熊猫烧香.docx

1、熊猫烧香熊猫烧香会影响到window xp吗？悬赏分：5 - 提问时间2007-1-21 14:39提问者：bee741 - 试用期 一级 其他回答共 8 条回答者：歪歪高升 - 同进士出身 六级 1-21 14:39是的，用瑞星专杀。瑞星网站有免费下载回答者：liuweimin158 - 助理 三级 1-21 14:40熊猫烧香自网络下载的木马名称多种，注意识别。alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。其他的mhs2.exe，iexp1ore.exe等本博文章有说明，不再赘述。另外，发现此案例有LSP劫持。可以用最新版本的SRENG2

2、.3的重置WINSOCK为默认来解决！ Winsock 提供者 MSAFD Tcpip TCP/IP C:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A) MT-TcpFilter C:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A) 一、问题的提出： 提问地址: 报告地址:(2页) 二、分析 1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件：打开IE 点工具-Internet选项 : Internet临时文件，点“删除文件”按钮 ，将

3、 删除所有脱机内容 打勾，点确定删除。 关闭QQ等应用程序。 2.用强制删除工具 PowerRMV 下载地址: 分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭【如提示文件找不到，忽略错误】 C:WINDOWSsystem32driversspoclsv.exe C:WINDOWSsystem32iexp1ore.exe C:WINDOWSsystem32iexpl0re.exe C:WINDOWSzaq10.exe C:WINDOWSmhs2.exe C:WINDOWSalga.exe C:WINDOWSwls3.exe C:WINDOWSwinlog0n.exe

4、 C:WINDOWSiexp1ore.exe C:WINDOWSwanmei.exe C:WINDOWSsystem32twunk32.exe C:Program FilesCommon FilesMicrosoft SharedMSINFOWinInfo.rxk C:WINDOWSsystem32Security.exe C:WINDOWSsystem32windds32.dll C:WINDOWSsystem32windhcp.ocx 重启计算机 然后再进入安全模式执行如下的操作 - 以下的操作都要求安全模式下进行。 安全模式？重启电脑时按住F8 选择进入安全模式 - 3. 用工具 SRE

5、ng 删除如下各项 下载及其使用方法看下面的链接，看懂再下手操作！ 【如下操作有风险，必须看懂上面的方法再操作。】 【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，装杀软后的正常修改。】 启动项目 -注册表 的如下项 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A = 启动项目 -服务-Win32服务应用程序 的如下项 Server Advance / ServerACStopped/Auto Start Win32 Display Driver / Win32DDSStopped/Auto Start

6、 Windows DHCP Service / WinDHCPsvcStopped/Auto Start 4、SREng 系统修复-修复 winSock供应者 点“重置所有内容为默认值” 或者用如下的方法 开始菜单 运行 输入cmd 输入如下命令 netsh winsock reset 回车 手动删除文件 C:WINDOWSsystem32WSD_SOCK32.dll 5. 用下文推荐的专杀工具清理其他受到感染的EXE文件 Viking专杀 注意里面的360SAFE的帖子链接里的工具都用一下 交叉检查。 熊猫专杀： 6. 最后用 下文推荐的工具清理（第四个） 把能检测到的全选后点清理（删除）参

7、考 熊猫烧香病毒专杀及手动修复方案 v1.1出处：PConline 2007-01-13 12:25:07 作者：GonNa 责任编辑：caihao- - - - - 以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1.复制自身到系统目录下：%System%driversspoclsv.exe（“%System%”代表Windows所在目录，比如：C:Windows）不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:WINDOWSSystem32Driversspoclsv.exe。2.创建启动项：HKEY_CURRENT_USERSoftwareMi

8、crosoftWindowsCurrentVersionRunsvcshare=%System%driversspoclsv.exe3.在各分区根目录生成病毒副本：X:setup.exeX:autorun.infautorun.inf内容：AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe4.使用net share命令关闭管理共享：cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5.修改“显示所有文件和文件夹”设置：HKEY

9、_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=dword:000000006.熊猫烧香病毒尝试关闭安全软件相关窗口：天网防火墙进程VirusScanNOD32网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马清道夫木馬清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDubaWindows 任务管理器esteem procs绿鹰PC密码防盗噬菌体木马辅助查找器System Safety MonitorW

10、rapped gift KillerWinsock Expert游戏木马检测大师超级巡警msctls_statusbar32pjf(ustc)IceSword7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx

11、.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe8.禁用安全软件相关服务：SchedulesharedaccessRsCCenterRsRavMonKVWSCKVSrvXPkavsvcAVPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc9.删除安全软件相关启动项：SOFTWAREM

12、icrosoftWindowsCurrentVersionRunRavTaskSOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXPSOFTWAREMicrosoftWindowsCurrentVersionRunkavSOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUISOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates

13、 Error Reporting ServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXESOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exeSOFTWAREMicrosoftWindowsCurrentVersionRunyassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息： 但不修改以下目录中的网页文件：C:WINDOWSC:WINNTC:system32C:Documents and SettingsC:System

14、 Volume InformationC:RecycledProgram FilesWindows NTProgram FilesWindowsUpdateProgram FilesWindows Media PlayerProgram FilesOutlook ExpressProgram FilesInternet ExplorerProgram FilesNetMeetingProgram FilesCommon FilesProgram FilesComPlus ApplicationsProgram FilesMessengerProgram FilesInstallShield I

15、nstallation InformationProgram FilesMSNProgram FilesMicrosoft FrontpageProgram FilesMovie MakerProgram FilesMSN Gamin Zone11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。12.此外，病毒还会尝试删除GHO文件。病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：passwordharleygolfpussymustangshadowfishqwertybaseballletmeincccadminabcpasspasswddatabaseabcdabc123sybase123qweservercomputersuper123asdihavenopassgodblessyouenablealpha1234qwer123abcaaapatrickpatadministratorrootsexgodfuckyoufucktesttest123temptemp123winasdfpwdqweryxcvzxcvhomexxxownerloginLoginlovemypcmypc123admin123mypassmypass123AdministratorGuestadminRoot