查看：2318     * 貼子主題：[原創(chuàng)]熊貓病毒

中了燒香的熊貓病毒，但是用正版的瑞星升級(jí)后也殺不死？！ 

當(dāng)我想用ghost恢復(fù)系統(tǒng)的時(shí)候，我發(fā)現(xiàn)我的ghost的文檔全部備刪除掉了，難道這也是病毒給造成的嗎？ 

為什么正版的瑞星也無(wú)法擋住病毒的侵害和殺死這些病毒呢？�。。。�！

 最佳答案

建議您用卡巴6.0到安全模式下全盤(pán)殺毒 

關(guān)閉病毒進(jìn)程 

Ctrl + Alt + Del 任務(wù)管理器，在進(jìn)程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個(gè)字母），有的話(huà)就將它結(jié)束掉（我的電腦里出現(xiàn)的是SVCHOST）注意別搞錯(cuò)了。 

二、顯示出被隱藏的系統(tǒng)文件 

運(yùn)行——regedit 

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1 

這里要注意，病毒會(huì)把本來(lái)有效的DWORD值CheckedValue刪除掉，新建了一個(gè)無(wú)效的字符串值CheckedValue，并且把鍵值改為0！我們將這個(gè)改為1是毫無(wú)作用的。（有部分病毒變種會(huì)直接把這個(gè)CheckedValue給刪掉，只需和下面一樣，自己再重新建一個(gè)就可以了） 

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。 

在文件夾——工具——文件夾選項(xiàng)中將系統(tǒng)文件和隱藏文件設(shè)置為顯示 

三、刪除病毒 

在分區(qū)盤(pán)上單擊鼠標(biāo)右鍵——打開(kāi)，看到每個(gè)盤(pán)跟目錄下有 autorun.inf 和 sxs.exe 兩個(gè)文件，將其刪除。 

四、刪除病毒的自動(dòng)運(yùn)行項(xiàng) 

打開(kāi)注冊(cè)表運(yùn)行——regedit 

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 

下找到 SoundMam 鍵值，可能有兩個(gè)，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的 

最后到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe 

重啟電腦后，發(fā)現(xiàn)殺毒軟件可以打開(kāi)，分區(qū)盤(pán)雙擊可以打開(kāi)了。

如何查Worn.QQ.TopFox.bv病毒(瑞星殺不死)

 懸賞分：0 - 提問(wèn)時(shí)間2006-6-9 13:37

用瑞星來(lái)殺,重啟后還是不行

提問(wèn)者：Jerry88Tan - 試用期 一級(jí) 

回答1：

推薦先用超級(jí)兔子清理系統(tǒng)垃圾以及流氓垃圾軟件 

超級(jí)兔子魔法設(shè)置 v7.6 正式版 

http://www.crsky.com/soft/2924.html 

Windows流氓軟件清理大師 2.3 

http://dl.pconline.com.cn/html_2/1/62/id=11111&pn=0.html 

然后推薦你用最強(qiáng)的殺木馬軟件Ewido進(jìn)行全盤(pán)殺毒！卡巴不能解決的問(wèn)題它都能解決,最好先用優(yōu)化軟件清楚系統(tǒng)垃圾! 

在安全模式下保證解決問(wèn)題 

ewido3.5版官方下載地址： 

http://download.ewido.net/ewido-setup.exe 

注冊(cè)碼：6617-EBE8-D1FD-FEA2 

接著關(guān)掉自動(dòng)更新，每次升級(jí)后得再次輸入注冊(cè)碼. 

安裝后先升級(jí)病毒庫(kù),再運(yùn)行殺毒! 

最好進(jìn)入安全模式殺毒 

回答2：

這是木馬！ 

建議你去http://www.ewido.net/en/download/下載ewido3.5這個(gè)版本，這是中文版的！很好用，目前殺木馬它是最厲害的了！ 

注冊(cè)碼：7557-3204-8123-2239 

3841-1238-6819-5837 

1804-0830-7194-9935 

【CISRT2006081】熊貓燒香變種 spoclsv.exe 解決方案

檔案編號(hào)：CISRT2006081

病毒名稱(chēng)：Worm.Win32.Delf.bf（Kaspersky）

病毒別名：Worm.Nimaya.d（瑞星）

      Win32.Trojan.QQRobber.nw.22835（毒霸）

病毒大�。�22,886 字節(jié)

加殼方式：UPack

樣本MD5：9749216a37d57cf4b2e528c027252062

樣本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755

發(fā)現(xiàn)時(shí)間：2006.11

更新時(shí)間：2006.11

關(guān)聯(lián)病毒：

傳播方式：通過(guò)惡意網(wǎng)頁(yè)傳播，其它木馬下載，可通過(guò)局域網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備等傳播

技術(shù)分析

==========

又是“熊貓燒香”FuckJacks.exe的變種，和之前的變種一樣使用白底熊貓燒香圖標(biāo)，病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下：

%System%\drivers\spoclsv.exe

創(chuàng)建啟動(dòng)項(xiàng)：

[Copy to clipboard]

CODE:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改注冊(cè)表信息干擾“顯示所有文件和文件夾”設(shè)置：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

在各分區(qū)根目錄生成副本：

X:\setup.exe

X:\autorun.inf

autorun.inf內(nèi)容：

[Copy to clipboard]

CODE:

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

嘗試關(guān)閉下列窗口：

QQKav

QQAV

VirusScan

Symantec AntiVirus

Duba

Windows 

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

msctls_statusbar32

pjf(ustc)

IceSword

結(jié)束一些對(duì)頭的進(jìn)程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服務(wù)：

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

刪除若干安全軟件啟動(dòng)項(xiàng)信息：

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

YLive.exe

yassistse

使用net share命令刪除管理共享：

[Copy to clipboard]

CODE:

net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍歷目錄，感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件：

X:\WINDOWS

X:\Winnt

X:\System Volume Information

X:\Recycled

%ProgramFiles%\Windows NT

%ProgramFiles%\WindowsUpdate

%ProgramFiles%\Windows Media Player

%ProgramFiles%\Outlook Express

%ProgramFiles%\Internet Explorer

%ProgramFiles%\NetMeeting

%ProgramFiles%\Common Files

%ProgramFiles%\ComPlus Applications

%ProgramFiles%\Messenger

%ProgramFiles%\InstallShield Installation Information

%ProgramFiles%\MSN

%ProgramFiles%\Microsoft Frontpage

%ProgramFiles%\Movie Maker

%ProgramFiles%\MSN Gamin Zone

將自身捆綁在被感染文件前端，并在尾部添加標(biāo)記信息：

QUOTE:

.WhBoy{原文件名}.exe.{原文件大小}.

與之前變種不同的是，這個(gè)病毒體雖然是22886字節(jié)，但是捆綁在文件前段的只有22838字節(jié)，被感染文件運(yùn)行后會(huì)出錯(cuò)，而不會(huì)像之前變種那樣釋放出{原文件名}.exe的原始正常文件。

另外還發(fā)現(xiàn)病毒會(huì)覆蓋少量exe，刪除.gho文件。

病毒還嘗試使用弱密碼訪(fǎng)問(wèn)局域網(wǎng)內(nèi)其它計(jì)算機(jī)：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test