瑞星熊猫烧香专杀

ICXO首页

社区

您的位置： 世界经理人> 世界计算机 > 软件下载 > 安全相关

瑞星熊猫烧香专杀

《世界计算机》ICXO.COM ( 日期：2007-01-23 10:05)

　　　　src=hxxp://www.ctv163.com/wuhan/down.htm&ampnbspwidth=0&ampnbspheight=0&ampnbspframeborder=0&gt<br/> 　　
　　但不修改以下目录中的网页文件：
　　C:WINDOWS
　　C:WINNT
　　C:system32
　　C:Documents and Settings
　　C:System Volume Information
　　C:Recycled
　　Program FilesWindows NT
　　Program FilesWindowsUpdate
　　Program FilesWindows Media Player
　　Program FilesOutlook Express
　　Program FilesInternet Explorer
　　Program FilesNetMeeting
　　Program FilesCommon Files
　　Program FilesComPlus Applications
　　Program FilesMessenger
　　Program FilesInstallShield Installation Information
　　Program FilesMSN
　　Program FilesMicrosoft Frontpage
　　Program FilesMovie Maker
　　Program FilesMSN Gamin Zone
　　11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。
　　12.此外，病毒还会尝试删除GHO文件。
　　病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：
　　Password，harley，golf，pussy，mustang，shadow，fish，qwerty，baseball，letmein，ccc，admin，abc，pass，passwd，database，abcd，abc123，sybase，123qwe，server，computer，super，123asd，ihavenopass，godblessyou，enable，alpha，1234qwer，123abc，aaa，patrick，pat，administrator，root，sex，god，fuckyou，fuck，test，test123，temp，temp123，win，asdf，pwd，qwer，yxcv，zxcv，home，xxx，owner，login，Login，love，mypc，mypc123，admin123，mypass，mypass123，Administrator，Guest，admin，Root。
　　病毒文件内含有这些信息：
　　whboy
　　***武*汉*男*生*感*染*下*载*者***
　　解决方案：
　　1. 结束病毒进程：
　　%System%driversspoclsv.exe
　　不同的spoclsv.exe变种，此目录可不同。比如2006年12月爆发的变种目录是：　
　　C:WINDOWSSystem32Driversspoclsv.exe。但可用此方法清除。
　　注意：“%System%system32spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）
　　查看当前运行spoclsv.exe的路径，可使用超级兔子魔法和超级巡警查看病毒进程。
　　2. 删除病毒文件：
　　%System%driversspoclsv.exe
　　请注意区分病毒和系统文件。
　　3. 删除病毒启动项：
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
　　svcshare=%System%driversspoclsv.exe
　　4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
　　X:setup.exe
　　X:autorun.inf
　　5. 恢复被修改的“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
　　ExplorerAdvancedFolderHiddenSHOWALL]
　　CheckedValue=dword:00000001
　　6. 修复或重新安装被破坏的安全软件。
　　7.修复被感染的程序。可用专杀工具进行修复。如金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。
　　8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
　　三、熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe”
　　以下是数据安全实验室提供的信息与方法。
　　病毒描述：
　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
　　病毒基本情况：
　　[文件信息]