br/>2:添加注册表自启动<br/>病毒会添加自启动项<br/>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br/>svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe<br/><br/>3:病毒行为<br/>a:每隔1秒<br/>寻找桌面窗口,并关闭窗口标题中含有以下字符的程序<br/>QQKav<br/>QQAV<br/>防火墙<br/>进程<br/>VirusScan<br/>网镖<br/>杀毒<br/>毒霸<br/>瑞星<br/>江民<br/>黄山IE<br/>超级兔子<br/>优化大师<br/>木马克星<br/>木马清道夫<br/>QQ病毒<br/>注册表编辑器<br/>系统配置实用程序<br/>卡巴斯基反病毒<br/>Symantec AntiVirus<br/>Duba<br/>esteem proces<br/>绿鹰PC<br/>密码防盗<br/>噬菌体<br/>木马辅助查找器<br/>System Safety Monitor<br/>Wrapped gift Killer<br/>Winsock Expert<br/>游戏木马检测大师<br/>msctls_statusbar32<br/>pjf(ustc)<br/>IceSword<br/>并使用的键盘映射的方法关闭安全软件IceSword<br/><br/>添加注册表使自己自启动<br/>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br/>svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe<br/><br/>并中止系统中以下的进程:<br/>Mcshield.exe<br/>VsTskMgr.exe<br/>naPrdMgr.exe<br/>UpdaterUI.exe<br/>TBMon.exe<br/>scan32.exe<br/>Ravmond.exe<br/>CCenter.exe<br/>RavTask.exe<br/>Rav.exe<br/>Ravmon.exe<br/>RavmonD.exe<br/>RavStub.exe<br/>KVXP.kxp<br/>kvMonXP.kxp<br/>KVCenter.kxp<br/>KVSrvXP.exe<br/>KRegEx.exe<br/>UIHost.exe<br/>TrojDie.kxp<br/>FrogAgent.exe<br/>Logo1_.exe<br/>Logo_1.exe<br/>Rundl132.exe<br/><br/>b:每隔18秒<br/>点击病毒作者指定的网页,并用命令行检查系统中是否存在共享<br/>共存在的话就运行net share命令关闭admin$共享<br/><br/>c:每隔10秒<br/>下载病毒作者指定的文件,并用命令行检查系统中是否存在共享<br/>共存在的话就运行net share命令关闭admin$共享<br/><br/>d:每隔6秒<br/>删除安全软件在注册表中的键值<br/><br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br/>RavTask<br/>KvMonXP<br/>kav<br/>KAVPersonal50<br/>McAfeeUpdaterUI<br/>Network Associates Error Reporting Service<br/>ShStartEXE<br/>YLive.exe<br/>yassistse<br/><br/>并修改以下值不显示隐藏文件<br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL<br/>CheckedValue -> 0x00<br/><br/>删除以下服务:<br/>navapsvc<br/>wscsvc<br/>KPfwSvc<br/>SNDSrvc<br/>ccProxy<br/>ccEvtMgr<br/>ccSetMgr<br/>SPBBCSvc<br/>Symantec Core LC<br/>NPFMntor<br/>MskService<br/>FireSvc<br/><br/>e:感染文件<br/>病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部<br/>并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,<br/>用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到<br/>增加点击量的目的,但病毒不会感染以下文件夹名中的文件:<br/>WINDOW<br/>Winnt<br/>System Volume Information<br/>Recycled<br/>Windows NT<br/>WindowsUpdate<br/>Windows Media Player<br/>Outlook Express<br/>Internet Explorer<br/>NetMeeting<br/>Common Files<br/>ComPlus Applications<br/>Messenger<br/>InstallShield Installation Information<br/>MSN<br/>Microsoft Frontpage<br/>Movie Maker<br/>MSN Gamin Zone<br/><br/>g:删除文件<br/>病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件<br/>使用户的系统备份文件丢失.</td></tr></tbody></table></td></tr></tbody></table></div><p></p><div class="viewthreadtxt">还搜索到一篇比较全面的杀毒方法,与大家分享一下<br/>成功清除“熊猫烧香”的病毒<br/><br/>终于搞定这个强悍的病毒!<br/>公司病毒泛滥..很多同事都中毒了..今天都忙着杀毒..哈哈..<br/><br/>木马名称:setup.exe<br/>木马大小:91,648字节<br/>所在位置:由C至Z盘的根目录下<br/><br/>附带文件:autorun.inf<br/>文件内容:<br/><br/>OPEN=setup.exe<br/>shellexecute=setup.exe<br/>shell\Auto\command=setup.exe<br/>所在位置:由C至Z盘的根目录下<br/><br/>木马名称:spoclsv.exe<br/>木马大小:91,648字节<br/>所在位置:C:\windows\system32\drivers\<br/><br/>木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征:<br/>1、在任务管理器里有spoclsv.exe文件进程。<br/>2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。<br/>3、该木马会强制关闭用户打开的“任务管理器”。<br/>4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。<br/>5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。<br/>6、该木马修改注册表文件,在下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改<br/>"CheckedValue"=dword:00000000。<br/>7、该木马会删除电脑默认的共享目录。<br/><br/>另外该木马还会删除并感染.com、.pif、.scr、.exe文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件。<br/><br/>该病毒会禁用一系列服务:<br/>Schedule<br/>sharedaccess<br/>RsCCenter<br/>RsRavMon<br/>RsCCenter<br/>RsRavMon<br/>KVWSC<br/>KVSrvXP<br/>kavsvc<br/>AVP<br/>McAfeeFramework<br/>McShield<br/>McTaskManager<br/>navapsvc<br/>wscsvc<br/>KPfwSvc<br/>SNDSrvc<br/>ccProxy<br/>ccEvtMgr<br/>ccSetMgr<br/>SPBBCSvc<br/>Symantec Core LC<br/>NPFMntor<br/>MskService<br/>FireSvc<br/><br/>还会删除若干安全软件启动项信息:<br/>RavTask<br/>KvMonXP<br/>kav<br/>KAVPersonal50<br/>McAfeeUpdaterUI<br/>Network Associates Error Reporting Service<br/>ShStatEXE<br/>YLive.exe<br/>yassistse<br/><br/>并且尝试使用弱密码访问局域网内其它计算机:<br/>password<br/>harley<br/>golf<br/>pussy<br/>mustang<br/>shadow<br/>fish<br/>qwerty<br/>baseball<br/>letmein<br/>ccc<br/>admin<br/>abc<br/>pass<br/>passwd<br/>database<br/>abcd<br/>abc123<br/>sybase<br/>123qwe<br/>server<br/>computer<br/>super<br/>123asd<br/>ihavenopass<br/>godblessyou<br/>enable<br/>alpha<br/>1234qwer<br/>123abc<br/>aaa<br/>patrick<br/>pat<br/>administrator<br/>root<br/>sex<br/>god<br/>foobar<br/>secret<br/>test<br/>test123<br/>temp<br/>temp123<br/>win<br/>asdf<br/>pwd<br/>qwer<br/>yxcv<br/>zxcv<br/>home<br/>xxx<br/>owner<br/>login<br/>Login<br/>love<br/>mypc<br/>mypc123<br/>admin123<br/>mypass<br/>mypass123<br/>Administrator<br/>Guest<br/>admin<br/>Root<br/><br/><br/>解决办法:<br/>1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。<br/>2、点击开始,运行,输入cmd回车,输入以下命令:<br/>del c:\setup.exe /f /q<br/>del c:\autorun.inf /f /q<br/>如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。<br/>3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。<br/>4、删除C:\windows\system32\drivers\spoclsv.exe<br/>5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。<br/>6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:<br/>打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:<br/><br/># Copyright (c) 1993-1999 Microsoft Corp.<br/>#<br/># This is a sample HOSTS file used by Microsoft TCP/IP for Windows.<br/>#<br/># This file contains the mappings of IP addresses to host names. Each<br/># entry should be kept on an individual line. The IP address should<br/># be placed in the first column followed by the corresponding host name.<br/># The IP address and the host name should be separated by at least one<br/># space.<br/>#<br/># Additionally, comments (such as these) may be inserted on individual<br/># lines or following the machine name denoted by a '#' symbol.<br/>#<br/># For example:<br/>#<br/># 102.54.94.97 rhino.acme.com # source server<br/># 38.25.63.10 x.acme.com # x client host<br/>127.0.0.1 localhost<br/>127.0.0.1 *.3322.org<br/>127.0.0.1 *.sz45.com<br/><br/>7、修复文件夹选项的“显示所有文件及文件夹”的方法:<br/><br/>A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。<br/><br/><br/>如果你设置仍起不了作用,那么接下来看。<br/>有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)<br/><br/>针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可<br/><br/>Windows Registry Editor Version 5.00<br/><br/><br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30501"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000002<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51104"<br/><br/><br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30500"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000001<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51105"<br/><br/><br/>"Type"="checkbox"<br/>"Text"="@shell32.dll,-30508"<br/>"WarningIfNotDefault"="@shell32.dll,-28964"<br/>"HKeyRoot"=dword:80000001<br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"ValueName"="ShowSuperHidden"<br/>"CheckedValue"=dword:00000000<br/>"UncheckedValue"=dword:00000001<br/>"DefaultValue"=dword:00000000<br/>"HelpID"="shell.hlp#51103"<br/><br/><br/><br/><br/>@=""<br/><br/><br/>具体操作方法:<br/>1)通过记事本新建一个文件<br/>2)将以上内容复制到新建的记事本文件中<br/>3)通过记事本文件菜单另存为show.reg<br/>4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。<br/><br/>注意:以上方法对win2000和XP有效 <br/><br/>B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1 <br/><br/>但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0! <br/><br/>方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。</div><p></p> 各个名字发靥的很啊。。 <p>路过~~~~~~~~~~~~~~~~~~</p> 熊猫来了 <p>遇见过次</p><p>满屏幕都是一熊猫手里拿着香在拜啊拜啊的</p><p>我还以为遇鬼的捏</p> 看了头晕 郁闷呀,是病毒呀,我以为是杀病毒的呀 <div class="quote" twffan="done"><b>以下是引用<i>5momo</i>在2007-1-16 13:38:00的发言:</b><br/><p>遇见过次</p><p>满屏幕都是一熊猫手里拿着香在拜啊拜啊的</p><p>我还以为遇鬼的捏</p></div><p>奶奶的 我们谁上黄 网 就提醒会有熊猫大哥来拜年......</p>
页:
[1]