Board logo

标题: 熊猫烧香病毒泛滥成灾,提供最新国内主流专杀工具合集 [打印本页]
作者: 晨风鸟    时间: 2007-1-16 22:36     标题: 熊猫烧香病毒泛滥成灾,提供最新国内主流专杀工具合集

近曰,国内三大主流杀毒软件在其主页同时发布了熊猫烧香病毒泛滥成灾的消息。据不完全统计,截止到目前为止,国内感染“熊猫烧香”病毒的企业已接近千家,其中外企用户居多,个人用户更是不计其数。且多家IT门户网站被植'熊猫烧香' 百万网民将受威胁。为防止熊猫烧香病毒进一步扩大,快吧下载收集了国内最新的主流专杀工具(截止1月16曰),供中标的网友下载使用。
合集内含:金山毒霸出品的熊猫烧香专杀工具V3.6
     瑞星出品的熊猫烧香专杀工具V1.5.2.1
     江民出口的熊猫烧香专杀工具V3.0.7.112
     超级巡警熊猫烧香病毒专杀 V1.6正式版
     萧心乐园viking蠕虫最新解决方案套装(06.11.14)
作者: 晨风鸟    时间: 2007-1-16 22:38

一、熊猫烧香有几个变种?

到目前为止,从大体上分,目前主要有四大变种:

变种A:就是FuckJacks.exe进程,它隐藏的全路径是%System32%\FuckJacks.exe
   

变种B:就是spoclsv.exe进程,它隐藏的全路径是:%System32%\Drivers\spoclsv.exe

变种C:对抗杀毒软件及专杀工具,杀毒公司惨遭屠戮(驱逐舰因为其超强免疫功能,所以

免受其害)

变种D:最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会

在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下

载不同的后门的版本。



二、中毒症状

1,感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的文件

2,删除GHOST文件(.gho后缀),网吧和学校机房深受其害

3,禁用进程管理器,禁用注册表

4,拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该

盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统

5,修改注册表,加载自启动,并禁止显示隐藏文件

6,通过IPC$共享跨机传染,弱密码或空密码的文件服务器就要遭殃了

7、禁用杀毒工具运行



三、处理方法

1,结束病毒进程,如FuckJacks.exe,spoclsv.exe进程。但因为中毒后无法打开任务管理器,

所以必须通过第三方进程管理器来结束进程,建议使用 http://www.xdowns.com/soft/6/99/2006/Soft_28639.html
用此工具打开进程后,找到相关的进程,并将之结束。结束进程后,任务管理器和注册表就可

以打开了



2,修改注册表.

以下位置为注册表十三处启动项位置,去掉可疑启动项

HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load

HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit

HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once

HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services

HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services

HKCU-Software-Microsoft-Windows-Current-Version-RunOnce

HKLM-Software-Microsoft-Windows-Current-Version-RunOnce

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

HKCU-Software-Microsoft-Windows-CurrentVersion-Run

HKLM-Software-Microsoft-Windows-CurrentVersion-Run

修改以下位置,目的是可以显示隐藏文件,因为熊猫病毒不允许显示隐藏文件,所以我们要改

回来把ckeckedvalue的值由0改为1即可。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001



3,显示隐藏文件,我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹,去掉隐藏受保护的

操作系统文件前面的钩,找到病毒文件,%System32%\FuckJacks.exe或

%System32%\Drivers\spoclsv.exe或%System32%\twunk32.exe并将其删除,找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,,,,,(注意这些文件都

是隐藏文件,如果你没显示隐藏文件的话,那看不到)并在相关目录底下新一个同名的文件,并

设置为只读,如果是NTFS分区,则去掉其他所有的NTFS权限.



4,做完以上步骤后,重启电脑,熊猫烧香病毒原本就手工处理了,但本机被感染的文件还在,

在用杀毒软件全盘扫描前,千万不要执行本机的其他应用程序或.exe文件,切记,切记



四,预防方法

按以上方法处理完后,熊猫烧香病毒很有可能再来,怎么办?

1,首先给本机设一个复杂密码,如果有没特殊应用的话,可禁用本机共享,方法为禁用server服务

2,安装杀毒软件,并升级到最新,查杀全盘

3,更新全部操作系统补丁
工具名称:Worm.Nimaya (熊猫烧香)专用清除工具
软件版本:1.3.0.2
软件大小:370KB
应用平台:Windows
更新时间:2007-01-12
发布时间:2006-11-14
免费下载:本地下载 http://www.xdowns.com/soft/8/19/2006/Soft_34187.html
软件说明   “尼姆亚(Worm.Nimaya)”病毒:警惕程度,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。

-------------------------------------------------------------------------------------------------------------------

手工清除熊猫烧香图标病毒方法------批处理版

功能
结束病毒进程,删除病毒源文件;
恢复被病毒禁用的显示文件夹隐藏选项
删除每个根目录下的
setup.exe,autorun.exe文件
及病毒创建的注册表启动项;

[ 本帖最后由 晨风鸟 于 2007-1-16 22:47 编辑 ]
作者: wwjw    时间: 2007-1-17 21:54

支持,虽然我没中标。
作者: 有点不爽    时间: 2007-1-18 10:11

已下载收藏,谢谢版主
作者: ba40416012    时间: 2007-1-19 22:39

下了看看
最近很紧张
作者: lfdjssz    时间: 2007-1-22 19:49

支持,虽然我没中标。
作者: syl1002    时间: 2007-1-30 22:09

这么好的楼主一定要顶,太谢谢了!
作者: laogou023    时间: 2007-2-3 23:58

支持~~~用了蛮好用的~`~````顶顶~~~~~````



欢迎光临 IT家园 (http://bbs.it998.com/) Powered by Discuz! 7.2