发布网友 发布时间:2022-03-18 11:11
共8个回答
热心网友 时间:2022-03-18 12:40
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe” 这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,
GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe FuckJacks.exe
解决方案:
1. 结束病毒进程:
%System%\drivers\spoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
病毒Fuckjacks.exe
病毒Fuckjacks.exe
释放文件
分区根目录下:setup.exe
分区根目录下:autorun.inf
%System%\Fuckjacks.exe
局域网环境下:GameSetup.exe
解决过程
1、确定使用鼠标右键打开盘符
2、结束Fuckjacks.exe进程
3、删除其释放的所有文件(每个分区下)
4、删除其创建的注册表信息
解决办法:
病毒用了进程保护。建议启动计算机进入安全模式下杀毒。操作的时候千万不要双击,选择右键打开。
1、打开任务管理器,结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、打开注册表。查找*jacks.exe把所有关于这个的全部删除。
4、被病毒覆盖的文件(覆盖后的文件大小为30,465字节)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除00000000到00007700的代码段,在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
清除步骤
==========
1.断开网络。
2.结束病毒进程。
%System%\FuckJacks.exe
3.删除病毒文件:
%System%\FuckJacks.exe
4.右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件。
X:\autorun.inf
X:\setup.exe
5.删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6.修复或重新安装反病毒软件。
7.使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)。
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)。
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件*策略-其它规则。
在其它规则上右键选择-新散列规则-打开新散列规则窗口。
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件……安全级别选择-不允许的确定后重启(一定重启)。
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
双击运行被感染的程序已经恢复原来样子了,全部恢复后用系统诊断恢复工具SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
解决办法:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、删除C:\windows\system32\drivers\spoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an indivial line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on indivial
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修复文件夹选项的“显示所有文件及文件夹”的方法:
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-2"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
热心网友 时间:2022-03-18 13:58
熊猫烧香”已衍生出上百个变种病毒,总体分为四大类。
变种1,就是FuckJacks.exe进程,将自身复制到系统文件夹,然后感染文件夹中的.exe文件,将图标改为“熊猫烧香”。
变种2,就是spoclsv.exe进程,感染时在C盘根目录下生成感染标记文件,将图标改为“熊猫烧香”。
变种3,不再感染用户系统中的.exe文件,而是感染用户系统中的脚本病毒,而且在文件夹中写下感染标记文件。对抗杀毒软件及专杀工具,令系统自动关闭反病毒软件。
变种4,最近才出现的一个变种,用户可执行文件时与A和B版本有所不同,用户中毒后的.exe文件的图标不改变,还有其他一些变种,基本都是为了躲避查杀。
危害与症状
1、感染硬盘中的其他应用程序的.exe文件,程序图标变成“熊猫烧香”图标,系统速度异常缓慢,出现蓝屏、频繁重启。
2、拷贝自身到所有驱动器根目录,生成setup.exe和auturun.inf文件,使得用户打开受感染驱动器运行病毒。
3、修改注册表,自行加载启动病毒程序、禁用杀毒工具运行,并禁止用户修改系统注册表。
4、局域网用户会共享跨机传染,造成其他电脑受感染,占用带宽导致网络瘫痪。
5、最可怕而且最特别之处是,病毒会在电脑中所有的网页文件尾部添加病毒代码。一些网站工作人员的PC如果被感染,则导致用户浏览这些网站时也被感染。
感染后的对策
方法一:这种方法比较简单,用户可以利用金山毒霸、瑞星等提供的专杀工具进行搜索和杀灭病毒。缺点是有新变种后,专杀工具也需更新。
用户可以到下列网站下载最新工具,注意选择不同工具进行多次查杀。
http://www.xiongmaoshaoxiang.com、http://tool.ba.net/zhuansha/253.shtml、http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
方法二:此外,可通过修复注册表等操作进行彻底查杀:
1、断开网络。
2、结束病毒进程,如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe,将其结束掉,也可以下载Process Explorer程序将病毒进程结束掉。
3、在计算机上搜索并删除以下病毒执行文件:setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe、GameSetup.exe。
4、开始-〉运行-〉输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项。
注册表信息如下:
〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun〕
“FuckJacks”=“%System%FuckJacks.exe
〔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〕
“svohost”=“%System%FuckJacks.exe”
5、修复或重新安装反病毒软件,以恢复杀毒软件的功能。
6、最后,将反病毒软件更新到最新版本,进行全盘扫描,杀毒,并把感染文件修复。
预防方法
对于主要通过互联网进行传播的病毒,用户在上网中最重要的是注意网络安全。
1、确保windows防火墙处于开启状态、及时进行Windows Update;同时设立或修改系统管理员administrator用户口令,避免过于简单的密码。
2、关闭自动播放功能,“熊猫烧香”很多是通过插入U盘这样一个简单的动作入侵系统的。
3、开启反病毒软件的实时监控功能,并定期(3天至7天内)在线升级病毒库,保持反病毒软件的版本处于最新。
“熊猫烧香”背后的商业利益
工程师史瑀表示,经分析,“熊猫烧香”带有强烈商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。”
他表示,目前瑞星已将病毒作者相关证据和病毒特性提交给国家计算机病毒应急处理中心。
无独有偶,江民工程师向媒体报料称,在他们截获的病毒中,已经发现“熊猫烧香”的作者通过http://www.feifeicqq.com等几家地下网站公开销售网络游戏的装备,“他们这些网站可以称之为盗号、买卖一条龙,现在看来熊猫烧香的背景远没有那么简单。”
热心网友 时间:2022-03-18 15:33
病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香(武汉男生)
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
参考资料:http://sha.baidu.com/sitenews/rank.jsp?id=171
热心网友 时间:2022-03-18 17:24
“熊猫烧香”,又称“武汉男生”,随后又化身为“金猪报喜”,这是一个感染型蠕虫病毒,能感染系统中exe,com,pif,src,html,asp等文件,还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
五招远离熊猫烧香*扰
1.立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
2.利用组策略,关闭所有驱动器的自动播放功能。
3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
4.时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
5.启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
关于进一步了解以及查杀,请看以下网站
http://www.shaoxiang.org/
热心网友 时间:2022-03-18 19:32
——熊猫烧香:尼姆亚蠕虫病毒的变种!
病毒名称:Worm.WhBoy.h !
病毒中文:熊猫烧香、武汉男生、金猪报喜!
病毒类型:蠕虫 !
危险级别:高 !
影响平台:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 !
病毒描述:感染型蠕虫病毒!
感染系统中exe、com、pif、src、html、asp等文件!
删除扩展名为gho的文件(备份文件)!
被感染所有exe可执行文件全部被改成熊猫举着三根香的模样。
病毒运作:
1.拷贝文件 : 自行拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2.添加注册表自启动 :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为 :每隔1秒寻找桌面窗口,并关闭窗口所有程序;
中止所有系统进程;关闭所有共享设置;
每隔18秒点击病毒作者指定的网页;
每隔10秒下载病毒作者指定的文件;
每隔6秒删除注册表中安全软件的键值;
清除方法:蠕虫类病毒根深蒂固;
病毒未被激活:专杀-删除注册表中对应项
病毒已被激活:删除 除 c盘外其他盘符的所有exe文件-格c盘
(若其他盘符亦有exe文件,则所含exe文件的盘符
须格式)
热心网友 时间:2022-03-18 21:57
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
热心网友 时间:2022-03-19 00:38
哈哈,偶滴本本用了才几天就中了“熊猫烧香”,而且还是中了两种变种,格盘重装大换血,怎一个惨字了得。。还好,重要资料都有备份。。
热心网友 时间:2022-03-19 03:36
前面几楼的兄弟都说完了..LS的索牛人....精神上支持你好了