我电脑中什么毒了?各位救命啊!烦死了。
发布网友
发布时间:2023-01-30 11:54
共3个回答
热心网友
时间:2024-11-02 08:42
“尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在
问题,用户的一些软件可能会被其损坏,无法运行。
建议你去瑞星官网下个专杀工具:
http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
熊猫烧香病毒专杀及手动修复方案
http://www.pconline.com.cn/pce/soft/virus/safe/0701/942893.html
(二)处理方式
由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。针对该病毒,目前各反病毒企业的防病毒软件都能杀掉。同时,各反病毒企业也及时发布了免费的专杀工具。专杀工具仅针对被感染机器上的活体病毒,建议在登录系统后尽快使用专杀工具扫描,清理网页文件中包含木马病毒的信息。杀毒后建议使用最新版本的杀毒软件进行全盘扫描。
针对没有安装杀毒软件的用户江民公司也提供免费30天的KV2007下载版,用户只需登陆江民网站下载安装即可使用,下载地址:http://ec.jiangmin.com/active/index.htm。并且江民公司也为中毒的企业用户提供免费技术咨询和上门杀毒服务,开启两部技术支持热线:010-51626068 010-51626198。
瑞星公司也在第一时间发布针对该病毒的专杀工具,用户可以登陆瑞星网站(http://it.rising.com.cn/Channels/Service/index.shtml)免费下载使用。用户还可以通过瑞星在线专家门诊:http://help.rising.com.cn取得帮助。
专杀工具下载及其它相关链接
专杀工具下载:http://www.bjcert.cn/2j/yjxz/bdgj.jsp?softWareID=1369&sortID=14
江民科技狙击“熊猫烧香”病毒:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32078
多家网站被植“熊猫烧香”病毒,百万网民受威胁:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32342
揭秘“熊猫烧香”肆虐内幕 千余家企业网络遭攻击:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32236
一伪装成“熊猫烧香”的“威金”新变种正在传播:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=31986
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32238
“熊猫烧香”病毒是蠕虫作祟:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32406
熊猫烧香病毒攻击专业网站:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32345
最近猖獗的熊猫烧香病毒分析与解决方案:http://www.pconline.com.cn/pcjob/system/others/others/0701/942832_1.html
百度病毒排行榜:http://sha.baidu.com/sitenews/rank.jsp?id=171
“熊猫烧香”蠕虫病毒在徐州爆发:http://www.cnxz.com.cn/newscenter/xznews/msrx/2007/20070110116815.shtml
(三)超级巡警可以专杀
http://www.skycn.com/soft/29107.html
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
http://sha.baidu.com/sitenews/rank.jsp?id=171
(四)兄弟,恭喜你中了熊猫烧香病毒了,请下载专杀工具清理就OK了
http://sha.366down.net/chasha/xiongmaoshaoxiang.htm
文件名称:FuckJacks.exe
病毒名称:Trojan-PSW.Win32.QQRob.ec(卡巴斯基)
Win32/PSW.QQRob.EC(NOD32)
Worm.Nimaya.a(尼姆亚)(瑞星)
Worm/Viking.jd(江民)
中文名称:(尼姆亚)
病毒大小:30,465 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本CRC32:8be4ef19
发现时间:2006.11
危害等级:中
带毒文件运行后,将自身复制到%SystemRoot%\system32\FuckJacks.exe
建立注册表自启动项:
程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FuckJacks.exe=%System32%\FuckJacks.exe
(五)熊猫烧香是近期流传的一个相当厉害的病毒,属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死,只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的,按说杀毒软件应该已经升级解决了,但由于熊猫烧香的生命力惊人,经过这样长的一段时间仍然没有死绝。
解决方案
段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
现在小编提供一个手动清除此病毒的方法:
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件*策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
希望对你有帮助
热心网友
时间:2024-11-02 08:43
热心网友
时间:2024-11-02 08:43
重装吧~
