“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare-> C:\WINDOWS\System32\Drivers\spoclsv.exe
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare-> C:\WINDOWS\System32\Drivers\spoclsv.exe
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue-> 0x00
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
昨晚电脑不幸中了毒,症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件,
c:\windows\system32\drivers里面有个spoclsv.exe文件。用delete删掉了过两三秒又自动生成。用
ctrl+Alt+Del键打开资源管理器,刚打开就被关掉了,然后发现防火墙被关了,卡巴也打不开,想装木马清道夫也是刚启动就自动关闭了。上网查了下,这是个蠕虫病毒,会盗取帐号什么的,
据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
等一下在后面贴出来,这里只是介绍我的DOS操作的简单快速清除的方法:(爽,dos原来这么有用的。)
一、再任一个盘中,建立一个bat文件,内容如下:(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)
attrib-h-s-r d:\autorun.inf
attrib-h-s-r c:\autorun.inf
attrib-h-s-r e:\autorun.inf
attrib-h-s-r f:\autorun.inf
attrib-h-s-r g:\autorun.inf
attrib-h-s-r h:\autorun.inf
del C:\WINDOWS\system32\drivers\spoclsv.exe
运行dat文件后setup.exe,autorun.inf成功删掉。
但c:\windows\system32\drivers下的spoclsv.exe删不掉,估计是在运行当中,但直接在资源管理器关闭又行不通,管理器打不开阿。所以进行下一步,在dos下关闭再删除,下面是操作过程。丝毫没改动过的。
二、开始-〉运行->cmd->确定,打开cmd
Microsoft Windows XP [版本 5.1.2600]
(C)版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>d:
D:\>attrib-h-r-s autorun.inf
2006-12-01 01:06上午<DIR>##打印上传##
2004-11-15 00:15上午 159,744 IPMSG.exe
2006-09-10 00:31上午<DIR> Java
2006-12-01 01:06上午<DIR> STerm2549
2006-09-10 01:14上午<DIR> [MSDN.Library.2006年1月3CD版
2006-10-14 09:25上午<DIR>共享虚拟文件
2006-12-05 06:38上午<DIR>同声传译
2006-09-10 00:37上午<DIR>四大古文明
2006-09-10 00:32上午<DIR>广播剧&朗诵&珍藏
2006-09-10 00:36上午<DIR>散打教程-强烈推荐!!!!!!!
2006-12-26 10:45上午<DIR>日语学习
2006-12-26 10:45上午<DIR>软件
2006-09-10 00:33上午<DIR>韩语学习
12个目录 5,631,897,600可用字节
D:\>attrib-h-r autorun.inf
未重设系统文件- D:\autorun.inf
D:\>attrib-h-r-s autorun.inf
Microsoft Windows XP [版本 5.1.2600]
(C)版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>d:
D:\>attirb-h-r-s autorun.inf
'attirb'不是内部或外部命令,也不是可运行的程序
D:\>attrib-h-r-s autorun.inf
2006-12-01 01:06上午<DIR>##打印上传##
2004-11-15 00:15上午 159,744 IPMSG.exe
2006-09-10 00:31上午<DIR> Java
2006-12-01 01:06上午<DIR> STerm2549
2006-09-10 01:14上午<DIR> [MSDN.Library.2006年1月3CD版
2006-10-14 09:25上午<DIR>共享虚拟文件
2006-12-05 06:38上午<DIR>同声传译
2006-09-10 00:37上午<DIR>四大古文明
2006-09-10 00:32上午<DIR>广播剧&朗诵&珍藏
2006-09-10 00:36上午<DIR>散打教程-强烈推荐!!!!!!!
2006-12-26 10:45上午<DIR>日语学习
2006-12-26 10:45上午<DIR>软件
2006-09-10 00:33上午<DIR>韩语学习
12个目录 5,631,897,600可用字节
D:\>attrib-h-r autorun.inf
未重设系统文件- D:\autorun.inf
D:\>attrib-h-r-s autorun.inf
D:\>tasklist/svc/////用来查看系统打开进程。显示图像名和 PID服务号,但copy不出来,sorry了。
D:\ntsd-c q-p 133440////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
由于我对命令记得不太清楚了才进行了这么多操作,其实只要这几步就行了:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator cd d:\//////////进入D盘杀安全点。
D:\>attrib-h-r-s autorun.inf
D:\>tasklist/svc/////用来查看系统打开进程。显示图像名和 PID服务号,但copy不出来,sorry了。
D:\ntsd-c q-p 133440////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
三、成功关闭spoclsv.exe,打开c:\windows\system32\drivers,delete删掉spoclsv.exe。呵呵,大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
以下摘录两条网上的解决方法,不过好像很烦的样子。大家参考下:
---------------------------------------------------
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00(55808),(disk) 0xDA00(55808)
SHA1: F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
病毒名: Flooder.Win32.FloodBots.a.ex$
大小: 0xE800(59392),(disk) 0xE800(59392)
SHA1: B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6- 1.02/ 1.05- 1.24
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit
"C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病
毒,并将这两个文件属性设置为隐藏、只读、系统。
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE等程序。
Flooder.Win32.FloodBots.a.ex$:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。
------------------------------------------------------------------------------------------
熊猫烧香变种 spoclsv.exe解决方案
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:%System%\drivers\spoclsv.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde
"Checked&#118alue"=dword:00000000
shell\Auto\command=setup.exe
Network Associates Error Reporting Service
使用net share命令删除管理共享:
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\System Volume Information
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
2.结束病毒进程%System%\drivers\spoclsv.exe
3.删除病毒文件:%System%\drivers\spoclsv.exe
4.右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6.修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checked&#118alue"=dword:00000001
8.使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中文名称:熊猫烧香(武汉男生)病毒类型:蠕虫影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程
C:\WINDOWS\System32\Drivers\spoclsv.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare-> C:\WINDOWS\System32\Drivers\spoclsv.exe
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
并使用的键盘映射的方法关闭安全软件IceSword
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare-> C:\WINDOWS\System32\Drivers\spoclsv.exe
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Network Associates Error Reporting Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
InstallShield Installation Information
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
专杀工具下载地址
电脑上剪视频在哪找素材 去哪里学剪辑视频
一、做视频剪辑从哪找素材在哪里可以找到短视频素材?几个素材查找网站告诉您。在这个信息快速发展的时代,怎么去寻找高质量的短视频素材是每个自媒体人的必修课。今天我给小伙帮们介绍几个个提供无水印的优质素材的网站,为你提供无限创意可能:-蛙学府拥有丰富的短视频素材库,包含高清、(145 )人阅读时间:2024-08-07
电脑上删除静态路由 查看静态路由
一、如何查看,添加,修改,删除电脑内部路由如何在windows添加、删除和修改静态路由,可以使用CMD命令、也可以在Router里设置Routeadd60.232.142.40mask255.255.255.248192.168.100.250metric3if2添加一条路由记录,所有到60.232.142.40/29网段的(189 )人阅读时间:2024-08-07
更换电脑无法上内网 电脑内网外网怎么切换
一、电脑为什么上不了内网电脑无法上内网的原因可能有多种,以下是一些常见的可能原因:1.网络设置问题:电脑的网络设置可能有问题,比如IP地址被设置错误、网关设置错误等。调整网络设置可以解决这个问题。2.网络连接问题:电脑无法连接到内网可能是因为物理连接问题,比如网络线路故障、网卡故障等。检查网络连接,确保连接正常。3.防火墙或安全软件问题:电脑上的防火墙或安全软件可能设置过于(140 )人阅读时间:2024-08-07
怎样录电脑上的网课课件 电脑怎么录课
一、听网课的时候,电脑上显示录制中具体操作如下:1、按下win+G即可开启自带的录制工具,点击最右侧的齿轮按钮。2、点击上方的快捷方式,在下面可以看到开始或停止录制(Win+Alt+R),在此项目的下一行是自定义快捷键。停止状态下按下即可开启录制,录制状态下即可停止录制。3、停止录制后就会自动退出,不会在屏幕上显示,但是后台进程不会立即(186 )人阅读时间:2024-08-07
