查看：2290     * 貼子主題：[原創(chuàng)]熊貓病毒

中了燒香的熊貓病毒，但是用正版的瑞星升級后也殺不死？！ 

當我想用ghost恢復(fù)系統(tǒng)的時候，我發(fā)現(xiàn)我的ghost的文檔全部備刪除掉了，難道這也是病毒給造成的嗎？ 

為什么正版的瑞星也無法擋住病毒的侵害和殺死這些病毒呢？�。。。�！

 最佳答案

建議您用卡巴6.0到安全模式下全盤殺毒 

關(guān)閉病毒進程 

Ctrl + Alt + Del 任務(wù)管理器，在進程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結(jié)束掉（我的電腦里出現(xiàn)的是SVCHOST）注意別搞錯了。 

二、顯示出被隱藏的系統(tǒng)文件 

運行——regedit 

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1 

這里要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0！我們將這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了） 

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。 

在文件夾——工具——文件夾選項中將系統(tǒng)文件和隱藏文件設(shè)置為顯示 

三、刪除病毒 

在分區(qū)盤上單擊鼠標右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件，將其刪除。 

四、刪除病毒的自動運行項 

打開注冊表運行——regedit 

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 

下找到 SoundMam 鍵值，可能有兩個，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的 

最后到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe 

重啟電腦后，發(fā)現(xiàn)殺毒軟件可以打開，分區(qū)盤雙擊可以打開了。

如何查Worn.QQ.TopFox.bv病毒(瑞星殺不死)

 懸賞分：0 - 提問時間2006-6-9 13:37

用瑞星來殺,重啟后還是不行

提問者：Jerry88Tan - 試用期 一級 

回答1：

推薦先用超級兔子清理系統(tǒng)垃圾以及流氓垃圾軟件 

超級兔子魔法設(shè)置 v7.6 正式版 

http://www.crsky.com/soft/2924.html 

Windows流氓軟件清理大師 2.3 

http://dl.pconline.com.cn/html_2/1/62/id=11111&pn=0.html 

然后推薦你用最強的殺木馬軟件Ewido進行全盤殺毒！卡巴不能解決的問題它都能解決,最好先用優(yōu)化軟件清楚系統(tǒng)垃圾! 

在安全模式下保證解決問題 

ewido3.5版官方下載地址： 

http://download.ewido.net/ewido-setup.exe 

注冊碼：6617-EBE8-D1FD-FEA2 

接著關(guān)掉自動更新，每次升級后得再次輸入注冊碼. 

安裝后先升級病毒庫,再運行殺毒! 

最好進入安全模式殺毒 

回答2：

這是木馬！ 

建議你去http://www.ewido.net/en/download/下載ewido3.5這個版本，這是中文版的！很好用，目前殺木馬它是最厲害的了！ 

注冊碼：7557-3204-8123-2239 

3841-1238-6819-5837 

1804-0830-7194-9935 

【CISRT2006081】熊貓燒香變種 spoclsv.exe 解決方案

檔案編號：CISRT2006081

病毒名稱：Worm.Win32.Delf.bf（Kaspersky）

病毒別名：Worm.Nimaya.d（瑞星）

      Win32.Trojan.QQRobber.nw.22835（毒霸）

病毒大小：22,886 字節(jié)

加殼方式：UPack

樣本MD5：9749216a37d57cf4b2e528c027252062

樣本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755

發(fā)現(xiàn)時間：2006.11

更新時間：2006.11

關(guān)聯(lián)病毒：

傳播方式：通過惡意網(wǎng)頁傳播，其它木馬下載，可通過局域網(wǎng)、移動存儲設(shè)備等傳播

技術(shù)分析

==========

又是“熊貓燒香”FuckJacks.exe的變種，和之前的變種一樣使用白底熊貓燒香圖標，病毒運行后復(fù)制自身到系統(tǒng)目錄下：

%System%\drivers\spoclsv.exe

創(chuàng)建啟動項：

[Copy to clipboard]

CODE:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改注冊表信息干擾“顯示所有文件和文件夾”設(shè)置：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

在各分區(qū)根目錄生成副本：

X:\setup.exe

X:\autorun.inf

autorun.inf內(nèi)容：

[Copy to clipboard]

CODE:

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

嘗試關(guān)閉下列窗口：

QQKav

QQAV

VirusScan

Symantec AntiVirus

Duba

Windows 

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

msctls_statusbar32

pjf(ustc)

IceSword

結(jié)束一些對頭的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服務(wù)：

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

刪除若干安全軟件啟動項信息：

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

YLive.exe

yassistse

使用net share命令刪除管理共享：

[Copy to clipboard]

CODE:

net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍歷目錄，感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件：

X:\WINDOWS

X:\Winnt

X:\System Volume Information

X:\Recycled

%ProgramFiles%\Windows NT

%ProgramFiles%\WindowsUpdate

%ProgramFiles%\Windows Media Player

%ProgramFiles%\Outlook Express

%ProgramFiles%\Internet Explorer

%ProgramFiles%\NetMeeting

%ProgramFiles%\Common Files

%ProgramFiles%\ComPlus Applications

%ProgramFiles%\Messenger

%ProgramFiles%\InstallShield Installation Information

%ProgramFiles%\MSN

%ProgramFiles%\Microsoft Frontpage

%ProgramFiles%\Movie Maker

%ProgramFiles%\MSN Gamin Zone

將自身捆綁在被感染文件前端，并在尾部添加標記信息：

QUOTE:

.WhBoy{原文件名}.exe.{原文件大小}.

與之前變種不同的是，這個病毒體雖然是22886字節(jié)，但是捆綁在文件前段的只有22838字節(jié)，被感染文件運行后會出錯，而不會像之前變種那樣釋放出{原文件名}.exe的原始正常文件。

另外還發(fā)現(xiàn)病毒會覆蓋少量exe，刪除.gho文件。

病毒還嘗試使用弱密碼訪問局域網(wǎng)內(nèi)其它計算機：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test