中国顶呱呱口吃俱乐部 公益口吃矫正组织 联系电话:029--88729353

查看完整版本: 2007年1月!注意!熊猫烧香病毒!

失踪冥王星 2007-1-10 21:51

2007年1月!注意!熊猫烧香病毒!

[size=4][color=red]     金山毒霸全球反病毒监测中心消息:近日,一名为“熊猫烧香”(Worm.WhBoy.h)的蠕虫病毒正在利用互联网进行疯狂作案,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。[/color][/size][table][tr][td][size=4][color=red][img]http://publish.it168.com/2006/1226/images/249314.gif[/img][/color][/size][/td][/tr][/table][size=4][color=red]    据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。[/color][/size]
[size=4][color=red][/color][/size]
[size=4][color=red]    “今天早晨一打开[/color][/size][url=http://product.it168.com/files/0101search.shtml][size=4][color=red]电脑[/color][/size][/url][size=4][color=red],我就晕了,进入系统后,许多应用程序无法使用,重装软件后,不久又不能使用,更奇怪的是发现电脑中所有的.exe可执行文件全部变成小熊猫举着三根香的模样,而且系统运行异常缓慢,非常郁闷。”用户张先生气愤地说。如图:[/color][/size][table][tr][td][url=http://publish.it168.com/soft/showBigPic.asp?cDocid=20061226060001&picid=249315.jpg][size=4][color=red][img]http://publish.it168.com/2006/1226/images/249316.jpg[/img][/color][/size][/url][/td][/tr][tr][td][size=4][color=red]中毒了[/color][/size][/td][/tr][/table][size=4][color=red]    据此,金山毒霸反病毒专家分析指出,近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。[/color][/size]
[size=4][color=red]    根据“熊猫烧香”病毒的特点,金山毒霸反病毒中心及时进行了病毒库的更新,升级毒霸到2006.12.26的病毒库即可查杀。专家建议广大用户,不要登陆不良网站;及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑;同时上网时应采用“杀毒软件+[/color][/size][url=http://product.it168.com/files/0418search.shtml][size=4][color=red]防火墙[/color][/size][/url][size=4][color=red]”的立体防御体系。[/color][/size]
[size=4][color=#ff0000][/color][/size]
[size=4][color=sienna][quote]
[size=4][color=sienna]熊猫烧香,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。[/color][/size]
[/quote][/color][/size]

[[i] 本帖最后由 失踪冥王星 于 2007-1-10 21:57 编辑 [/i]]

失踪冥王星 2007-1-10 21:56

熊猫烧香专杀下载!

[size=4][color=red][/color][/size]
[url=http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT][size=4][color=red]下载一[/color][/size][/url][size=4][color=red] [/color][/size][url=http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT][size=4][color=red]下载二[/color][/size][/url][size=4][color=red] [/color][/size][url=http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT][size=4][color=red]下载三[/color][/size][/url][size=4][color=red] [/color][/size][url=http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT][size=4][color=red]下载四[/color][/size][/url]
[size=4][color=red][/color][/size]
[size=4][color=red]如果还是无法杀除,请到网上搜索最新的专杀工具!![/color][/size]
[size=4][color=red][/color][/size]
[size=4][color=red]网络安全,请注意下载补丁![/color][/size]
[size=4][color=red][/color][/size]
[size=4][color=red][/color][/size]

失踪冥王星 2007-1-10 22:03

下面是手动查杀办法!
[quote]于变种"熊猫烧香"病毒最新解决办法(包括XP,2000系统下的。还有预一定程度防此病毒的方法)   


我是广西南宁的,要是哪家单位被病毒弄得鸡犬不宁的话,可以联系我,我帮你们处理。我的联系电话是07718025017。以上代码可以任意传播,但要是乱改代码。出事了可不关我的事啊。另外传播的时候,最好符上我的联系方式,这样更到的受害者能联系上我,多联系上一个,网络上的病毒就少一点。我也能多完善我的“杀毒软件”这样大家就不会受病毒之苦了。本人会做病毒,但我觉得没必要作,我更喜欢杀毒,至少杀毒不会被人骂,哈哈……。不说了。有困难联系我。

一、处理XP系统下的病毒

批处理代码如下,看起来有点罗嗦,但没办法,这些病毒就得让我罗嗦,而且有些地方可能有些网友不明白,因为求助的人太我,我现在暂时没时间解释。等你了解那病毒以后,你就会明白的。不会用的加我Q:53779213,也可入我的群:13021805或者发信:[email=huang10497301@163.com][color=#0000ff]huang10497301@163.com[/color][/email]另外,因为是赶制出来的,可能还存在漏洞,要是发现漏洞的网友记得提醒我一下啊。谢啦

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
taskkill /im devgt.exe /f
taskkill /im iexpl0re.EXE /f
taskkill /im SVCHQST.EXE /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im devgt.exe /f
taskkill /im spoolsv.exe /f
taskkill /im iedw.exe /f
taskkill /im svohost.exe /f
taskkill /im sxs.exe /f
taskkill /im qdoxjq.exe /f
rd /s /q C:\WINDOWS\system32\spool
cd  
c:
attrib qdoxjq.exe -a -h -s   
del /s /q /f qdoxjq.exe  
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.def     
attrib Desktop_.ini -a -h -s   
del /s /q /f Desktop_.ini   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
d:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
e:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
f:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
h:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
i:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
j:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
k:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
l:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
m:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe  
n:
attrib nvlib.def -a -h -s   
del /s /q /f nvlib.defe   
attrib iedw.exe -a -h -s   
del /s /q /f iedw.exe   
attrib setup.exe -a -h -s   
del /s /q /f setup.exe  
attrib autorun.inf -a -h -s  
del /s /q /f autorun.inf  
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s   
del /s /q /f rmincon.exe  
attrib a.bat -a -h -s   
del /s /q /f a.bat
attrib mh.exe -a -h -s   
del /s /q /f mh.exe  
attrib spoolsv.exe -a -h -s   
del /s /q /f spoolsv.exe   


echo 这是专门清除最近比较流行的“sxs.exe setup.exe(讨厌的烧香熊猫)”等病毒.若有问题,可以联系我.Q:53779213 群:13021805 E-mail:[email=HUANG10497301@163.COM][color=#0000ff]HUANG10497301@163.COM[/color][/email]@pause

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

运行完以后千万别重启。把以下项导入注册表才能完全清除。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"qdoxjq"=-
"ctfmon"=-
"svcshare"=-
"myZt3"=-
"myMh2"=-
"SVOHOST"=-
"sxs"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=-
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"Device"=""







+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2006年1月10日


二、2000系统下处理病毒的方法。


今天再次在2000系统下剖析了一下小猫,现在给大家一些信息,由于还没吃饭,而且手头还有很多工作,就不

罗嗦了。直接说明吧:
   
以后我都不打算发布自动处理的脚本了,给人鱼不如教人钓鱼。看不懂的网上问我,要不就直接问身边的高手

。要自己学会杀毒,不能总是依赖杀毒软件。还有一个原因,我实在太忙了,没办法,为生存奔波~


此病毒的核心进程是spoclsv.exe,它的位置是在 C:\WINNT\SYSTEM32\drivers,名称是spoclsv.exe,图标是可

爱的小猫猫~。属性为隐藏,只读,系统文件特性。其他的还有什么,AUTORUN.INI。GAMESETUP.EXE。

SETUP.EXE。EXE的都是小猫猫图标,都是隐藏,只读属性。还有很多乱七八糟的进程,都是些什么盗号木马之

类的(如果你连上网,病毒会自动下载运行)。有些人可能很疑惑我在公布的批处理里为什么把IE的进程也结

束了(刚开始还会把IE删了),现在就解释一下吧,这个病毒在你的IEXPLORE.EXE做了手脚,不处理它你应该

知道结果的。最好是删了IEXPLORE.EXE,然后再从正常的系统考一个过来放到原来的位置就行了,XP或2000都

通用的。
查看进程的方法有很多种,用工具,到百度上搜索“进程管理”工具,很多的,越是不出名的越好,因为出名

的都被小猫禁用了。有条件的可以自己写个软件,我就是自己写了一个,专为小猫写的,但我不打算发布,要

不让小猫的主人知道了,他把我的禁用了我就得白打工了。如果不可以直接杀掉那个进程,就看好进程的PID.

然后: 开始-运行-CMD 输入:ntsd -c q -p 病毒的PID。
对付方法,结束SPOCLSV.EXE进程,一切正常。任务管理器,注册表,管理……。接下来知道怎么收拾它了吧


任务管理器打不开就用工具,用批处理。大家杀毒的时候要灵活点,EXE处理不了的,就用BAT,BAT解决不了

的就用HTML,方法多的是。不要总盯着EXE的,要会灵活运用,转换战略角度,让病毒防不胜防。

以后我不打算做成自动的批处理了,给人鱼不如教人钓鱼。想学分析病毒的方法到我群里,主群已经满了(没

钱做高级群,郁闷~~),刚开了个分群:16789738。或者直接加我Q:53779213。

邮箱:[email=huang10497301@163.com][color=#0000ff]huang10497301@163.com[/color][/email]我建议除了以下进程外,其他的全杀了.
================================================================================================
      在Windows 2000 中,系统包含以下缺省进程:

      Csrss.exe

      Explorer.exe

      Internat.exe

      Lsass.exe

      Mstask.exe

      Smss.exe

      Spoolsv.exe

      Svchost.exe

      Services.exe

      System

      System Idle Process

      Taskmgr.exe

      Winlogon.exe

      Winmgmt.exe
================================================================================================
    对了,到这里顺便说一些我的杀毒风格:宁可错杀百人,不可漏网一个。呵呵,用我的东西可得小心了。
然后把以下的批处理脚本复制到记事本,把后缀改为BAT(原来的是TXT)。双击就可以把可爱的小猫猫赶出你

的电脑了。呵呵,先别高兴,把它的窝一起扔出去再说:
把以下项导入注册表(复制所有以下英文,一个都不能漏。到记事本,改后缀为REG)
================================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SH

OWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"


[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=-
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"Device"=""
================================================================================================
等会再高兴,检查看这只死猫有没有拉屎在你电脑里面(有些有,有些没有)

方法:我的电脑—管理(右键)—服务。把那些没有注释的服务项都禁用,并且把它说指向的文件(猫屎,哈

哈~)删除。

大功告成!至于被小猫咬坏了的EXE文件,随便用个修复工具就可以搞定了,又很多都能用。或者手动修复文

件关联也能恢复。还有听说“超级巡警”,瑞星等大哥们的专杀也可以修复受损文件,我还没时间试。听大伙

说的,大家自己试咯,实在不行就联系我,我一步一步教,就是弄几个DLL,就搞定了。现在太饿了,下次再

写方法了。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

三、一定程度上预防的办法



另外很多人问我怎么防范小猫呢,以下方法可以适当防得了,希望有时间的战友做成补丁发布,我现在是没时

间了,我手头还有很多工作,没办法,我也得打工赚钱吃饭。如果等我做,那就等一个星期后了。(不知道要

有多少电脑被猫咬了)

第一,就是要关闭自己的默认共享。

首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

2、禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
把AutoShareServer(DWORD)的键值改为0000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

3、停止server服务

1)暂时停止server服务
net stop server /y (重新启动后server服务会重新开启)
2)永久关闭ipc:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用

第二,在注册表里禁止病毒进程运行
导入注册表:
================================================================================================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="spoclsv.exe"
"2"="qq2007.exe"
"3"="iexpl0re.EXE"
"4"="SVCHQST.EXE"
"5"="iedw.exe"
"6"="svohost.exe"
"7"="sxs.exe"
"8"="qdoxjq.exe"
================================================================================================
以此类推,大家可以自己加9,10,11,12,13……,反正你怀疑是病毒的就把它加上去就可以了。






这只猫并不可怕,大家要鼓起勇气,向它挑战。齐心合力,一定可以把它给灭了~。
对了,说点题外话,我们公司现在接了个大工程,今天就开工了。我肯定是跑不掉的(为了生存,无奈)。所

以我的时间非常紧迫,能用在杀毒上的时间少得可怜。除非是这个病毒串到我们公司负责网络我才有机会收拾

它。也就是说接下来的至少一个星期我都不会有很多时间上网(中午休息时间可以12:30-2:30),如果大家有问

题,就注意看好时间了。还有我只有一个头,两只手,多一点都没有了。不可能来得及回答所有人的问题,请

大家见谅。实在很急的话电话联系:0771-8025017

另外,我希望有更多杀毒战线上的战友……    QQ:53779213





不说了,中午吃饭时间就这样溜了,我是饿着肚子写的这篇文章的,可能存在漏洞,希望发现的战友提醒我

一下。
[/quote]

于臣 2007-1-11 13:08

苦啊!我就中了他呀!我现在机器上全是熊猫...
没有办法!你的贴子上的专杀不起作用!他好象也更新了!这个对他不起作用了!我一点下载会自动关闭的!现在我朋友在QQ上给我传了个新的!不知道好不好用!我有最新版本的正版卡巴斯基对他一点办法都没有!在安全模式下查不出来!正常启动WIN打不开杀毒软件,现在在网上正流行这只熊猫!我有好几个同学现在电脑已经没办法打开任何东西了!哇哈哈

忧心如焚 2007-1-11 14:18

太不幸了~

木林森 2007-1-11 22:05

[quote]原帖由 [i]于臣[/i] 于 2007-1-11 13:08 发表
苦啊!我就中了他呀!我现在机器上全是熊猫...
没有办法!你的贴子上的专杀不起作用!他好象也更新了!这个对他不起作用了!我一点下载会自动关闭的!现在我朋友在QQ上给我传了个新的!不知道好不好用!我有最新版本的正 ... [/quote]
在安全模式下查杀。。
把杀毒软件升级到最新

于臣 2007-1-11 22:41

根本杀不干净!我从新做系统了!所有东西全格了

木林森 2007-1-11 22:44

[quote]原帖由 [i]于臣[/i] 于 2007-1-11 22:41 发表
根本杀不干净!我从新做系统了!所有东西全格了 [/quote]

应该没有那么狠吧
我单位机子也中了
我处理的办法 基本上和那时候处理威金的办法差不多
先升级病毒库到最新
瑞星2007和江民都有bootscan杀毒
然后在bootscan里面杀毒 基本上能杀干净
然后重启机子 进安全模式下 全盘扫描!
然后在bootscan杀毒,
最后正常进入系统在杀。。。

反正就是重复的杀毒

基本上都能杀的干净!!

注意杀的时候,最好断开网络链接,或者拔掉网线。。。

还没有到把整个硬盘要格调的地步,那样的损失有多大啊!

于臣 2007-1-12 00:06

杀毒软件打不开没有办法升级!任务管理器也打不开!没办法关掉病毒进程!在安全模式下没有网络!也没办法升级

于臣 2007-1-12 00:10

后来我用了一个专啥熊猫的杀毒软件 因为他会屏蔽所有EXE文件  所以那个杀毒软件是一个屏保格式的文件 用那个就可以正常杀 虽然杀掉了但是杀毒软件依然打不开  我想删但是删不掉说程序正在运行中,我从起机也还不行!一气之下我就都格了!

木林森 2007-1-12 12:40

哦 原来如此 那你损失大了

木林森 2007-1-16 12:54

一早上单位机子终于全面中毒。。。
跑来跑去,杀了这个杀那个
最终还没有杀掉。。
下午在去试试。
到时候在给大家说说解决的办法!
页: [1]
查看完整版本: 2007年1月!注意!熊猫烧香病毒!