高分求救(病毒)
我的电脑每个盘下都有autorun.inf 和setup.exe
删除了重启还会有,
另外:打不开瑞星,打不开注册表,无法查看隐藏文件,
安全模式下也不行。
只要有病毒两个字的东西都不行。
[解决办法]
我遇到过,因为此病毒太霸道,所以我给它来狠的,直接把C盘格式化了,再重装系统,但是注意:不是一装完系统就没事了,装完系统后,你打开我的电脑,进入文件夹选项,显示所以文件和文件夹,把隐藏系统文件和文件夹的勾去掉,然后点开始-》运行-》浏览,此时会出来文件对话框,把文件类型选为 所有文件,再在此对话框里面依次进入各个盘,把里面的autorun.inf 和setup.exe删除。这样就搞定了。
注意:装完系统后,在上述工作没做之前切不可以任何常规方式进入各个分区盘,如双击,右键打开,CMD.
[解决办法]
单纯在DOS删除可不行,被感染的系统,注册表已经不干净,要手工删除的话,请确保已摸清当前病毒嵌入的进程,修改的注册表项,病毒的DLL,否则,清楚不够全面的话,下次启动,病毒又随系统加载了。。。对于每个分区根目录的autorun.inf和相关EXE文件,是病毒主要为了防止被清楚后用来再次激活运行的。
[解决办法]
还是重装吧
[解决办法]
好像叫飘雪病毒阿。
[解决办法]
注册┆登录┆发表文章
防范AutoRun.inf和setup.exe病毒文件的清除方法
2006-12-31 21:40:57
大中小
近段时间以来,局域网内病毒较多,对网络的正常运行造成重大影响。网内部分用户受到几种名为“熊猫烧香”病毒或威金病毒及其变种的攻击所致。该病毒发作时其症状表现为计算机运行较慢,用户上网速度极慢,甚至造成网络短时瘫痪,无法正常使用Word,Excel等办公软件,exe可执行文件无法运行等症状,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重的隐患。为此,用户及时更新病毒库和安装系统补丁,提高防范措施:
一、病毒症状:
“熊猫烧香”病毒:
会在磁盘根目录生成一个autorun.inf和一个setup.exe然后将它隐藏起来,会中止大部分杀毒软件的实时监控进程,接着感染exe文件,rar文件,并且生成一个名为Desktop_.ini的病毒文件,而且会删除硬盘内的GHOST文件。影响电脑的正常使用。
“威金”病毒:
感染所有的exe文件.开机自动运行,执行后会在系统生成病毒文件,并在注册表添加系统服务随系统启动,试图终止安全相关的(杀毒软件实时监控)程序,终止系统重要进程,注入自身到dll组件,全盘搜索.exe文件并注入自身到这些文件,无法清除使系统文件全部都感染病毒。在共享的打印机上不停的打印,内容为当天日期。感染应用程序,只要一使用到某个应用程序马上就会被感染,并且Logo1_.exe会变成此应用程序的图标。在局域网内部中传播相当快,能通过信使传播,被感染的机器很难清除干净。在某些电脑上的每一个文件夹还会有一个_desktop 的記事本文件,内容为当前日期。
二、病毒原理:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、和带病毒的邮件附件等方式进行传播。
三、查杀要点:
1.升级至最新的病毒库或下载最新的专杀工具;(可在ftp网络中心\专杀工具 文件夹内下载)
2.关闭相关网络共享资源或设置复杂的密码(用于清除病毒后防止再次感染);
3.杀毒时断开全部网络连接;
4.进入安全模式杀毒。
熊猫烧香变种 spoclsv.exe 解决方案2006-12-23 14:55当人们还沉浸在熊猫烧香病毒的苦恼中的时候,这个病毒又大肆变异,出现了大量熊猫烧香变种,这里分析一个熊猫烧香变种.原地址:http://www.cisrt.org/bbs/viewthread.php?tid=539&extra=page%3D1档案编号:CISRT2006081
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "
修改注册表信息干扰“显示所有文件和文件夹”设置:
[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[Copy to clipboard]CODE:[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
[Copy to clipboard]CODE:net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.
与之前熊猫烧香变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现熊猫烧香变种病毒会覆盖少量exe,删除.gho文件。
熊猫烧香变种还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
熊猫烧香变种清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
[解决办法]
熊猫发作时,也是这种情况。
难道是熊猫的变种?
[解决办法]
重新做系统算了,找问题太费时间了
