如题所述
http://www.nigowogo.com/bbs/dispbbs.asp?boardid=11&id=59&star=1#190
这里有详细的解答方案
大概内容是:
昨晚电脑不幸中了毒,症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件,
c:\windows\system32\drivers里面有个spoclsv.exe文件。用delete删掉了过两三秒又自动生成。用
ctrl+Alt+Del键打开资源管理器,刚打开就被关掉了,然后发现防火墙被关了,卡巴也打不开,想装木马清道夫也是刚启动就自动关闭了。上网查了下,这是个蠕虫病毒,会盗取帐号什么的,
据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
等一下在后面贴出来,这里只是介绍我的DOS操作的简单快速清除的方法:(爽,dos原来这么有用的。)
一、再任一个盘中,建立一个bat文件,内容如下:(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)
attrib -h -s -r d:\autorun.inf
attrib -h -s -r d:\setup.exe
del d:\autorun.inf
del d:\setup.exe
md d:\setup.exe
attrib -h -s -r c:\autorun.inf
attrib -h -s -r c:\setup.exe
del c:\autorun.inf
del c:\setup.exe
md c:\setup.exe
attrib -h -s -r e:\autorun.inf
attrib -h -s -r e:\setup.exe
del e:\autorun.inf
del e:\setup.exe
md e:\setup.exe
attrib -h -s -r f:\autorun.inf
attrib -h -s -r f:\setup.exe
del f:\autorun.inf
del f:\setup.exe
md f:\setup.exe
attrib -h -s -r g:\autorun.inf
attrib -h -s -r g:\setup.exe
del g:\autorun.inf
del g:\setup.exe
md g:\setup.exe
attrib -h -s -r h:\autorun.inf
attrib -h -s -r h:\setup.exe
del h:\autorun.inf
del h:\setup.exe
md h:\setup.exe
del C:\WINDOWS\system32\drivers\spoclsv.exe
运行dat文件后setup.exe,autorun.inf成功删掉。
但c:\windows\system32\drivers下 的spoclsv.exe删不掉,估计是在运行当中,但直接在资源管理器关闭又行不通,管理器打不开阿。所以进行下一步,在dos下关闭再删除,下面是操作过程。丝毫没改动过的。
二、开始-〉运行->cmd->确定,打开cmd
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>d:
D:\>attrib -h -r -s autorun.inf
D:\>del autorun.inf
找不到 D:\autorun.inf
D:\>dir
驱动器 D 中的卷是 Software
卷的序列号是 C4B5-4DB4
D:\ 的目录
2006-12-01 01:06 上午 <DIR> ##打印上传##
2004-11-15 00:15 上午 159,744 IPMSG.exe
2006-09-10 00:31 上午 <DIR> Java
2006-12-01 01:06 上午 <DIR> STerm2549
2006-09-10 01:14 上午 <DIR> [MSDN.Library.2006年1月3CD版
2006-10-14 09:25 上午 <DIR> 共享虚拟文件
2006-12-05 06:38 上午 <DIR> 同声传译
2006-09-10 00:37 上午 <DIR> 四大古文明
2006-09-10 00:32 上午 <DIR> 广播剧&朗诵&珍藏
2006-09-10 00:36 上午 <DIR> 散打教程-强烈推荐!!!!!!!
2006-12-26 10:45 上午 <DIR> 日语学习
2006-12-26 10:45 上午 <DIR> 软件
2006-09-10 00:33 上午 <DIR> 韩语学习
1 个文件 159,744 字节
12 个目录 5,631,897,600 可用字节
D:\>attrib -h -r autorun.inf
未重设系统文件 - D:\autorun.inf
D:\>attrib -h -r -s autorun.inf
D:\>tasklist /svc
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>d:
D:\>attirb -h -r -s autorun.inf
'attirb' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
D:\>attrib -h -r -s autorun.inf
D:\>del autorun.inf
找不到 D:\autorun.inf
D:\>dir
驱动器 D 中的卷是 Software
卷的序列号是 C4B5-4DB4
D:\ 的目录
2006-12-01 01:06 上午 <DIR> ##打印上传##
2004-11-15 00:15 上午 159,744 IPMSG.exe
2006-09-10 00:31 上午 <DIR> Java
2006-12-01 01:06 上午 <DIR> STerm2549
2006-09-10 01:14 上午 <DIR> [MSDN.Library.2006年1月3CD版
2006-10-14 09:25 上午 <DIR> 共享虚拟文件
2006-12-05 06:38 上午 <DIR> 同声传译
2006-09-10 00:37 上午 <DIR> 四大古文明
2006-09-10 00:32 上午 <DIR> 广播剧&朗诵&珍藏
2006-09-10 00:36 上午 <DIR> 散打教程-强烈推荐!!!!!!!
2006-12-26 10:45 上午 <DIR> 日语学习
2006-12-26 10:45 上午 <DIR> 软件
2006-09-10 00:33 上午 <DIR> 韩语学习
1 个文件 159,744 字节
12 个目录 5,631,897,600 可用字节
D:\>attrib -h -r autorun.inf
未重设系统文件 - D:\autorun.inf
D:\>attrib -h -r -s autorun.inf
D:\>tasklist /svc /////用来查看系统打开进程。显示图像名 和 PID服务号,但copy不出来,sorry了。
D:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
由于我对命令记得不太清楚了才进行了这么多操作,其实只要这几步就行了:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator cd d:\ //////////进入D盘杀安全点。
D:\>attrib -h -r -s autorun.inf
D:\>tasklist /svc /////用来查看系统打开进程。显示 图像名 和 PID服务号,但copy不出来,sorry了。
D:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
三、成功关闭spoclsv.exe,打开c:\windows\system32\drivers,delete删掉spoclsv.exe。呵呵,大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
以下摘录两条网上的解决方法,不过好像很烦的样子。大家参考下:
---------------------------------------------------
熊猫烧香病毒分析与解决方案
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit
"C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病
毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载
成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。
------------------------------------------------------------------------------------------
熊猫烧香变种 spoclsv.exe 解决方案
档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:%System%\drivers\spoclsv.exe
创建启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde
n\SHOWALL]
"Checked&#118alue"=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[Copy to clipboard]CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
清除步骤
==========
1. 断开网络
2. 结束病毒进程 %System%\drivers\spoclsv.exe
3. 删除病毒文件:%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checked&#118alue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
这里有详细的解答方案
大概内容是:
昨晚电脑不幸中了毒,症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件,
c:\windows\system32\drivers里面有个spoclsv.exe文件。用delete删掉了过两三秒又自动生成。用
ctrl+Alt+Del键打开资源管理器,刚打开就被关掉了,然后发现防火墙被关了,卡巴也打不开,想装木马清道夫也是刚启动就自动关闭了。上网查了下,这是个蠕虫病毒,会盗取帐号什么的,
据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
等一下在后面贴出来,这里只是介绍我的DOS操作的简单快速清除的方法:(爽,dos原来这么有用的。)
一、再任一个盘中,建立一个bat文件,内容如下:(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)
attrib -h -s -r d:\autorun.inf
attrib -h -s -r d:\setup.exe
del d:\autorun.inf
del d:\setup.exe
md d:\setup.exe
attrib -h -s -r c:\autorun.inf
attrib -h -s -r c:\setup.exe
del c:\autorun.inf
del c:\setup.exe
md c:\setup.exe
attrib -h -s -r e:\autorun.inf
attrib -h -s -r e:\setup.exe
del e:\autorun.inf
del e:\setup.exe
md e:\setup.exe
attrib -h -s -r f:\autorun.inf
attrib -h -s -r f:\setup.exe
del f:\autorun.inf
del f:\setup.exe
md f:\setup.exe
attrib -h -s -r g:\autorun.inf
attrib -h -s -r g:\setup.exe
del g:\autorun.inf
del g:\setup.exe
md g:\setup.exe
attrib -h -s -r h:\autorun.inf
attrib -h -s -r h:\setup.exe
del h:\autorun.inf
del h:\setup.exe
md h:\setup.exe
del C:\WINDOWS\system32\drivers\spoclsv.exe
运行dat文件后setup.exe,autorun.inf成功删掉。
但c:\windows\system32\drivers下 的spoclsv.exe删不掉,估计是在运行当中,但直接在资源管理器关闭又行不通,管理器打不开阿。所以进行下一步,在dos下关闭再删除,下面是操作过程。丝毫没改动过的。
二、开始-〉运行->cmd->确定,打开cmd
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>d:
D:\>attrib -h -r -s autorun.inf
D:\>del autorun.inf
找不到 D:\autorun.inf
D:\>dir
驱动器 D 中的卷是 Software
卷的序列号是 C4B5-4DB4
D:\ 的目录
2006-12-01 01:06 上午 <DIR> ##打印上传##
2004-11-15 00:15 上午 159,744 IPMSG.exe
2006-09-10 00:31 上午 <DIR> Java
2006-12-01 01:06 上午 <DIR> STerm2549
2006-09-10 01:14 上午 <DIR> [MSDN.Library.2006年1月3CD版
2006-10-14 09:25 上午 <DIR> 共享虚拟文件
2006-12-05 06:38 上午 <DIR> 同声传译
2006-09-10 00:37 上午 <DIR> 四大古文明
2006-09-10 00:32 上午 <DIR> 广播剧&朗诵&珍藏
2006-09-10 00:36 上午 <DIR> 散打教程-强烈推荐!!!!!!!
2006-12-26 10:45 上午 <DIR> 日语学习
2006-12-26 10:45 上午 <DIR> 软件
2006-09-10 00:33 上午 <DIR> 韩语学习
1 个文件 159,744 字节
12 个目录 5,631,897,600 可用字节
D:\>attrib -h -r autorun.inf
未重设系统文件 - D:\autorun.inf
D:\>attrib -h -r -s autorun.inf
D:\>tasklist /svc
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>d:
D:\>attirb -h -r -s autorun.inf
'attirb' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
D:\>attrib -h -r -s autorun.inf
D:\>del autorun.inf
找不到 D:\autorun.inf
D:\>dir
驱动器 D 中的卷是 Software
卷的序列号是 C4B5-4DB4
D:\ 的目录
2006-12-01 01:06 上午 <DIR> ##打印上传##
2004-11-15 00:15 上午 159,744 IPMSG.exe
2006-09-10 00:31 上午 <DIR> Java
2006-12-01 01:06 上午 <DIR> STerm2549
2006-09-10 01:14 上午 <DIR> [MSDN.Library.2006年1月3CD版
2006-10-14 09:25 上午 <DIR> 共享虚拟文件
2006-12-05 06:38 上午 <DIR> 同声传译
2006-09-10 00:37 上午 <DIR> 四大古文明
2006-09-10 00:32 上午 <DIR> 广播剧&朗诵&珍藏
2006-09-10 00:36 上午 <DIR> 散打教程-强烈推荐!!!!!!!
2006-12-26 10:45 上午 <DIR> 日语学习
2006-12-26 10:45 上午 <DIR> 软件
2006-09-10 00:33 上午 <DIR> 韩语学习
1 个文件 159,744 字节
12 个目录 5,631,897,600 可用字节
D:\>attrib -h -r autorun.inf
未重设系统文件 - D:\autorun.inf
D:\>attrib -h -r -s autorun.inf
D:\>tasklist /svc /////用来查看系统打开进程。显示图像名 和 PID服务号,但copy不出来,sorry了。
D:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
由于我对命令记得不太清楚了才进行了这么多操作,其实只要这几步就行了:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator cd d:\ //////////进入D盘杀安全点。
D:\>attrib -h -r -s autorun.inf
D:\>tasklist /svc /////用来查看系统打开进程。显示 图像名 和 PID服务号,但copy不出来,sorry了。
D:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
三、成功关闭spoclsv.exe,打开c:\windows\system32\drivers,delete删掉spoclsv.exe。呵呵,大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
以下摘录两条网上的解决方法,不过好像很烦的样子。大家参考下:
---------------------------------------------------
熊猫烧香病毒分析与解决方案
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit
"C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病
毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载
成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。
------------------------------------------------------------------------------------------
熊猫烧香变种 spoclsv.exe 解决方案
档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:%System%\drivers\spoclsv.exe
创建启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde
n\SHOWALL]
"Checked&#118alue"=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[Copy to clipboard]CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
清除步骤
==========
1. 断开网络
2. 结束病毒进程 %System%\drivers\spoclsv.exe
3. 删除病毒文件:%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checked&#118alue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
温馨提示:答案为网友推荐,仅供参考
第1个回答 2007-01-24
不会的..只要你会操作的话会成功清除的..首先你要在安全模式下用专杀工具清除.多做几次.建议赶快升级杀毒软件(现在的卡巴已经可以对付这只"熊猫")
升级完之后再用杀软去扫杀过一遍以免留后患
这样基本上都可以清除了..
升级完之后再用杀软去扫杀过一遍以免留后患
这样基本上都可以清除了..
第2个回答 2007-01-24
我们公司很多机器中了这个病毒, 给你推荐个专杀工具.
这个病毒会把所有.EXE的文件 变成熊猫烧香, 有的程序可能需要你重新安装才能正常使用.
这个病毒会把所有.EXE的文件 变成熊猫烧香, 有的程序可能需要你重新安装才能正常使用.
第3个回答 2007-01-24
这个病毒可是厉害的喔,好像是威金的变种,你得小心了,它可以把你所有的可执行文件.exe都给破坏了,最好是全盘都格了,专杀都不一定杀得干净的。。。
第4个回答 2007-01-24
找专杀工具杀毒呀,或者把盘格了重装系统。
第5个回答 2007-01-24
用专杀工具杀吧
