熊猫烧香病毒的分析处理、清除和恢复感染文件方
来源:互联网 发布:lu分解 算法 编辑:程序博客网 时间:2024/06/10 03:34
周围好多人中了这个毒,找了一下相关的资料,希望能帮助他人
----------------------------------------------------------------------------------------------------------
熊猫烧香病毒专杀、尼姆亚setup.exe spoclsv.exe专杀
CISRT2006078FuckJacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案
档案编号:CISRT2006078
病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)
病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)
病毒大小:30,465 字节
加壳方式:UPack
编写语言:Borland Delphi 6.0 - 7.0
感染方式:恶意网页传播,其它木马下载,局域网传播,感染移动存储设备
尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
删除以下启动项
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting
ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除.GHO文件 <-------注意这点
添加以下启动位置
/Documents and Settings/All Users/Start Menu/Programs/Startup/Documents and Settings/All Users/「开始」菜单/程序/启动/WINDOWS/Start Menu/Programs/Startup/WINNT/Profiles/All Users/Start Menu/Programs/Startup/
监视记录QQ和访问局域网文件记录:c:/test.txt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetup.exe)
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patrick
pat
administrator
root
***
god
foobar
secrettest
test123
temp
temp123
win
pc
asdf
pwd
qwer yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root
所有根目录及移动存储生成
X:/setup.exe
X:/autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software/Microsoft/Windows/CurrentVersion/Run
svcshare=指向/%system32%/drivers/spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue
海色最新测试过结果:病毒22,886字节,头部写入病毒代码22,838字节,并在最尾部添加.WhBoy原文件名.exe.原文件字节数
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%/FuckJacks.exe
3. 删除病毒文件:
%System%/FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/autorun.inf
X:/setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"FuckJacks"="%System%/FuckJacks.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svohost"="%System%/FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。
===========================
[转]恢复被感染的文件:
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
再重申一遍:以上只是在自己的虚拟机上运行并试用的,不能保证100%的没有问题!
CISRT2006078FuckJacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案
档案编号:CISRT2006078
病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)
病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)
病毒大小:30,465 字节
加壳方式:UPack
编写语言:Borland Delphi 6.0 - 7.0
感染方式:恶意网页传播,其它木马下载,局域网传播,感染移动存储设备
尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
删除以下启动项
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting
ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除.GHO文件 <-------注意这点
添加以下启动位置
/Documents and Settings/All Users/Start Menu/Programs/Startup/Documents and Settings/All Users/「开始」菜单/程序/启动/WINDOWS/Start Menu/Programs/Startup/WINNT/Profiles/All Users/Start Menu/Programs/Startup/
监视记录QQ和访问局域网文件记录:c:/test.txt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetup.exe)
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patrick
pat
administrator
root
***
god
foobar
secrettest
test123
temp
temp123
win
pc
asdf
pwd
qwer yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root
所有根目录及移动存储生成
X:/setup.exe
X:/autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software/Microsoft/Windows/CurrentVersion/Run
svcshare=指向/%system32%/drivers/spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue
海色最新测试过结果:病毒22,886字节,头部写入病毒代码22,838字节,并在最尾部添加.WhBoy原文件名.exe.原文件字节数
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%/FuckJacks.exe
3. 删除病毒文件:
%System%/FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/autorun.inf
X:/setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"FuckJacks"="%System%/FuckJacks.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svohost"="%System%/FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。
===========================
[转]恢复被感染的文件:
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
再重申一遍:以上只是在自己的虚拟机上运行并试用的,不能保证100%的没有问题!
- 熊猫烧香病毒的分析处理、清除和恢复感染文件方
- 成功清除“熊猫烧香”的病毒
- 教你手动清除最近横行的熊猫烧香病毒
- 熊猫烧香的病毒代码
- 熊猫烧香病毒的源码
- 分析最新变种的"熊猫烧香"及其清除方法
- 分析最新变种的"熊猫烧香"及其清除方法
- 分析最新变种的"熊猫烧香"及其清除方法
- spoclsv病毒清除 “可乐虫子病毒”又叫“熊猫烧香”
- “Nimaya(熊猫烧香)”病毒分析报告
- 熊猫烧香病毒主要代码分析
- 熊猫烧香病毒源代码 原代码分析
- 熊猫烧香病毒源码及分析
- 熊猫烧香病毒介绍和中毒现象
- 熊猫烧香专杀工具源代码,解除被感染的exe文件
- 熊猫烧香,好可爱的病毒
- 熊猫烧香的病毒制作源码
- 熊猫烧香的病毒制作源码
- 网站验证图片制作。net
- 建立/修改字段(索引)
- Developing Application Frameworks in .Net --- (Note 3 Cach)
- 原始套接字伪造发包
- 二叉搜索树BSTree
- 熊猫烧香病毒的分析处理、清除和恢复感染文件方
- 有意思的for循环
- hibernate native sql
- Eclipse 常用快捷键
- 常用资源网站搜罗
- 分析称2007年IT巨头将争夺三大领域
- xp下sql2000的安装
- c#用最简单的方法构造树(treeview)
- 搜索引擎学习资源收集
