IT家园 - Powered by Discuz! Board

标题: 特别注意"熊猫"病毒!感染全盘EXE文件,并自动删除GHO文件! [打印本页]

作者: ldsystem 时间: 2006-12-9 22:23 标题: 特别注意"熊猫"病毒!感染全盘EXE文件,并自动删除GHO文件!

“尼姆亚（worm.nimaya）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件传播，依赖系统：win 9x/nt/2000/xp。
该病毒采用熊猫头像作为图标，诱使用户运行。病毒运行后，会自动查找Windows格式的exe可执行文件，并进行感染。由于该病毒编写存在问题，用户的一些软件可能会被其损坏，无法运行。针对该病毒，瑞星已经紧急升级。同时，瑞星向社会发布免费的专杀工具，没有安装杀毒软件的用户可以登录http://it.rising.com.cn/channels ... 3505486d38734.shtml下载后查杀。反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

注意:中毒后exe文件变成熊猫图像,且自动删除*.gho文件,用上面的瑞星专杀没有用,目前用下面这款专杀可以杀掉,请大家小心预防!建议将GHOST备份文件改后缀名,如果有中这种病毒,请在DOS下重命名为正确的GHO,然后还原系统,再用专杀全盘杀毒!

作者: was369 时间: 2006-12-10 08:11

汗汗汗`
我家中毒全靠GHOST还原啦`要是这样也中毒了怎么活`？~

作者: 柔情媚儿 时间: 2006-12-10 09:32

谢谢你!为大家提供了一个好的办法.

作者: ll_ll94 时间: 2006-12-10 09:39

以产也听说过感染GHO的病毒,现在又有新的了!!!!

作者: 晨风鸟 时间: 2006-12-10 09:58

原帖由 ldsystem 于 2006-12-9 22:23 发表
建议将GHOST备份文件改后缀名,如果有中这种病毒,请在DOS下重命名为正确的GHO,然后还原系统

这个方法不错。。。

作者: 飘香一剑 时间: 2006-12-10 13:48

电脑中毒：熊猫举着三炷香的setup.exe

病毒！！所有.EXE程序的图标变成熊猫烧香的头像
病毒！！中毒现象是.EXE程序的图表变成熊猫头像,电脑狂慢,进程里面有两个FUCKJACKS.EXE的进程!!!

几乎现在的杀毒软件都没查出来！病毒会删除上面提到的反病毒软件的注册表键值，同时删除雅虎助手的注册表
**************************
搜索局域网共享，利用暴力破解局域网用户密码方式试图传播自己，成功后将以GameSetup.exe的形式传播
调用Net.exe和Net1.exe删除admin$和IPC$共享
记录键盘，盗取QQ，记录信息会保存到C:\\test.txt（同时会记录成功连接的IP共享信息）中
**************************
感染EXE、SCR、PIF、COM文件，同时删除GHOST备份（*.gho）

方法一：尼姆亚（Worm.Nimaya）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件传播，依赖系统：WIN 9X/NT/2000/XP。

该病毒采用熊猫头像作为图标，诱使用户运行。病毒运行后，会自动查找Windows格式的EXE可执行文件，并进行感染。由于该病毒编写存在问题，用户的一些软件可能会被其损坏，无法运行。针对该病毒，瑞星已经紧急升级。同时，瑞星向社会发布免费的专杀工具，没有安装杀毒软件的用户可以登录http://it.rising.com.cn/Channels ... 3505486d38734.shtml下载后查杀。

方法二：修改注册表

Dd11.exe大小为30,465字节，FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。
病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会立刻进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除：
1、打开任务管理器，结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表，或者跳过这一步，不是特别重要。
5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除Dd11.exe大小为30,465字节，FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。
病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会立刻进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除：
1、打开任务管理器，结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表，或者跳过这一步，不是特别重要。
5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除00000000到00007700的代码段，在文件末尾删除“WhBoyD.exe.exe.714241.”的代码段保存即可恢复原貌。00000000到00007700的代码段，在文件末尾删除“WhBoyD.exe.exe.714241.”的代码段保存即可恢复原貌

作者: 零点十分 时间: 2006-12-10 14:22

尼姆雅（熊猫烧香）

作者: lhf008777 时间: 2006-12-11 09:53

巨恶的病毒啊，大家一定要小心啊！

作者: 神の一辉 时间: 2006-12-25 14:10

偶的电脑就中了熊猫病毒的改版,,,GHOST也不见了,,杀毒软件根本用不了,,,只能清洗硬盘,,哎~~~~也好,现在再下个软件,再清除干净!

作者: 碧草青青 时间: 2006-12-26 11:21

巨恶的病毒啊，大家一定要小心啊

作者: 追风竹影 时间: 2006-12-31 13:17

可恶的坏旦!逮住毙了!

作者: 开心男孩 时间: 2007-1-8 22:47

问一下,中招后再把他杀掉,是否会有后遗症

作者: fangbin412711 时间: 2007-5-19 12:53

谢谢了，我先下了再说！

欢迎光临 IT家园 (http://bbs.it998.com/)