今天中镖了,最近一直很猖獗的熊猫烧香病毒(尼姆亚),继Logo1_.exe(VIKING病毒)肆虐之后,这个熊猫烧香病毒(尼姆亚)开始在网络蔓延了。它也是一个感染全盘EXE的虫子,这个东东的厉害之处,就是所有被感染的exe就彻底不能运行了,感染后的exe图标变成 一个熊猫烧香了3根香。。。内网传播速度极快!!以前是“熊猫烧香”FuckJacks.exe,现在是变种后的Spoclsv.exe,一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
(病毒程序)
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
(开机自动运行)
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
(以上操作使你无法查看所有隐藏的文件和文件夹,也就无法看到spoclsv.exe)
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
(直接删除是没用的,会再次出现)
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword (木马查杀软件感染)
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe (杀毒软件被感染)
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc (不能查看进程,不能查看注册表等,问题难点)
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
。。。。。。N多个。。。。。。
清除步骤
1. 断开网络
2. 重起机器。按F8进入安全模式,利用我以前的一篇文章
标题:恢复查看隐藏的文件和文件夹
地址:http://www.resume-cn.com/myblog/article.asp?id=160
来恢复查看隐藏的文件和文件夹的功能,也可以直接修改注册表文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
此步骤很重要负责你用杀毒软件或专杀也不回有任何效果,虽然瑞星等很多都可以查杀该病毒,但是病毒文件被隐藏后不能被查杀!所以有些朋友用软件查不到病毒。
上述步骤后删除病毒文件:
%System%\drivers\spoclsv.exe (半透明隐藏文件)
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件(特别注意只能"右键--打开"个分盘,而不能双击打开,因为病毒可以借助微软“自动播放”功能,在用户每次双击硬盘时即可自动启动运行。):
X:\setup.exe
X:\autorun.inf(此时删除后不会再出现)
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
7. 修复或重新安装反病毒软件(.exe应用文件已经被感染过)
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
至此,杀毒结束!我遇到的情况就是这样子,可能病毒有其他变种,请参考,谢谢!
推荐杀毒后,下载google firefox安全浏览器,以防止再次中毒!地址:
http://www.resume-cn.com/firefox.htm
金山:“武汉男生”(熊猫烧香)病毒专杀工具
http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
瑞星:熊猫烧香病毒专杀工具
http://download.rising.com.cn/zsgj/NimayaKiller.scr
超级巡警1.4
http://killer.9i3g.cn/download/Pandakiller.rar