查看: 3058|回复: 1
收起左侧

[江民] 江民熊猫专杀(07.1.30)

[复制链接]
wangjay1980
发表于 2007-1-30 14:37:50 | 显示全部楼层 |阅读模式
防杀"熊猫烧香"蠕虫病毒全攻略(适合中高级用户使用)     作者:semir

  自从2006年12月26日台湾地震光缆断了后病毒就开始泛滥,尤其是威金后的“熊猫烧香”.

    中了该毒后请不要慌张,也不要急于怎么处理,应该报有平常心来对待,下面我来说下中了“熊猫烧香”后的症状:

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe



删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y



创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
尝试关闭窗口
QQKav、QQAV、天网防火墙进程、VirusScan、网镖杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、木馬清道夫、QQ病毒注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、小沈Q盗杀手、pjf(ustc)、IceSword

尝试关闭进程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe




删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting

ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

禁用以下服务
kavsvc、AVP、AVPkavsvc、McAfeeFramework、McShield、McTaskManager、McAfeeFramework 、
cShield、McTaskManager、navapsvc、KVWSC、KVSrvXP、KVWSC
KVSrvXP、Schedule、sharedaccess、RsCCenter、RsRavMon、RsCCenter、RsRavMon
wscsvc、KPfwSvc、SNDSrvc、无党派人士roxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec、
Core、 LC、NPFMntor、MskService、FireSvc



搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS、Winnt、System Volume Information、Recycled、Windows NT、Windows Update、
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、
ComPlus、Applications、Messenger、InstallShield Installation Information、MSN、
Microsoft Frontpage、Movie Maker、MSN Gamin Zone




删除.GHO文件  <-------注意这点


添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings\All Users\「开



始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\Profiles\All Users\Start


Menu\Programs\Startup
如图1
此主题相关图片如下:




  遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:

此主题相关图片如下:



  但不修改以下目录中的网页文件:
  C:\WINDOWS
  C:\WINNT
  C:\system32
  C:\Documents and Settings
  C:\System Volume Information
  C:\Recycled
  Program Files\Windows NT
  Program Files\WindowsUpdate
  Program Files\Windows Media Player
  Program Files\Outlook Express
  Program Files\Internet Explorer
  Program Files\NetMeeting
  Program Files\Common Files
  Program Files\ComPlus Applications
  Program Files\Messenger
  Program Files\InstallShield Installation Information
  Program Files\MSN
  Program Files\Microsoft Frontpage
  Program Files\Movie Maker
  Program Files\MSN Gamin Zone

知道了这些,我们就好办了
它不是删除 *.gho 文件嘛? 我们修改 *.gho 的后缀名,可以完全防止 *.gho 被删除,例如我在ghost创建的时候都是这样写的 20070125.gho ,直接在dos下修改
命令(*.gho目录中)
D:\>ren 20070125.gho 20070125.rar ,要恢复的时候在dos下或者在 Windows下修改回来即可

它不是隐藏显示文件属性嘛? 我们改过它来!

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,  00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

将这段复制,然后 开始-程序-附件-记事本,打开后粘贴上 [文件]-另存为(选择个目录),然后在[文件]这栏里输入  123.reg 保存成功后即可双击,双击后即可恢复显示隐藏属性
这样就可以删除每个盘符根目录下的autorun.inf、setup.exe (一定要显示隐藏文件)
              %System%\FuckJacks.exe
C:\windows\system32\drivers\spoclsv.exe

Desktop_.ini ,由于每个盘符下的熊猫烧香尸体太多。无法一个一个删除,下面教大家一下。
开始 -运行-CMD
del C:\ Desktop_.ini /f/s/q/a
如果有更多可以创建一个批处理文件。
最后来恢复盘符,很多人中了熊猫烧香后必须右键-打开才行,下面教大家个技巧,不依赖软件
开始-运行-Services.msc 下禁用【自动播放】功能!
也可以:

   在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。

使用KV2007可以完全防御“熊猫烧香”的侵害
您遇见下图中类似的提示时可别允许哦,此为演示故而选择了允许,禁止=病毒无法生效!

如图2
此主题相关图片如下:

如图3
此主题相关图片如下:

如图4
此主题相关图片如下:


如果还不放心http://download.jiangmin.info/jmsoft/VikingKiller.exe 下载“熊猫烧香专杀”查杀一次即可!

最后提醒用户。
不要随意打开陌生网站、不要随意接受陌生人的任何文件
要经常升级杀毒软件的病毒库、要给系统打上补丁、在使用任何USB接口的文件时一定要查杀后再使用、光盘也是一样要查杀、要经常关心下病毒的新变种情况,已防护自己的系统!
qyb179
发表于 2007-1-30 22:28:11 | 显示全部楼层
江民的,估计也不怎么样
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 01:49 , Processed in 0.127354 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表