怎么手动发现熊猫烧香?
手动清除熊猫烧香
熊猫烧香变种 spoclsv.exe 解决方案
档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[Copy to clipboard]CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
熊猫烧香病毒删除方法
电脑里面出现了一个熊猫烧香图标,显示为可执行文件.删除后还是有
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
变种1,就是FuckJacks.exe进程,将自身复制到系统文件夹,然后感染文件夹中的.exe文件,将图标改为“熊猫烧香”。
变种2,就是spoclsv.exe进程,感染时在C盘根目录下生成感染标记文件,将图标改为“熊猫烧香”。
变种3,不再感染用户系统中的.exe文件,而是感染用户系统中的脚本病毒,而且在文件夹中写下感染标记文件。对抗杀毒软件及专杀工具,令系统自动关闭反病毒软件。
变种4,最近才出现的一个变种,用户可执行文件时与A和B版本有所不同,用户中毒后的.exe文件的图标不改变,还有其他一些变种,基本都是为了躲避查杀。
危害与症状
1、感染硬盘中的其他应用程序的.exe文件,程序图标变成“熊猫烧香”图标,系统速度异常缓慢,出现蓝屏、频繁重启。
2、拷贝自身到所有驱动器根目录,生成setup.exe和auturun.inf文件,使得用户打开受感染驱动器运行病毒。
3、修改注册表,自行加载启动病毒程序、禁用杀毒工具运行,并禁止用户修改系统注册表。
4、局域网用户会共享跨机传染,造成其他电脑受感染,占用带宽导致网络瘫痪。
5、最可怕而且最特别之处是,病毒会在电脑中所有的网页文件尾部添加病毒代码。一些网站工作人员的PC如果被感染,则导致用户浏览这些网站时也被感染。
感染后的对策
方法一:这种方法比较简单,用户可以利用金山毒霸、瑞星等提供的专杀工具进行搜索和杀灭病毒。缺点是有新变种后,专杀工具也需更新。
用户可以到下列网站下载最新工具,注意选择不同工具进行多次查杀。
http://www.xiongmaoshaoxiang.com、http://tool.duba.net/zhuansha/253.shtml、http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
方法二:此外,可通过修复注册表等操作进行彻底查杀:
1、断开网络。
2、结束病毒进程,如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe,将其结束掉,也可以下载Process Explorer程序将病毒进程结束掉。
3、在计算机上搜索并删除以下病毒执行文件:setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe、GameSetup.exe。
4、开始-〉运行-〉输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项。
注册表信息如下:
〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun〕
“FuckJacks”=“%System%FuckJacks.exe
〔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〕
“svohost”=“%System%FuckJacks.exe”
5、修复或重新安装反病毒软件,以恢复杀毒软件的功能。
6、最后,将反病毒软件更新到最新版本,进行全盘扫描,杀毒,并把感染文件修复。
预防方法
对于主要通过互联网进行传播的病毒,用户在上网中最重要的是注意网络安全。
1、确保windows防火墙处于开启状态、及时进行Windows Update;同时设立或修改系统管理员administrator用户口令,避免过于简单的密码。
2、关闭自动播放功能,“熊猫烧香”很多是通过插入U盘这样一个简单的动作入侵系统的。
3、开启反病毒软件的实时监控功能,并定期(3天至7天内)在线升级病毒库,保持反病毒软件的版本处于最新。
“熊猫烧香”背后的商业利益
工程师史瑀表示,经分析,“熊猫烧香”带有强烈商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。”
他表示,目前瑞星已将病毒作者相关证据和病毒特性提交给国家计算机病毒应急处理中心。
无独有偶,江民工程师向媒体报料称,在他们截获的病毒中,已经发现“熊猫烧香”的作者通过http://www.feifeicqq.com等几家地下网站公开销售网络游戏的装备,“他们这些网站可以称之为盗号、买卖一条龙,现在看来熊猫烧香的背景远没有那么简单。”
只要觉的开机的速度很慢很慢,而且所有的系统文件图标都变成熊猫的图标就说明中毒了
如何避免“熊猫烧香”病毒?
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修复方案》,下载其中的专钉工具进行查杀,也可手动查杀。技术专家还总结了以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。 1、立即检查本机administrator组成员口令...
有人知道吗,我E盘里的软件怎么变成熊猫图片了?是坏了吗?
您中了熊猫烧香病毒!熊猫烧香病毒会感染所有exe文件,超级巡警专杀恰恰是exe文件,以下几个方法你可以试用下 1.买正版瑞星,现在一台没有中毒的电脑上安装升级到最新病毒库,然后用“U盘查杀工具”功能,在你的电脑上用瑞星光盘启动,用已经拷到U盘上的病毒库查杀,100%有效。2.找个足够大的移动硬盘,...
怎样手动删除熊猫烧香病毒?
发现时间:2006.11 更新时间:2006.11 关联病毒:传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播 技术分析 === 又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:System%\\drivers\\spoclsv.exe 创建启动项:[C...
移动硬盘的熊猫烧香怎么解啊!!高手救命
U盘或移动硬盘中了熊猫烧香后,单击右键后会出现AUTO自动播放代替打开的菜单,这是其中之一的症状。解决的方法是:一是用杀毒软件(如:瑞星,江民,卡巴等都可以进行查杀)二是用硬盘空间回收器对U盘或移动硬盘进行查看,然后手动删除。如果还是查杀不了的话,我建议在安全模式下进行。
谁知道熊猫烧香病毒的传播途径啊!告诉一下下撒!
最有“灵感”的一招莫过于在所有htm\/html\/asp\/php\/jsp\/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独...
电脑中了”熊猫烧香”病毒,如何杀毒?
熊猫烧香病毒专杀 “尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X\/NT\/2000\/XP。该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法...
熊猫烧香病毒
建议你去瑞星官网下个专杀工具:http:\/\/it.rising.com.cn\/Channels\/Service\/2006-11\/1163505486d38734.shtml 江民专杀工具下载地址:http:\/\/www.jiangmin.com\/download\/VikingKiller.exe 熊猫烧香病毒专杀及手动修复方案 http:\/\/www.pconline.com.cn\/pcedu\/soft\/virus\/safe\/0701\/942893.html ...
中了熊猫烧香该怎么解决
近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。现在小编提供一个手动清除此病毒的方法:清除步骤 === 1. 断开网络 2. 结束病毒进程 System%\FuckJacks.exe 3. 删除病毒文...
有关“熊猫烧香” 的问题!!!急急急急!~~~
“熊猫烧香”病毒疯狂肆虐 专家教你如何进行防范 目前,“尼姆亚(也称熊猫烧香)”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。该病毒针对企业网络的攻势愈加剧烈,甚至出现了企业用户求助...
什么是“熊猫烧香”啊
“熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播...
隐信车前: 猫烧香”已衍生出上百个变种病毒,总体分为四大类. 变种1,就是FuckJacks.exe进程,将自身复制到系统文件夹,然后感染文件夹中的.exe文件,将图标改为“熊猫烧香”. 变种2,就是spoclsv.exe进程,感染时在C盘根目录下生成感染标记...
渝水区18317232820: 一般 熊猫烧香 是怎么中的? - ?
隐信车前: 熊猫传播有几种方式.1、浏览网页时中的,因为熊猫会感染网页文件.如果某个网站服务器感染了熊猫烧香.或有些垃圾在网页里加载自动下载安装熊猫.只要没有打浏览器漏洞补丁的用户浏览.就会自动下载运行.虽然很多人有装杀毒软件...
渝水区18317232820: 怎么才能知道自己有没种熊猫烧香病毒??
隐信车前: 其实是一种蠕虫病毒的变种,而且是经过多次变种而来的.用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象.被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样.
渝水区18317232820: 熊猫烧香病毒怎样查杀? - ?
隐信车前: 熊猫烧香病毒删除方法电脑里面出现了一个熊猫烧香图标,显示为可执行文件.删除后还是有清除步骤 ==========1. 断开网络2. 结束病毒进程 %System%\FuckJacks.exe3. 删除病毒文件: %System%\FuckJacks.exe4. 右键点击分区盘符...
渝水区18317232820: 我的电脑中了熊猫烧香病毒,谁能帮我??急!! - ?
隐信车前: 简单的问题被弄得复杂化了... 偶的系统前几天也被感染上了"熊猫烧香",这就是通过U盘传染的病毒,主要危害就是无法显示系统的所有文件,并删除后缀为.GHO的文件(备份文件,没有这个东西你的系统就无法再用GHOST恢复了!) 经过...
渝水区18317232820: QQ会员魔法表情——熊猫烧香怎么整?
隐信车前: 首先你要是会员,在对话框里点开会员魔法表情后,在对话框的右上角有个搜索栏,你输入熊猫烧香就可以找到了
渝水区18317232820: 怎么才能在电脑上查出熊猫烧香,它的名称是怎么拼写的 ?
隐信车前: 又叫“尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP. 该病毒采用熊猫头像作为图标,诱使用户运行.病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染. 受感染的文件图标会变成一只拿着三枝香的大熊猫, 由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行. 专杀工具仅针对被感染机器上的活体病毒,建议在登陆系统后尽快使用专杀工具扫描,清理网页文件中包含木马病毒的信息.杀毒后建议使用最新版本的瑞星杀毒软件进行全盘扫描. 图标见附件:
渝水区18317232820: 如何知道计算机是否中了灰鸽子或熊猫烧香 - ?
隐信车前: 检查电脑是否中了灰鸽子,可以在Windows的DOS提示符下键入命令“netstat -a”后回车,观察显示结果中是否有被灰鸽子打开的端口号“8225”的字样,有则很可能中了灰鸽子.在默认的配置下,灰鸽子服务器端的名称、运行、隐藏及关联...
渝水区18317232820: 怎样知道电脑是否中了病毒?还有熊猫烧香这个病毒是不是可以把某些图? ?
隐信车前: 几种中毒的表现:开机速度越来越慢,开机时出现一些莫名其妙的对话框;反复开机;开机开不起来;莫名其妙的死机;一些系统文件的图标,应用软件的图标被改(例如熊猫烧香病毒,当你看到大部分在D、E盘的文件图标被改,那就是中毒了),D、E盘双击打不开;一些文件怎么删也删不掉(有时候也可能是流氓软件);总之当系统和文件以及普通操作,出现不正常时,你就得考虑是否是中了病毒,要避免病毒几乎是没有可能的,但可以尽量小心一些,你可以这样:把系统打好补丁,尽可能地少有漏洞,不要随便浏览一些野广告或者带色的网站,病毒库经常更新,使用U盘时先杀毒,到一些知名的网站去下载东西,如果中毒太深,就只能重做系统了.祝你好运!
渝水区18317232820: 如何预防熊猫烧香病毒! - ?
隐信车前: “熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安...
