有关熊猫烧香！

.Yer197 我中了熊猫烧香病毒变种，怎么解决？ 请高手帮忙

熊猫烧香病毒的防范:安装杀毒软件,打开实时防护. 有效的杀毒软件:卡巴斯基.江民瑞星杀毒软件.瑞星杀毒软件.金山毒霸. －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 熊猫烧香病毒中毒后症状与解决方案 （病毒样本中的1.exe） “熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标. 中毒后~~~~~~~~~ 尝试关闭下列窗口： QQKav QQAV VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword 结束以下进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 禁用杀毒软件服务及其它服务： Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 删除若干安全软件启动项信息： RavTask KvMonXP kav

KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse 使用net share命令删除管理共享： [Copy to clipboard]CODE: www.dngz.net net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y ----------------------------------- Then~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1.修改注册表信息中“显示所有文件和文件夹”设置,使你无法查看隐藏的文件和文件夹： [Copy to clipboard]CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] ＂CheckedValue＂=dword:00000000 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 2.在各分区根目录生成副本： X:\setup.exe X:\autorun.inf autorun.inf内容： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 修改注册表为如下键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\@ Value: String: ＂AutoRun＂ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\Auto\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\Auto\command\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\Auto\command\@ Value: String: ＂C:\setup.exe＂ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\@ Value: String: ＂自动播放(＆P)＂ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\command\ . HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\command\@ Value: String: ＂C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.exe＂ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\Extended Value: String: ＂＂ －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 3.病毒文件的创建: %windir%\system32下创建文件(如C:\Windows\system32): devgt.exe Size: 31,204字节,(v5.1.0.2600) qqhx.dat Size: 77,008字节, twunk32.exe Size: 24,576字节, uaoybx.dll Size: 45,136字节, uaoybx.exe Size: 77,008字节, windhcp.ocx Size: 41,984字节 %windir%\下创建文件(如C:\Windows): heixia.exe Size: 77,008字节 mh.exe Size: 31,310字节,(v5.1.0.2600) 其它位置: C:\windows\system32\drivers\spoclsv.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE(请与SVCHOST.EXE区别,o与0 的区别) 分区根目录生成隐藏文件setup.exe,autorun.inf －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 4.自启动项目及服务 自启动项目:SVCH0ST.EXE,spoclsv.exe,twunk32.exe,uaoybx.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myZt2 Value: String: ＂C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE＂ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare Value: String: ＂C:\windows\system32\drivers\spoclsv.exe＂ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\twin Value: String: ＂C:\windows\system32\twunk32.exe＂ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lhjsax Value: String: ＂C:\windows\system32\uaoybx.exe＂ 服务:注册病毒服务:Windows DHCP Service,描述为:为远程计算机注册并更新 IP 地址.服务的可执行文件路径为: C:\windows\system32\rundll32.exe windhcp.ocx,start . HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinDHCPsvc\Description Value: String: ＂为远程计算机注册并更新 IP 地址。＂ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinDHCPsvc\DisplayName Value: String: ＂Windows DHCP Service＂ 5.以上是病毒背地做的的事情,下面是我们将感受到的病毒威力. (1) 电脑运行缓慢,配置差的机器会出现死机\蓝屏等症状. (2) 任务管理器无法打开,窗口一闪即过,因此你无法使用任务管理器结束病毒进程 (3) 系统配置实用程序msconfig无法打开,窗口一闪即过.但,services.msc命令可用. (4) 你打开浏览器想从网上获取帮助,当文字包含金山毒霸\江民\瑞星\熊猫烧香等文字时,浏览器自动关闭. (5) cmd命令可能无法使用(本人实验过两次,一次可以用,一次是窗口一闪即过-.-). 如果cmd命令可用,请使用tasklist及taskkill命令查看及结束病毒进程.可以看到,当前系统进程包含uaoybx.exe,devgt.exe,spoclsv.exe,SVCH0ST.EXE病毒进程,使用taskkill -pid /f结束病毒进程.此时,任务管理器及msconfig可用. PS: 以上所有操作,在中毒后未重启的情况下实验通过./安全模式可能无法使用,进入的时候会直接蓝屏. (6) 使用杀毒软件及专杀工具查杀(见后面,记得断开网络).................. －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 6.其它的一些建议 (1).为爱机打补丁吧,Patch~~~~~~~~ (2).安装杀毒软件,及时升级病毒库,并打开实时防护.(应该是好的杀毒软件................) (3).中招后,部分朋友可能倾向于Ghost或格盘重装系统. 忠告:病毒会在其它驱动器根目录产生病毒文件,使得驱动器有＂自动播放＂选项.重装后,系统盘应该正常,但,一定不要那么急着双击其它盘,双击后,很有可能再次中毒,功亏一篑,这也是为什么有朋友说中此病毒后,格式化所有分区的原因了. (4)使用Win PE引导系统,手工把所有病毒文件删光光. －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 熊猫烧香专杀工具下载 金山毒霸熊猫烧香病毒专杀工具下载 江民熊猫烧香病毒专杀工具下载 瑞星熊猫烧香病毒专杀工具下载

dngz.net

超级巡警熊猫烧香病毒专杀工具下载

还是不知道具体怎么杀啊，我用了好多杀毒软件，至尽无效，现象也不想其中某写说的那样啊

昨天好像在某台机子上看到过..汗!得杀了~~

建议用瑞星２００７｀｀｀昨天让我解决了｀｀真的是很过瘾杀了近千的毒｀｀

这么多啊。近千的毒:L

是啊｀｀｀而且只是一个盘而已｀｀｀｀

这个到处都是，有没有个最终简便，来个彻底的方法

这里有说明的，可以看看其他发的贴子

现在的病毒越来越恐怖了.一不小心就中招了,头都大了

这个到处都是，有没有个最终简便，来个彻底的方法 想简单容易啊:lol 重新分区做系统...:lol

就有那么多人闲着没事搞这些东西出来

建议用瑞星２００７｀｀｀昨天让我解决了｀｀真的是很过瘾杀了近千的毒｀｀ 这病毒不是会阻碍瑞星吗？怎么能在带毒环境下使用？安装、使用瑞星？

WINRAR 很好用啊（可以看到隐藏的文件）　1.在桌面上新建一个 rar文件　2.打开它 按F4 选择盘符（c.d.e.f） “你看到了什么 ？对就是病毒文件 ”3把它们都删除了