防杀"熊猫烧香"蠕虫病毒全攻略(适合中高级用户使用) 作者:semir
自从2006年12月26日台湾地震光缆断了后病毒就开始泛滥,尤其是威金后的“熊猫烧香”.
中了该毒后请不要慌张,也不要急于怎么处理,应该报有平常心来对待,下面我来说下中了“熊猫烧香”后的症状:
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
尝试关闭窗口
QQKav、QQAV、天网防火墙进程、VirusScan、网镖杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、木馬清道夫、QQ病毒注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、小沈Q盗杀手、pjf(ustc)、IceSword
尝试关闭进程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服务
kavsvc、AVP、AVPkavsvc、McAfeeFramework、McShield、McTaskManager、McAfeeFramework 、
cShield、McTaskManager、navapsvc、KVWSC、KVSrvXP、KVWSC
KVSrvXP、Schedule、sharedaccess、RsCCenter、RsRavMon、RsCCenter、RsRavMon
wscsvc、KPfwSvc、SNDSrvc、无党派人士roxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec、
Core、 LC、NPFMntor、MskService、FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS、Winnt、System Volume Information、Recycled、Windows NT、Windows Update、
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、
ComPlus、Applications、Messenger、InstallShield Installation Information、MSN、
Microsoft Frontpage、Movie Maker、MSN Gamin Zone
删除.GHO文件 <-------注意这点
添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings\All Users\「开
始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\Profiles\All Users\Start
Menu\Programs\Startup
如图1
 此主题相关图片如下:
遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
此主题相关图片如下:
但不修改以下目录中的网页文件:
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone
知道了这些,我们就好办了
它不是删除 *.gho 文件嘛? 我们修改 *.gho 的后缀名,可以完全防止 *.gho 被删除,例如我在ghost创建的时候都是这样写的 20070125.gho ,直接在dos下修改
命令(*.gho目录中)
D:\>ren 20070125.gho 20070125.rar ,要恢复的时候在dos下或者在 Windows下修改回来即可
它不是隐藏显示文件属性嘛? 我们改过它来!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74, 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00, 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00, 00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
将这段复制,然后 开始-程序-附件-记事本,打开后粘贴上 [文件]-另存为(选择个目录),然后在[文件]这栏里输入 123.reg 保存成功后即可双击,双击后即可恢复显示隐藏属性
这样就可以删除每个盘符根目录下的autorun.inf、setup.exe (一定要显示隐藏文件)
%System%\FuckJacks.exe
C:\windows\system32\drivers\spoclsv.exe
Desktop_.ini ,由于每个盘符下的熊猫烧香尸体太多。无法一个一个删除,下面教大家一下。
开始 -运行-CMD
del C:\ Desktop_.ini /f/s/q/a
如果有更多可以创建一个批处理文件。
最后来恢复盘符,很多人中了熊猫烧香后必须右键-打开才行,下面教大家个技巧,不依赖软件
开始-运行-Services.msc 下禁用【自动播放】功能!
也可以:
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
使用KV2007可以完全防御“熊猫烧香”的侵害
您遇见下图中类似的提示时可别允许哦,此为演示故而选择了允许,禁止=病毒无法生效!
如图2
此主题相关图片如下:
如图3
此主题相关图片如下:
如图4
此主题相关图片如下:
如果还不放心http://download.jiangmin.info/jmsoft/VikingKiller.exe 下载“熊猫烧香专杀”查杀一次即可!
最后提醒用户。
不要随意打开陌生网站、不要随意接受陌生人的任何文件
要经常升级杀毒软件的病毒库、要给系统打上补丁、在使用任何USB接口的文件时一定要查杀后再使用、光盘也是一样要查杀、要经常关心下病毒的新变种情况,已防护自己的系统!
|
发表于 2007-1-30 14:37:50
发表于 2007-1-30 22:28:11
