“熊猫烧香”假慈悲,关于手工清楚熊猫病毒及如何预防!

]“熊猫烧香”假慈悲,关于手工清楚熊猫病毒及如何预防! 以下资料均为网上搜索得到.未证实真实性,请大家慎重操作! 病毒简介 病毒名称：Worm.WhBoy.h 病毒中文名：熊猫烧香(武汉男生) 病毒类型：蠕虫 危险级别：★★ 影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 专杀工具:[url=http://down. www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT]金山专杀工具[/url] 安天专杀工具 江民专杀工具 病毒描述： “武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件 病毒运行后,会把自己拷贝到C:/WINDOWS/System32/Drivers/spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run svcshare -> C:/WINDOWS/System32/Drivers/spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序： QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run svcshare -> C:/WINDOWS/System32/Drivers/spoclsv.exe 并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL CheckedValue -> 0x00 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:删除文件 病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。 一、手工杀毒 1，拔掉网线。 2，结束进程   用杀进程工具杀掉进程F*U*Jacks.exe、setup.exe、spoclsv.exe(非打印文件服务名spooclsv.exe)有的话全部杀掉。由于windows任务管理器，和Icdsword被禁用最好使用其他杀进程工具或者键入CMD进dos后键入命令 ntsd -c q -p (以上三进程的pid)，进程pid可以在dos下键入命令tasklist查看。 3，删除文件   在本地计算机上搜索并删除以下病毒执行文件： 分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧） %System%/F*U*jacks.exe；%System%/Drivers/spoclsv.exe 4，删除修改注册表项。开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项： [HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] "F*U*Jacks"="%System%＼F*U*Jacks.exe [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run] "svohost"="%System%＼F*U*Jacks.exe" 浏览到［HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL］，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。 5，最后修复或重装杀毒软件据说最新的金山已经对熊猫病毒免疫了。也可以到 http://www.xiongmaoshaoxiang.com网站下载专杀工具继续查杀。 二、预防措施 由于熊猫病毒变种教多最好的措施是预防。 1，更改机器密码放弃使用弱口令密码，及空密码使用教复杂的字母数字结合密码。 2，打开组策略gpedit.msc，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。　 3，修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。 步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。　　 4，时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。　　 5，启用windows防火墙保护本地计算机　 三.批处理删除此病毒 以下是网上某位高手自写的批处理程序可把以下代码保存到一文本，再把后缀改为.bat（批处理程序）运行试下吧，我在自己干净的机器上试了下，它会把所有的setup.exe文件删除，建议在使用前把所有的安装文件备份。 taskkill /im spoclsv.exe /f taskkill /im spoolsv.exe /f taskkill /im devgt.exe /f taskkill /im iexpl0re.EXE /f taskkill /im SVCHQST.EXE /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im iexplore.exe /f taskkill /im devgt.exe /f taskkill /im spoolsv.exe /f taskkill /im iedw.exe /f taskkill /im svohost.exe /f taskkill /im sxs.exe /f rd /s /q C:/WINDOWS/system32/spool cd c: attrib nvlib.def -a -h -s del /s /q /f nvlib.defe attrib iedw.exe -a -h -s del /s /q /f iedw.exe attrib setup.exe -a -h -s del /s /q /f setup.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf attrib lccxga.exe -a -h -s del /s /q /f lccxga.exe attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib iexpl0re.EXE -a -h -s del /s /q /f iexpl0re.EXE attrib SVCHQST.EXE -a -h -s del /s /q /f SVCHQST.EXE attrib psinthk.dll -a -h -s del /s /q /f psinthk.dll attrib spoclsv.exe -a -h -s del /s /q /f spoclsv.exe attrib rmincon.exe -a -h -s del /s /q /f rmincon.exe attrib a.bat -a -h -s del /s /q /f a.bat attrib mh.exe -a -h -s del /s /q /f mh.exe attrib spoolsv.exe -a -h -s del /s /q /f spoolsv.exe D: attrib setup.exe -a -h -s del /s /q /f setup.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf attrib lccxga.exe -a -h -s del /s /q /f lccxga.exe attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib iexpl0re.EXE -a -h -s del /s /q /f iexpl0re.EXE attrib SVCHQST.EXE -a -h -s del /s /q /f SVCHQST.EXE attrib iexplore.exe -a -h -s del /s /q /f iexplore.exe attrib psinthk.dll -a -h -s del /s /q /f psinthk.dll attrib spoclsv.exe -a -h -s del /s /q /f spoclsv.exe attrib rmincon.exe -a -h -s del /s /q /f rmincon.exe attrib a.bat -a -h -s del /s /q /f a.bat attrib mh.exe -a -h -s del /s /q /f mh.exe E: attrib setup.exe -a -h -s del /s /q /f setup.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf attrib lccxga.exe -a -h -s del /s /q /f lccxga.exe attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib iexpl0re.EXE -a -h -s del /s /q /f iexpl0re.EXE attrib SVCHQST.EXE -a -h -s del /s /q /f SVCHQST.EXE attrib iexplore.exe -a -h -s del /s /q /f iexplore.exe attrib psinthk.dll -a -h -s del /s /q /f psinthk.dll attrib spoclsv.exe -a -h -s del /s /q /f spoclsv.exe attrib rmincon.exe -a -h -s del /s /q /f rmincon.exe attrib a.bat -a -h -s del /s /q /f a.bat attrib mh.exe -a -h -s del /s /q /f mh.exe F: attrib setup.exe -a -h -s del /s /q /f setup.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf attrib lccxga.exe -a -h -s del /s /q /f lccxga.exe attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib iexpl0re.EXE -a -h -s del /s /q /f iexpl0re.EXE attrib SVCHQST.EXE -a -h -s del /s /q /f SVCHQST.EXE attrib iexplore.exe -a -h -s del /s /q /f iexplore.exe attrib psinthk.dll -a -h -s del /s /q /f psinthk.dll attrib spoclsv.exe -a -h -s del /s /q /f spoclsv.exe attrib rmincon.exe -a -h -s del /s /q /f rmincon.exe attrib a.bat -a -h -s del /s /q /f a.bat attrib mh.exe -a -h -s del /s /q /f mh.exe G: attrib setup.exe -a -h -s del /s /q /f setup.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf attrib lccxga.exe -a -h -s del /s /q /f lccxga.exe attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib iexpl0re.EXE -a -h -s del /s /q /f iexpl0re.EXE attrib SVCHQST.EXE -a -h -s del /s /q /f SVCHQST.EXE attrib iexplore.exe -a -h -s del /s /q /f iexplore.exe attrib psinthk.dll -a -h -s del /s /q /f psinthk.dll attrib spoclsv.exe -a -h -s del /s /q /f spoclsv.exe attrib rmincon.exe -a -h -s del /s /q /f rmincon.exe attrib a.bat -a -h -s del /s /q /f a.bat attrib mh.exe -a -h -s del /s /q /f mh.exe 运行完以后千万别重启。把以下项导入注册表才能完全清除。 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL] "RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] "ctfmon.exe"=- "svcshare"=- "myZt3"=- "myMh2"=- "SVOHOST.exe"=- "sxs.exe"=- [HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows] "DebugOptions"="2048" "Documents"="" "DosPrint"="no" "load"=- "NetMessage"="no" "NullPort"="None" "Programs"="com exe bat pif cmd" "Device"=""