300分!懂熊猫烧香病毒和auto病毒的高手给300分!
发布网友
共16个回答
懂视网
链接MYSQL成功, 下一步就是连接Access了。 注意的问题,需要Mysql.dll的版本一定要用他打包中的哦。6.2.2. 支持的数据库比较全面
ORM之MySoft_Data测试成功。应该是非常好用的。
Model.e_cate c = new Model.e_cate();
c.fid = 1;
c.name = "1";
c.tmpid = "2222";
DbSession session = new DbSession(new MySoft.Data.MySql.MySqlProvider("Server=localhost;user id=root;password=';charset=utf8;database=hidrin_001"));
session.InsertOrUpdate(c);
链接MYSQL成功, 下一步就是连接Access了。 注意的问题,,需要Mysql.dll的版本一定要用他打包中的哦。6.2.2.
支持的数据库比较全面: mysql,access ,mssql都支持。
mysql的连接字符串:
"Server=localhost;user id=root;password=';charset=utf8;database=hidrin_001" //mysql数据库
"Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Directory.GetCurrentDirectory()+(@"zhenjiangDBA.mdb"); //winform用于指定数据库与.exe文件在同一目录下 ,Access
"Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + MapPath("~/App_Data/zhenjiangDBA.mdb"); //在ASP.net中是用MapPath定位到数据库的位置,Access
"Server=(local);Database=Northwind;Uid=sa;Pwd=sa;" //mssql
热心网友
熊猫烧香病毒处理方法:
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件*策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
再重申一遍:以上只是在自己的虚拟机上运行并试用的,不能保证100%的没有问题!
auto病毒处理方法!!!
这是rose病毒的变种.有关系.试试下面的办法
在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件,有的话,记下名字然后将它删除(如果能删除的话)。右击这个Autorun.inf文件,选择用记事本打开,查看里面的内容,记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。
2.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
5.以记下的、Open后面的这些文件的文件名搜索整个注册表,删除搜索到的键值。
6.重启电脑。
如果这样操作以后,出现双击分区不能打开分区的情况,请按下面的操作即可。
打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”(这个可随意填写) 用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口,选中open 设为默认值 确定 现在再打开分区看下,是不是已恢复正常?
回答者: 我叫子凡 - 魔神 十六级
热心网友
熊猫病毒:
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件*策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
声明不能保证100%能成功。我只在在虚拟机中运行过。
2AUTO毒
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE"Software"Microsoft"windows"CurrentVersion"
explorer"Advanced"Folder"Hidden"SHOWALL,
将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为 0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\WINDOWS\system32" 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了
参考资料:http://zhidao.baidu.com/question/1807.html
热心网友
瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html
江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html
金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html
熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f9eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schele
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身*在被感染文件前端,并在尾部添加标记信息:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是*在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
--------------------------------------
杀auto
在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件,有的话,记下名字然后将它删除(如果能删除的话)。右击这个Autorun.inf 文件,选择用记事本打开,查看里面的内容,记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。
2.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
5.以记下的、Open后面的这些文件的文件名搜索整个注册表,删除搜索到的键值。
6.重启电脑。
如果这样操作以后,出现双击分区不能打开分区的情况,请按下面的操作即可。
打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”(这个可随意填写) 用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口,选中open 设为默认值 确定 现在再打开分区看下,是不是已恢复正常?
热心网友
手工清理方法(超强见效)
处理方法
1,结束病毒进程,如FuckJacks.exe,spoclsv.exe进程。但因为中毒后无法打开任务管理器,
所以必须通过第三方进程管理器来结束进程,建议使用http://www.vccn.com.cn/download/pv.exe,
用此工具打开进程后,找到相关的进程,并将之结束。结束进程后,任务管理器和注册表就可
以打开了
2,修改注册表.
以下位置为注册表十三处启动项位置,去掉可疑启动项
HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load
HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit
HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
HKLM-Software-Microsoft-Windows-CurrentVersion-Run
修改以下位置,目的是可以显示隐藏文件,因为熊猫病毒不允许显示隐藏文件,所以我们要改
回来把ckeckedvalue的值由0改为1即可。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
3,显示隐藏文件,我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹,去掉隐藏受保护的
操作系统文件前面的钩,找到病毒文件,%System32%\FuckJacks.exe或
%System32%\Drivers\spoclsv.exe或%System32%\twunk32.exe并将其删除,找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,,,,,(注意这些文件都
是隐藏文件,如果你没显示隐藏文件的话,那看不到)并在相关目录底下新一个同名的文件,并
设置为只读,如果是NTFS分区,则去掉其他所有的NTFS权限.
4,做完以上步骤后,重启电脑,熊猫烧香病毒原本就手工处理了,但本机被感染的文件还在,
在用杀毒软件全盘扫描前,千万不要执行本机的其他应用程序或.exe文件,切记,切记
热心网友
〔原创,谢绝转载〕彻底杀所有病毒,当然包括熊猫病毒
先了解两个概念:MBR,引导型病毒。
所有硬盘都存在一个称为"MBR" (Master Boot Record)的空间,存储一些重要数据,如实际的柱面,磁头和扇区数目以及硬盘分区的起始地点和空间大小等等信息。MBR中最重要的数据是载入操作系统的程序,启动系统时会在硬盘的第一单元查找操作系统的位置,MBR即是系统查找操作系统地点的地方。现在若有一个引导区病毒修改操作系统的引导系统,加入自己的病毒代码,则以后每次系统启动时病毒会自行载入,由于普通的删除命令对MBR不起作用,因此无法删除。如果病毒用自己的代码替代MBR,则清除起来更加复杂。因为任何形式的磁盘格式化都不会改动MBR(实际上,这部分磁盘扇区只能用FDISK命令修改,必须记住的是,只有用FDISK命令删除分区才能重建扇区内容,简单执行FDISK是没有用的)。正是MBR的这些格式化特性让有些初级用户相信有病毒是不可删除的。但无论如何,只要正确执行格式化,硬盘上就没有不可删除的病毒。
引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,简单地说是感染硬盘最前面的病毒。它先于操作系统运行,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
你现在碰上的情况,是否有类似的表现?
解决步骤:
⑴、引导区病毒用重新分区格式化的方法不能完全清除。最好的办法是找磁盘二进制编辑软件,比如PCTools或者DiskEdit等软件将硬盘的前一百个物理扇区清零,然后再重新分区,也可以将曾经备份过的引导区用上述软件写回去。
⑵、低级格式化后,再高级格式化,再重装系统。
热心网友
*******************试试吧!!!******************
首先准备好鼎鼎大名的杀毒软件卡巴斯基5.0/6.0版本都可。准备好最新的病毒库,当然还有不可缺少的key文件。因为地震的问题,卡巴斯基某些版本无法通过网络升级,需要本地升级最新病毒库。
卡巴斯基安装程序和卡巴斯基key下载网上有很多地方提供,可以去百度的卡巴斯基吧找链接下载。卡巴的最新病毒库可以去华军软件园www.newhua.com下载。
关于卡巴斯基的本地升级,网上有很多文章,可以参考下,不多说了。
在这里主要是解决一个问题:熊猫烧香病毒禁止绝大多数杀毒软件运行,包括国内国外的各大杀毒软件。禁止运行任务管理器和注册表管理器。瑞星等国内杀毒软件商提供的专杀工具一点用都不管。所以首先和最重要的是要解决安装卡巴斯基后可以让卡巴运行起来。
从网上查阅资料,得知熊猫烧香病毒在系统目录下windowssystem32drivers目录下生成一个spoclsv.exe文件,这样即使你进入安全模式,也会加载这个文件,所以就不要想在安全模式下杀掉病毒了。
记住一定不要双击盘符进入硬盘,要使用右键菜单进入!
所以,杀掉这个病毒的方法最简单不过了!首先只要删除spoclsv.exe就可以了!那么,只有一种方法,进入dos下删除该文件。你可以用win98光盘启动进入dos模式,也可以用win2000的命令行(这个好像是在开机的时候按F8出现吧,2000没用过几次,忘记了,不行也用启动盘好了。),xp可以用xp安装盘进入修复模式下就可以进dos了。
输入命令del c:\windows\system32\drivers\spoclsv.exe
回车后,该文件被删除。
本办法就是输入c:回车
cd..回车
直到只有c:
cd windows
cd system32
cd drivers
del spoclsv.exe
有够笨的。。
然后重新启动进入windows,这时候暂时是不会出现和运行spoclsv.exe的,赶紧安装卡巴斯基,安装后不要重新启动系统,点开始-程序,找到卡巴斯基,直接运行。(如果运行成功,恭喜你!你可以远离熊猫烧香了。。。。。)
本地升级卡巴斯基,升级后,立刻执行全盘扫描。在扫描的过程中,可能会出现各种系统错误,让你选择是/否。不要理他们,不要点确定/取消。
等到卡巴斯基全盘扫描完毕后,处理查出的病毒。
然后安装例如windows优化大师,超级兔子之类系统维护程序,找到开机运行,看看里面有哪些没必要开机启动的东西或不认识的或标记为病毒的开机程序,统统都删除掉。
运行任务管理器,将里面所有的系统允许结束的(除taskmgr.exe和卡巴程序外)进程结束,包括svchost,这时候系统会提示你还有1分钟倒计时关机。不要理他,继续结束进程,只要进程重新运行就结束他,坚持到系统自动重启。
等系统重新启动后,必须再用卡巴斯基扫描一遍全盘。因为上次安装后没有启动,卡巴有的服务不提供,有的病毒杀不出来,所以必须再用卡巴斯基扫描一遍全盘。
扫描完毕后,系统就没有熊猫烧香了。
热心网友
昨天小鸟的本本中“熊猫烧香”病毒啦.. 我研究了下这病毒 做的还是很不错的. 要是这人再决点把所有杀毒软件都“*” 那真的不感想像..继Logo1_.exe肆虐之后,这个熊猫烧香病毒(尼姆亚)开始在网络蔓延了。它也是一个感染全盘EXE的虫子,这个东东的厉害之处,就是所有被感染的exe就彻底不能运行了,感染后的exe图标变成 一个熊猫烧香了3根香。。。内网传播速度极快!!(熊猫做的倒是满可爱滴~~ ) 可是毕竟是病毒啊 我们不能对它手下留情下边是对它的分析
档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f9eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项: CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
CODE:[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schele
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
CODE:net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身*在被感染文件前端,并在尾部添加标记信息:
QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是*在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
我对他们说过 如果不能把这病毒“请”出电脑绝对不回宿舍...下午买晚饭接着回教师研究怎么把它“请”出来.. 关于瑞星专门杀“熊猫烧香”的根本杀不出来...太让我失望啦..下边还是介绍下怎么把它“请”走吧
一.想研究它就选这种吧:
1.(先下个结束进程的软件) 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
二.不想再见到它就选择这个
下个“超级巡警”直接杀毒就是啦 绝对搞定 我的主页前边“资源下载”可以下到..为了大家的方便嘛..嘿嘿
晚自习杀完后..我接着给他们开玩笑的说“ 我可以回宿舍喽 嘿嘿” 回到宿舍感觉肚子好饿....泡了包方便面. 吃方便面时候 感觉比平时要好吃的多..嘿嘿..好了 要是您中了 “熊猫烧香”快把它请出去吧!
热心网友
先下卡助手:http://tool.ikaka.com/
再下里面的橙色八月专杀工具查杀
用以下办法处理不能双击打开分区的问题
我的解决方法如下:
1.点击windows桌面左下角的开始,选择:运行
2.在对话框中输入“regedit”(注册表)
3.在注册表编辑器中展开
hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints2
4.将子目录下所有带加号“+”的项依次展开,如有一项叫做 “shell”的,再展开有两项:“auto”和“autorun”,将这两项再展开,都有“command”的,这就个就是关键了!将之前的 “shell”目录整个删除。然后,对着它的上级目录用鼠标点右键,在弹出的菜单上选择“权限”,在弹出的“安全”对话框中点“高级”,在“高级”对话框中把“从父项继承哪些可以应用到子对象的权限项目,包括哪些在此明确定义的项目”之前的勾去掉,在同时弹出的“安全”对话框中点“删除”。用同样的方法,依次把其他的“shell”(展开都有“command”的)目录分别删除并保存(有几个双击打不开的分区就有几个类似的“shell”项)。最后关掉“注册表”对话框即可。
如果你想保留“自动播放”(Auto),则只需删除“autorun”项。
需要说明的是:由于电脑的不同,情况可能有所不同,请不内行的同志不要随便更改注册表。
3、如果你的电脑不能显示隐藏文件,只要将下面的文字用记事本保存成show.reg,然后导入记事本即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-2"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
热心网友
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程
1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失
热心网友
病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香(武汉男生)
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
参考资料:http://sha.baidu.com/sitenews/rank.jsp?id=171
热心网友
天啊,大家都在讨论。前几天我也中了这个病毒,上网查了些资料,今天终于搞定了,所以就上来说说我的“经验”。
一、在桌面上建一个.bat的文件。(右键——新建——文本文件——粘贴——另存为——文件名.bat 这个是.bat文件的建立方法,网上很多大人都不给说,我是菜鸟所以深知作为菜鸟的苦……)
以下是粘贴的内容:
@echo off
echo Nimaya(熊猫烧香)疫苗
echo 以下2000系统
del/q c:\winnt\system32\drivers\spoclsv.exe
md c:\winnt\system32\drivers\spoclsv.exe
echo 2000系统结束
echo 以下XP系统
del/q c:\windows\system32\drivers\spoclsv.exe
md c:\windows\system32\drivers\spoclsv.exe
echo XP系统结束
echo 以下C盘
del /arsh/q c:\setup.exe
md c:\setup.exe
attrib +s +h +r c:\setup.exe
del /arsh/q c:\autorun.inf
md c:\autorun.inf
attrib +s +h +r c:\autorun.inf
echo 以下D盘
del /arsh/q d:\setup.exe
md d:\setup.exe
attrib +s +h +r d:\setup.exe
del /arsh/q d:\autorun.inf
md d:\autorun.inf
attrib +s +h +r d:\autorun.inf
echo 以下E盘
del /arsh/q e:\setup.exe
md e:\setup.exe
attrib +s +h +r e:\setup.exe
del /arsh/q e:\autorun.inf
md e:\autorun.inf
attrib +s +h +r e:\autorun.inf
echo 免疫完成
pause
如果有其他分区的话拷贝后面的内容改下加进去
就是把x改成你要打疫苗的盘
echo 以下X盘
del /arsh/q x:\setup.exe
md e:\setup.exe
attrib +s +h +r x:\setup.exe
del /arsh/q x:\autorun.inf
md x:\autorun.inf
attrib +s +h +r x:\autorun.inf
(记得要把内容里面的中文字除掉……)
这是一个用来免疫的……
二、下一个瑞星的,或者是超级巡警的熊猫病毒专杀,好像瑞星的比较好,又快又准……
三、到安全模式下面运行.bat文件,然后用瑞星的专杀把病毒杀掉。
四、用优化大师清理注册表,优化开机启动项。
应该是管用的,因为我用完这个就基本上好了
热心网友
瑞星反病毒专家介绍说,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月,到目前为止已经有数十个不同变种,在此期间瑞星已经发布针对该病毒的专杀工具,今天该工具已经升级,用户可以去瑞星网站(http://it.rising.com.cn/Channels/Service/index.shtml)免费下载使用。
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
那么,用户应该如何防范“熊猫烧香”病毒的攻击?专家建议:
第一,安装杀毒软件和瑞星卡卡3.1,并在上网时打开网页实时监控。由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件免费为用户提供一个月服务,可以登陆:http://www.rising.com.cn 免费下载并使用。用户还可以通过瑞星在线专家门诊:http://help.rising.com.cn取得帮助。
第二,网站管理员应该更改机器密码,以防止病毒通过局域网传播。
第三,QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。
第四,该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
热心网友
1.杀AUTO最有效的办法是格式化硬盘,每个盘都格式化(安全模式下).再有就是要注意这个病毒是双击硬盘就发作并传染.格式化硬盘后都点右键打开,防止再次发作,格式化完以后再重装系统,因为C盘不能在WINDOWS底下直接格式化.切记不可双击C盘.
2.熊猫用卡巴6.0试试.
热心网友
我今天早上刚中,现在搞定了,我是菜鸟,所以只能分享我菜鸟的经验:
第一步 进入安全模式,用“优化大师”或“瑞星卡卡”去禁止这个病毒的开机运行进程(有熊猫烧香图标的),删除病毒文件:
%System%\drivers\spoclsv.exe,然后重启。
第二步 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
第三步 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
第四步 下一个专杀工具杀一遍
第五步 重启
OVER!!!!!!
热心网友
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
