我要把熊猫脖子给拧断！！！怒火中烧！

上面是还原精灵的还原内容，C盘更新的都是病毒自动更改的，下面是优化大师显示的开机启动项目````

熊猫是我见过最猛的病毒，差点就要全格了……

我还以为是熊猫EE;P

重装吧  多直接 少走好多弯路

;funk ;funk ;funk 又是熊猫。

嘿嘿，俺一看有熊猫头像直接就FORMAT ,根本就不去想它感染成什么样了:D

又是熊猫。

5楼的头像是星际的核蛋兵;P
熊猫凶猛...千万小心

可怕的熊猫

:L 我就是全盘格式化

原帖由 清风自在 于 2007-1-22 19:40 发表
:L 我就是全盘格式化

你还需要把毛剃光，你不光膀子还真打不过那只熊猫:D :D :D

原帖由 寂寞高手 于 2007-1-22 19:42 发表


你还需要把毛剃光，你不光膀子还真打不过那只熊猫:D :D :D

这病毒确实很猛，我都快哭了，我电脑里可是有很多数据啊:')

我是挂的硬盘才解决的！

怎么染的这病毒？　学名叫啥

原帖由 su-27smk 于 2007-1-22 20:06 发表
怎么染的这病毒？　学名叫啥

威金变种

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。




1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

我日，这么歹毒！！:o

原帖由 su-27smk 于 2007-1-22 20:21 发表
我日，这么歹毒！！:o

刺激吧，不中一回你会后悔一辈子啊:D :D :D :D

算了吧，赶快把值钱的资料刻录一遍:L

原帖由 清风自在 于 2007-1-22 19:47 发表

这病毒确实很猛，我都快哭了，我电脑里可是有很多数据啊:')

哦，武藤兰的资料片都看不成了，同情一下

本人最近也遭遇了病毒，结果，卡巴斯基把我整台电脑的exe文件都干掉了。

本人欲哭无泪。

见熊猫如见仇人~！！见一次砍一次！！~:@

你们都是咋染的呢;funk

装卡巴，装EWIDO，装天网防火墙，开机自启动不间断监控……
要是这样还中了，那就先全盘格式化，再反思一下自己的人品。

貌似天网防火墙很容易被穿掉，还是卡巴霸道，我喜欢！

:') 可怜啊,我也遭了

:$ 就是不杀，顽抗到底，还原回老的还原点