投票
标题:熊猫烧香病毒nvscv32.exe变种手动清除方案
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-1-19 17:38 资料 短消息  加为好友 
熊猫烧香病毒nvscv32.exe变种手动清除方案

出处:PConline[ 2007-01-19 15:44:19 ]  作者:GonNa  

编者按:PConline提供了一种针对熊猫烧香病毒nvscv32.exe变种的查杀办法。据调查此变种于16日出现。笔者有幸于17日与“熊猫烧香病毒nvscv32.exe变种”亲密接触,并用以下方法将其清除。推荐使用第一种方法。

相关链接:

熊猫烧香病毒专杀及手动修复方案》——适合病毒进程为:spoclsv.exe和FuckJacks.exe的读者。此文的病毒进程为:nvscv32.exe

一、PConline提供的解决方案

  1.拔网线;

  2.重新进入WinXP安全模式,熊猫烧香病毒进程没有加载,可使用“任务管理器”!(提示:开机后按住F8)

  3.删除病毒文件:%SystemRoot%\system32\drivers\nvscv32.exe。

  4.开始菜单=>运行,运行msconfig命令。在“系统配置实用程序”中,取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置HijackThis等,删除nvscv32.exe的注册表启动项。



取消熊猫烧香病毒进程的启动

  5.下载并使用江民专杀工具,修复被感染的exe文件。并及时打上Windows补丁。

  6.清除html/asp/php等,所有网页文件中如下代码:(为防止传播代码有三处修改,请将“。”换为“.”)

  

  批量清除恶意代码的方法:

  可使用Dreamweaver的批量替换。



Dreamweaver批理替换的使用方法

  可下载使用BatchTextReplacer批量替换。

  部署了Symantec AntiVirus的企业,升级到最新病毒库扫描全盘文件,即可清除被添加的恶意代码和清除病毒文件。

  7.用安装杀毒软件,并升级病毒库,扫描整个硬盘,清除其他病毒文件。推荐PConline多次推荐的“免费卡巴斯基”——Active Virus Sheild。(xxxxxxxxxxxxx)(注:步骤7不能与步骤5调换,以免可修复的带毒文件被删除!

  8.删除每个盘根目录下的autorun.inf文件,利用搜索功能,将Desktop_.ini全部删除。

二、互联安全网提供的解决方法(后文的病毒描述、中毒现象和技术分析均来自互联安全网

  1:关闭网络共享,断开网络。

  2:使用IceSword结束掉nvscv32.exe进程(速度要快,抢在病毒感染IceSword前)

  3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

  Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1

  4:删除注册表启动项

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

  nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

  5:删除C:\WINDOWS\system32\drivers\nvscv32.exe

  6:删除每个盘根目录下的autorun.inf文件和setup.exe文件,利用搜索功能,将Desktop_.ini全部删除。

  7:如果电脑上有脚本文件,将病毒代码全部删除。

  8:关闭系统的自动播放功能。

  这样就基本上将病毒清除了。

三、病毒描述

  含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,并对局域网其他电脑进行扫描,同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。

  文件名称:nvscv32.exe

  病毒名称:目前各杀毒软件无法查杀(已经将病毒样本上报各杀毒厂商)

  中文名称:(尼姆亚,熊猫烧香)

  病毒大小:68,570 字节

  编写语言:Borland Delphi 6.0 - 7.0

  加壳方式:FSG 2.0 -> bart/xt

  发现时间:2007.1.16

  危害等级:高

四、中毒现象

  1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。

  2:无法手工修改“文件夹选项”将隐藏文件显示出来。

  3:在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:2007-1-16

  4:电脑上的所有脚本文件中加入以下代码:

  5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

  6:不能正常使用任务管理器,SREng.exe等工具。

  7:无故的向外发包,连接局域网中其他机器。

五、技术分析

  1:病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe

  建立注册表自启动项:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

  nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

  2:查找反病毒窗体病毒结束相关进程:

  天网防火墙

  virusscan

  symantec antivirus

  system safety monitor

  system repair engineer

  wrapped gift killer

  游戏木马检测大师

  超级巡警

  3:结束以下进程

  mcshield.exe

  vstskmgr.exe

  naprdmgr.exe

  updaterui.exe

  tbmon.exe

  scan32.exe

  ravmond.exe

  ccenter.exe

  ravtask.exe

  rav.exe

  ravmon.exe

  ravmond.exe

  ravstub.exe

  kvxp.kxp

  kvmonxp.kxp

  kvcenter.kxp

  kvsrvxp.exe

  kregex.exe

  uihost.exe

  trojdie.kxp

  frogagent.exe

  kvxp.kxp

  kvmonxp.kxp

  kvcenter.kxp

  kvsrvxp.exe

  kregex.exe

  uihost.exe

  trojdie.kxp

  frogagent.exe

  logo1_.exe

  logo_1.exe

  rundl132.exe

  taskmgr.exe

  msconfig.exe

  regedit.exe

  sreng.exe  

  4:禁用下列服务

  schedule

  sharedaccess

  rsccenter

  rsravmon

  rsccenter

  kvwsc

  kvsrvxp

  kvwsc

  kvsrvxp

  kavsvc

  avp

  avp

  kavsvc

  mcafeeframework

  mcshield

  mctaskmanager

  mcafeeframework

  mcshield

  mctaskmanager

  navapsvc

  wscsvc

  kpfwsvc

  sndsrvc

  ccproxy

  ccevtmgr

  ccsetmgr

  spbbcsvc

  symantec core lc

  npfmntor

  mskservice

  firesvc

  5:删除下列注册表项:

  software\microsoft\windows\currentversion\run\ravtask

  software\microsoft\windows\currentversion\run\kvmonxp

  software\microsoft\windows\currentversion\run\kav

  software\microsoft\windows\currentversion\run\kavpersonal50

  software\microsoft\windows\currentversion\run\mcafeeupdaterui

  software\microsoft\windows\currentversion\run\network associates error reporting service

  software\microsoft\windows\currentversion\run\shstatexe

  software\microsoft\windows\currentversion\run\ylive.exe

  software\microsoft\windows\currentversion\run\yassistse

  6:感染所有可执行文件,并将图标改成



(这次不是熊猫烧香那个图标了)

  7:跳过下列目录:

  windows

  winnt

  systemvolumeinformation

  recycled

  windowsnt

  windowsupdate

  windowsmediaplayer

  outlookexpress

  netmeeting

  commonfiles

  complusapplications

  commonfiles

  messenger

  installshieldinstallationinformation

  msn

  microsoftfrontpage

  moviemaker

  msngaminzone

  8:删除*.gho备份文件。

  9:在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。

  autorun.inf内容:

  [AutoRun]

  OPEN=setup.exe

  shellexecute=setup.exe

  shell\Auto\command=setup.exe

  10:删除共享:cmd.exe /c net share admin$ /del /y

  11:在机器上所有脚本文件中加入,此代码地址是一个利用MS-06014漏洞攻击的网页木马,一旦用户浏览中此病毒的服务器上的网页,如果系统没有打补丁,就会下载执行此病毒。

  12:扫描局域网机器,一旦发现漏洞,就迅速传播。

  13:在后台访问http://www。whboy。net/update/wormcn。txt,根据下载列表下载其他病毒。

  目前下载列表如下:(为防止病毒,将“.”改为了“。”)

  http://www。krvkr。com/down/cq.exe

  http://www。krvkr。com/down/mh.exe

  http://www。krvkr。com/down/my.exe

  http://www。krvkr。com/down/wl.exe

  http://www。krvkr。com/down/rx.exe

  http://www。krvkr。com/down/wow.exe

  http://www。krvkr。com/down/zt.exe

  http://www。krvkr。com/down/wm.exe

  http://www。krvkr。com/down/dj.exe

  http://www。krvkr。com/cn/iechajian.exe

  到此病毒行为分析完毕。

 顶部
vega
苍之风云
Rank: 4Rank: 4Rank: 4Rank: 4



UID 11839
精华 0
积分 689
帖子 212
狼毛 0 根
阅读权限 30
注册 2006-2-5
状态 离线
发表于 2007-1-20 23:20 资料 短消息  加为好友 
前几天中了。超级巡警的专杀杀这东西还是比较管用的
不过好像在我机器里保存的所有网页里面似乎有东西。一打开瑞星就提示~tmp5954.exe这个东西。不知道是什么。

[ 本帖最后由 vega 于 2007-1-20 11:44 PM 编辑 ]

 顶部
LaughWOLVES
蕴含的太阳
Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5
祷告世界的终结


UID 9049
精华 2
积分 2028
帖子 573
狼毛 100 根
阅读权限 50
注册 2005-11-16
来自 世界终结之庭院
状态 离线
发表于 2007-1-23 18:09 资料 短消息  加为好友 
“熊猫烧香”整体解决方案

作者:李铁军 来源:金山毒霸

“熊猫烧香”病毒无疑成了近期互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法,这些方法都显得不尽完美,再加上熊猫的变种很多,有效性就更加大打折扣了。金山毒霸反病毒专家为广大感染熊猫烧香的用户提供了一个相对完整的解决方案供大家参考。

病毒名:

中文:熊猫烧香病毒(又称武汉男生)

英文:Worm.WhBoy

目前发现的变种数已超过50个

典型表现:

感染病毒后发现较多的.EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

该系列变种会释放以下几个典型文件

分区根目录下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
spoclsv.exe

局域网环境下:GameSetup.exe

病毒行为:

1、删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件

2、终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。

3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。

4、弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播。

5、修改注册表键值,导致不能查看隐藏文件和系统文件。

6、除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。

QUOTE:
WINDOW,Winnt,System Volume Information,Recycled,
Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet
Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger,
InstallShield Installation Information,MSN,Microsoft Frontpage,
MovieMaker,MSN GaminZone

7、病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。

解决办法:

1、首选专杀工具

专杀工具是效能最好的方案,能处理已知变种,缺点是有新变种后,专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。

2、在线杀毒

因为熊猫烧香病毒的特殊性,杀毒软件本身可能会被感染,病毒还会尝试结束杀毒软件进程和服务,但病毒不感染IE浏览器,用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的,可以去shadu.duba.net试试。

3、重启系统到带网络连接的安全模式,升级杀毒软件后杀毒。可单击开始,运行,输入msconfig,打开系统配置实用程序,点击BOOT.INI标签,作如图修改,重启即可进入带网络连接的安全模式。



4、手工清除

因为熊猫烧香病毒是感染型的病毒,手工清除相当麻烦,网友公布的手工清除方案只能手工结束病毒进程,一段运行了感染过熊猫烧香病毒的程序,还会再中招。以下简单介绍手工结束病毒进程,修复注册表项的步骤:

a.断开网络,禁用网卡或拔掉网线就行;

b.结束病毒进程,因为任务管理器、IcdSword已无法运行,已感染病毒的机器上很难实现。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/
ProcessExplorer.mspx下载一个Process Explorer备用,郁闷的是光缆没修好,官网下载速度巨慢。可以百度一下,到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母,打印服务文件名为spoolsv.exe),就用这个工具结束掉。

c.在本地计算机上搜索并删除以下病毒执行文件:

分区根目录下:setup.exe、autorun.inf(这个本身不是病毒,但它的存在是为了双击磁盘自动调用病毒程序,建议删了吧)

QUOTE:
%System%\Fuckjacks.exe;%System%
\Drivers\spoclsv.exe

局域网环境下:GameSetup.exe
d. 开始-->运行—>输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项:

QUOTE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"

浏览到

QUOTE:
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]

,单击右键,点新建——Dword值——命名为CheckedValue(如果已经有,可以删除后重建),修改它的键值为1,为十六进制,按确定后,退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
e.修复或重新安装反病毒软件,以恢复被病毒删除的注册键值,恢复杀毒软件的功能。

f.最后,还是要更新反病毒软件全盘扫描,把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑,一定要保护好自己编辑的Web文档,保护好自己的Web服务器,如果发现网站上传文件带毒,应该及时删除,重新上传。

有关该病毒的预防,请参考www.xiongmaoshaoxiang.com上介绍的方法,或者看这里http://www.duba.net/zt/panda/ 。特别提示一下,今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能,对预防熊猫烧香病毒会起到遏制作用。





大自然说一,智慧从不说二.......$_^
 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-24 05:38
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.011590 second(s), 7 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP