广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3459 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
小依萍
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x15 鲜花 x61
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] "熊猫烧香"病毒的中毒征兆 破坏层面 解决办法
  熊猫烧香不但可以对用户系统进行破坏,导致大量应用软体无法使用,而且还可删除副档名为gho的所有档,造成用户的系统备份档案丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软体进程,大大降低用户系统的安全性。

  木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征:  

  1、在任务管理器里有spoclsv.exe档进程

  2、在每个硬碟的根目录下面生成以上的setup.exe和autorun.inf两个档,当用户打开电脑的任意一个硬碟,即执行该木马病毒。  

  3、该木马会强制关闭用户打开的“任务管理器”。  

  4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程式(msconfig)”、IceSword等程式档。  

  5、该木马会强制关闭用户电脑上安装的防病毒及网路监控软体,其中包括Symantec的norton企业版。  

  6、该木马修改注册表档,在[HKEY_CURRENT_USERSoftware\MicrosoftWindows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]  

  "CheckedValue"=dword:00000000。  

  7、该木马会删除电脑默认的共用目录。  

  另外该木马还会删除并感染.com、.pif、.scr、.exe档,并生成一个以原档案名.exe.exe文件或.exe的烧香熊猫图示档,并会寻找并删除.gho备份档案。


[ 此文章被upside在2007-01-26 10:45重新编辑 ]

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富



献花 x1 回到顶端 [楼 主] From:台湾 | Posted:2007-01-26 09:05 |
小依萍
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x15 鲜花 x61
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

引述东森新闻 2007/01/22

最近大陆网路上出现一只电脑病毒,一旦遭到感染,所有电脑文件夹都会变成猫熊拿着三炷香拜拜的图案,所以也称做「猫熊烧香」病毒。可爱的猫熊摇身一变成了电脑病毒,看来没有威胁性,却会感染你电脑中的「.exe」文件,预估已经有上百万人受害。

最近不少大陆网友陆续发现自己电脑里的文件通通变成猫熊符号,圆嘟嘟的猫熊对着你烧香拜拜,看起来真的是超卡哇伊,不过电脑里只要出现这只猫熊,那就表示你中毒了。

电脑病毒中心发出的警告,这是一只感染型的电脑蠕虫,能在WIN9X/NT/2000/XP/2003等系统上运行,不但会破坏用户系统,还会造成文件遗失,甚至会散播恶意程式,瘫痪整个网路系统。

据估计,「猫熊烧香」病毒正在以惊人的速度变种,从去年12月份开始,变种数量已经超过30种,受害网友达到百万人,同时专家预估,这一款病毒将在最近发作,下次看到这么可爱的猫熊可别急着下载,免得把病毒一起带回家。


献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2007-01-26 09:06 |
小依萍
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x15 鲜花 x61
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

  手动解决: 

  1、拔掉网线断开网路,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击档,新建任务,输入c:\WINDOWS\explorer.exe,确定。 
PS: 直接输入 explorer.exe 即可

  2、点击开始,运行,输入cmd按enter,输入以下命令:  

  del c:\setup.exe /f /q  

  del c:\autorun.inf /f /q 

上述两个木马档为唯读隐藏,会修改Windows属性,使用户无法通过设置档夹选项显示所有档及档夹的功能看到。  

  3、进入注册表,删除HKEY_CURRENT_USER\Software\MicrosoftWindows\CurrentVersion\Run下svcshare值。  

  4、删除C:\windows\system32\drivers\spoclsv.exe  

  5、修复或重新安装防病毒软体并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe


[ 此文章被upside在2007-01-26 10:30重新编辑 ]


献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2007-01-26 09:07 |
小依萍
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x15 鲜花 x61
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

熊猫烧香专杀工具 v1.6:http://raes.myweb.hinet.net/PandaKiller16.rar


献花 x0 回到顶端 [3 楼] From:台湾 | Posted:2007-01-26 09:08 |
leacks 手机
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x8 鲜花 x324
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:”熊猫烧香”病毒的中毒征兆 破坏层面 解决办法
是只要用 熊猫烧香专杀工具就好吗?
你写的?
为啥是批次但打不开?你包装过?

2楼,第一点.
是输入c:WINDOWSexplorer.exe
还是c:\WINDOWS\explorer.exe


献花 x1 回到顶端 [4 楼] From:台湾数位联合 | Posted:2007-01-26 09:55 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:Re:”熊猫烧香”病毒的中毒征兆 破坏层面 解决办法
下面是引用leacks于2007-01-26 09:55发表的 Re:”熊猫烧香”病毒的中毒征兆 破坏层面 解决办法:
为啥是批次但打不开?你包装过?

2楼,第一点.
是输入c:WINDOWSexplorer.exe
还是c:\WINDOWS\explorer.exe .......
代为回答

1. 因为该病毒会影响 .exe 档案 所以只是将副档名 改为 .bat
避开 无法执行的问题

2. 可能是因为复制的关系 有些网站 会把 \ 去除
楼主再复制的关系 没有注意到
小弟已代为修正
的确正确是输入 c:\WINDOWS\explorer.exe


爸爸 你一路好走
献花 x1 回到顶端 [5 楼] From:台湾 | Posted:2007-01-26 10:28 |
小依萍
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x15 鲜花 x61
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:Re:”熊猫烧香”病毒的中毒征兆 破坏层面 解决办法
下面是引用leacks于2007-01-26 09:55发表的 Re:”熊猫烧香”病毒的中毒征兆 破坏层面 解决办法:
是只要用 熊猫烧香专杀工具就好吗?
你写的?
为啥是批次但打不开?你包装过?

2楼,第一点.
.......
阁下的注意力好敏锐呀^^

原因是这样的,这篇文章我先在台湾论坛发过
输入的的确是正常形式
c:\WINDOWS\explorer.exe,但不知怎么的出来就只剩c:WINDOWSexplorer.exe
不只如此
正常格式为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare,出来也只剩HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
(斜线都不见了~"~)

然后我也没留意,就直接从台论复制走,贴上这里
如果您没提醒,我真的不知道斜线都不见了~"~

我本来以为是我漏掉,转回去台论要编辑
结果内容正常,出来一样是少斜线,囧rz.....=="

另外,多谢UP哥替我修改了...^^


献花 x0 回到顶端 [6 楼] From:台湾 | Posted:2007-01-26 13:00 |
oaa
个人头像
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x138 鲜花 x922
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

有关熊猫烧香的报导
http://news.sina.com.tw/tech/sinacn/...2738118431.shtml

http://news.sina.com.tw/tech/sinacn/...2438119115.shtml

只有一个心得~微软真的是漏洞百出


中国黑心商品比浊水溪的石头还多,比森林的树叶还繁密,可我反抗中国黑心商品的决心比奇莱山还要坚定!

献花 x0 回到顶端 [7 楼] From:台湾 | Posted:2007-01-27 11:38 |
leacks 手机
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x8 鲜花 x324
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:”熊猫烧香”病毒的中毒征兆 破坏层面 解决办法
所以微软才敢以不给更新当做给盗版用户的威胁!
不然大家怕啥!


献花 x0 回到顶端 [8 楼] From:台湾数位联合 | Posted:2007-01-30 07:57 |
小近 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x65
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我也有看到这篇文章 谢谢你的方法 表情


献花 x0 回到顶端 [9 楼] From:台湾台北市 | Posted:2007-02-06 01:34 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.057222 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言