1、熊猫烧香熊猫烧香会影响到window xp吗?悬赏分:5 - 提问时间2007-1-21 14:39提问者:bee741 - 试用期 一级 其他回答共 8 条回答者:歪歪高升 - 同进士出身 六级 1-21 14:39是的,用瑞星专杀。瑞星网站有免费下载回答者:liuweimin158 - 助理 三级 1-21 14:40熊猫烧香自网络下载的木马名称多种,注意识别。alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。其他的mhs2.exe,iexp1ore.exe等本博文章有说明,不再赘述。另外,发现此案例有LSP劫持。可以用最新版本的SRENG2
2、.3的重置WINSOCK为默认来解决! Winsock 提供者 MSAFD Tcpip TCP/IP C:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A) MT-TcpFilter C:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A) 一、问题的提出: 提问地址: 报告地址:(2页) 二、分析 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件:打开IE 点工具-Internet选项 : Internet临时文件,点“删除文件”按钮 ,将
3、 删除所有脱机内容 打勾,点确定删除。 关闭QQ等应用程序。 2.用强制删除工具 PowerRMV 下载地址: 分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭【如提示文件找不到,忽略错误】 C:WINDOWSsystem32driversspoclsv.exe C:WINDOWSsystem32iexp1ore.exe C:WINDOWSsystem32iexpl0re.exe C:WINDOWSzaq10.exe C:WINDOWSmhs2.exe C:WINDOWSalga.exe C:WINDOWSwls3.exe C:WINDOWSwinlog0n.exe
4、 C:WINDOWSiexp1ore.exe C:WINDOWSwanmei.exe C:WINDOWSsystem32twunk32.exe C:Program FilesCommon FilesMicrosoft SharedMSINFOWinInfo.rxk C:WINDOWSsystem32Security.exe C:WINDOWSsystem32windds32.dll C:WINDOWSsystem32windhcp.ocx 重启计算机 然后再进入安全模式执行如下的操作 - 以下的操作都要求安全模式下进行。 安全模式?重启电脑时按住F8 选择进入安全模式 - 3. 用工具 SRE
5、ng 删除如下各项 下载及其使用方法看下面的链接,看懂再下手操作! 【如下操作有风险,必须看懂上面的方法再操作。】 【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】 启动项目 -注册表 的如下项 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A = 启动项目 -服务-Win32服务应用程序 的如下项 Server Advance / ServerACStopped/Auto Start Win32 Display Driver / Win32DDSStopped/Auto Start
6、 Windows DHCP Service / WinDHCPsvcStopped/Auto Start 4、SREng 系统修复-修复 winSock供应者 点“重置所有内容为默认值” 或者用如下的方法 开始菜单 运行 输入cmd 输入如下命令 netsh winsock reset 回车 手动删除文件 C:WINDOWSsystem32WSD_SOCK32.dll 5. 用下文推荐的专杀工具清理其他受到感染的EXE文件 Viking专杀 注意里面的360SAFE的帖子链接里的工具都用一下 交叉检查。 熊猫专杀: 6. 最后用 下文推荐的工具清理(第四个) 把能检测到的全选后点清理(删除)参
7、考 熊猫烧香病毒专杀及手动修复方案 v1.1出处:PConline 2007-01-13 12:25:07 作者:GonNa 责任编辑:caihao- - - - - 以下是熊猫烧香病毒详细行为和解决办法:熊猫烧香病毒详细行为:1.复制自身到系统目录下:%System%driversspoclsv.exe(“%System%”代表Windows所在目录,比如:C:Windows)不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。2.创建启动项:HKEY_CURRENT_USERSoftwareMi
8、crosoftWindowsCurrentVersionRunsvcshare=%System%driversspoclsv.exe3.在各分区根目录生成病毒副本:X:setup.exeX:autorun.infautorun.inf内容:AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe4.使用net share命令关闭管理共享:cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5.修改“显示所有文件和文件夹”设置:HKEY
9、_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=dword:000000006.熊猫烧香病毒尝试关闭安全软件相关窗口:天网防火墙进程VirusScanNOD32网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马清道夫木馬清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDubaWindows 任务管理器esteem procs绿鹰PC密码防盗噬菌体木马辅助查找器System Safety MonitorW
10、rapped gift KillerWinsock Expert游戏木马检测大师超级巡警msctls_statusbar32pjf(ustc)IceSword7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx
11、.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe8.禁用安全软件相关服务:SchedulesharedaccessRsCCenterRsRavMonKVWSCKVSrvXPkavsvcAVPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc9.删除安全软件相关启动项:SOFTWAREM
12、icrosoftWindowsCurrentVersionRunRavTaskSOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXPSOFTWAREMicrosoftWindowsCurrentVersionRunkavSOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUISOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates
13、 Error Reporting ServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXESOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exeSOFTWAREMicrosoftWindowsCurrentVersionRunyassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息: 但不修改以下目录中的网页文件:C:WINDOWSC:WINNTC:system32C:Documents and SettingsC:System
14、 Volume InformationC:RecycledProgram FilesWindows NTProgram FilesWindowsUpdateProgram FilesWindows Media PlayerProgram FilesOutlook ExpressProgram FilesInternet ExplorerProgram FilesNetMeetingProgram FilesCommon FilesProgram FilesComPlus ApplicationsProgram FilesMessengerProgram FilesInstallShield I
15、nstallation InformationProgram FilesMSNProgram FilesMicrosoft FrontpageProgram FilesMovie MakerProgram FilesMSN Gamin Zone11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。12.此外,病毒还会尝试删除GHO文件。病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:passwordharleygolfpussymustangshadowfishqwertybaseballletmeincccadminabcpasspasswddatabaseabcdabc123sybase123qweservercomputersuper123asdihavenopassgodblessyouenablealpha1234qwer123abcaaapatrickpatadministratorrootsexgodfuckyoufucktesttest123temptemp123winasdfpwdqweryxcvzxcvhomexxxownerloginLoginlovemypcmypc123admin123mypassmypass123AdministratorGuestadminRoot
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2