任务管理器消失 arcldr desktop_.ini 疯了。。。
移动硬盘在机房用了一下拿回来重装系统,结果把我机器整挂了,每个文件
夹下都复制一个desktop_.ini,内容是当前系统时间,C盘出现了arcldr和
arcsetup两个文件,倒是可以删除,但desktop_.ini会自动生成,刚一开始
发现移动硬盘目录下有autorun,熊猫烧香图标,去网上找了个专杀,程序运
行就当掉,再一看任务管理器挂了,regedit挂了,winprocess挂了,能搞丫
的都他妈的挂了(2kpro没msconfig,估计有也得挂)。把移动硬盘拿去同事
那里杀度,最新的瑞星2007,杀出来一堆html文件的病毒,desktop_.ini一
个都没删,庆幸他的机器还没事儿。系统分区都删了全格,刚装完还没事儿
,移动硬盘一插又over了(瑞星在里面,不插不行啊)我都快疯了,没见过
这么nb的病毒还,专干能搞丫的,QQ能装,TTPlayer能装,就瑞星和优化大师不能装,最不可思议的是我刚才在这里发贴子,在问题栏里输入“
任务管理器“直接IE挂掉。。。逼的我现在在记事本里敲,妈的犯了人品了
。。要不是分不够了等级太低真想给200,谁告诉我到底这是什么玩意儿阿,
不要是病毒,是木马,装个什么什么插件的,哪儿有专杀拜托了,能搞定的
话实在不行我硬盘低格都行,疯了。。。
[解决办法]
试试kaka助手
[解决办法]
瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html
江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html
金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html
熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
http://zhidao.baidu.com/question/17570678.html
[解决办法]
重装完了后不要急着把移动系列的东西插上
要先装好应用程序,打好补丁,从网上下个杀毒,升级到最新版本,才插外设硬盘的
而且打开移动设备一定要点右键,然后选择打开,打开之前查毒忘说了。。
把你要的烤出来,不要全盘拷
以上是常识,养成习惯哦
[解决办法]
打开CMD 找到C盘下的AUTORUN文件 删除 再查看是否有FUN的文件,一起删除
