熊猫烧香.docx
《熊猫烧香.docx》由会员分享,可在线阅读,更多相关《熊猫烧香.docx(9页珍藏版)》请在冰点文库上搜索。
熊猫烧香
熊猫烧香会影响到windowxp吗?
悬赏分:
5-提问时间2007-1-2114:
39
提问者:
bee741-试用期一级
其他回答 共8条
回答者:
歪歪高升-同进士出身六级1-2114:
39
是的,用瑞星专杀。
瑞星网站有免费下载
回答者:
liuweimin158-助理三级1-2114:
40
熊猫烧香自网络下载的木马名称多种,注意识别。
alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。
其他的mhs2.exe,iexp1ore.exe等本博文章有说明,不再赘述。
另外,发现此案例有LSP劫持。
可以用最新版本的SRENG2.3的重置WINSOCK为默认来解决!
Winsock提供者
MSAFDTcpip[TCP/IP]
C:
\WINDOWS\system32\WSD_SOCK32.dll(N/A,N/A)
MT-TcpFilter
C:
\WINDOWS\system32\WSD_SOCK32.dll(N/A,N/A)
一、问题的提出:
提问地址:
报告地址:
(2页)
二、分析
1.杀毒前关闭系统还原(Win2000系统可以忽略):
右键我的电脑,属性,系统还原,在所有驱动器上关闭系统还原打勾即可。
清除IE的临时文件:
打开IE点工具-->Internet选项:
Internet临时文件,点“删除文件”按钮,将删除所有脱机内容打勾,点确定删除。
关闭QQ等应用程序。
2.用强制删除工具PowerRMV下载地址:
分别填入下面的文件(包括完整的路径),勾选“抑止杀灭对象再次生成”,点杀灭【如提示文件找不到,忽略错误】
C:
\WINDOWS\system32\drivers\spoclsv.exe
C:
\WINDOWS\system32\iexp1ore.exe
C:
\WINDOWS\system32\iexpl0re.exe
C:
\WINDOWS\zaq10.exe
C:
\WINDOWS\mhs2.exe
C:
\WINDOWS\alga.exe
C:
\WINDOWS\wls3.exe
C:
\WINDOWS\winlog0n.exe
C:
\WINDOWS\iexp1ore.exe
C:
\WINDOWS\wanmei.exe
C:
\WINDOWS\system32\twunk32.exe
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\WinInfo.rxk
C:
\WINDOWS\system32\Security.exe
C:
\WINDOWS\system32\windds32.dll
C:
\WINDOWS\system32\windhcp.ocx
重启计算机然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?
重启电脑时按住F8选择进入安全模式]
--------------------------------------------------------------
3.用工具SREng删除如下各项
下载及其使用方法看下面的链接,看懂再下手操作!
【如下操作有风险,必须看懂上面的方法再操作。
】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。
】
启动项目-->注册表的如下项
\WINDOWS\system32\iexp1ore.exe>[N/A]
\WINDOWS\system32\drivers\spoclsv.exe>[N/A]
\WINDOWS\system32\iexpl0re.exe>[N/A]
\WINDOWS\zaq10.exe>[N/A]
\WINDOWS\mhs2.exe>[N/A]
\WINDOWS\alga.exe>[N/A]
\WINDOWS\wls3.exe>[N/A]
\WINDOWS\winlog0n.exe>[N/A]
\WINDOWS\iexp1ore.exe>[N/A]
\WINDOWS\wanmei.exe>[N/A]
\WINDOWS\system32\twunk32.exe>[N/A]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}>\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\WinInfo.rxk>[N/A]
==================================
启动项目-->服务-->Win32服务应用程序的如下项
[ServerAdvance/ServerAC][Stopped/AutoStart]
\WINDOWS\system32\Security.exe>
[Win32DisplayDriver/Win32DDS][Stopped/AutoStart]
\WINDOWS\system32\\rundll32.exewindds32.dll,start>
[WindowsDHCPService/WinDHCPsvc][Stopped/AutoStart]
\WINDOWS\system32\\rundll32.exewindhcp.ocx,start>
4、SREng系统修复-->修复winSock供应者点“重置所有内容为默认值”
或者用如下的方法
开始菜单运行输入cmd
输入如下命令
netshwinsockreset回车
手动删除文件C:
\WINDOWS\system32\WSD_SOCK32.dll
5.用下文推荐的专杀工具清理其他受到感染的EXE文件
Viking专杀
注意里面的360SAFE的帖子链接里的工具都用一下交叉检查。
熊猫专杀:
6.最后用下文推荐的工具清理(第四个)把能检测到的全选后点清理(删除)参考
熊猫烧香病毒专杀及手动修复方案v1.1
出处:
PConline[2007-01-1312:
25:
07]
作者:
GonNa
责任编辑:
caihao
-----
以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:
C:
\Windows)
不同的spoclsv.exe变种,此目录可不同。
比如12月爆发的变种目录是:
C:
\WINDOWS\System32\Drivers\spoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分区根目录生成病毒副本:
X:
\setup.exe
X:
\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用netshare命令关闭管理共享:
cmd.exe/cnetshareX$/del/y
cmd.exe/cnetshareadmin$/del/y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:
00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
SymantecAntiVirus
Duba
Windows任务管理器
esteemprocs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
SystemSafetyMonitor
WrappedgiftKiller
WinsockExpert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
8.禁用安全软件相关服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc
9.删除安全软件相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkAssociatesErrorReportingService
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
//width="0"height="0"frameborder="0">
但不修改以下目录中的网页文件:
C:
\WINDOWS
C:
\WINNT
C:
\system32
C:
\DocumentsandSettings
C:
\SystemVolumeInformation
C:
\Recycled
ProgramFiles\WindowsNT
ProgramFiles\WindowsUpdate
ProgramFiles\WindowsMediaPlayer
ProgramFiles\OutlookExpress
ProgramFiles\InternetExplorer
ProgramFiles\NetMeeting
ProgramFiles\CommonFiles
ProgramFiles\ComPlusApplications
ProgramFiles\Messenger
ProgramFiles\InstallShieldInstallationInformation
ProgramFiles\MSN
ProgramFiles\MicrosoftFrontpage
ProgramFiles\MovieMaker
ProgramFiles\MSNGaminZone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root