您的位置:程序门 -> vb -> 非技术类



中了“熊猫烧香”.......


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


中了“熊猫烧香”.......[已结贴,结贴人:vbman2003]
发表于:2007-01-25 16:05:34 楼主
公司局域网前二天中了“熊猫烧香”,10分钟不到感染了6台机器,厉害啊
中了招清除有点难,虽然已经有了专杀工具.....
备份数据重装系统......这二天忙晕我了.......

放分200,提醒大家注意防范
发表于:2007-01-25 16:07:351楼 得分:13
国宝是不能杀的,要砍头的!
发表于:2007-01-25 16:12:562楼 得分:13
关闭全部的局域网   然后   拔掉网线   一台一台杀   有些专杀不好用
发表于:2007-01-25 16:21:553楼 得分:0
唉,国宝一但烧香,就令人痛恨了!
当第一台机器感染的时候以为就是一般的病毒,没太在意,等到多人在叫的时候,才知道厉害,连忙关闭了网络。
先用专杀工具杀,然后备份数据,重装系统,打上全部补丁,装上最新版本的杀毒软件,在dos下查杀备份数据的u盘,硬盘,最后才还原文件

累人啊,呵呵
发表于:2007-01-25 17:31:494楼 得分:0
查到了点资料:


臭名昭著的熊猫烧香俗称 "武汉男生 "

这是最近的51vc反汇编,很明显,他们之间脱离不了干系

以下是流氓软件51.vc的相关动作,与熊猫烧香的行为几乎如出一辙.
1.针对查杀熊猫最猛烈的超级巡警
2.同样的文件名(gamesetup.exe),这点很明显,感染熊猫的共享木马下必有这个文件,杀软报的也就这个
3.猜解字典一样
4.autorun模式一样  

每隔2秒改写一次主页:www.51.vc
每隔6秒关闭以下服务:
schedule
sharedaccess
rsccenter
rsravmon
kvwsc
kvsrvxp
kavsvc
avp
mcafeeframework
mcshield
mctaskmanager
删除以下注册表:
software/microsoft/windows/currentversion/run/ravtask
software/microsoft/windows/currentversion/run/kvmonxp
software/microsoft/windows/currentversion/run/kav
software/microsoft/windows/currentversion/run/kavpersonal50
software/microsoft/windows/currentversion/run/mcafeeupdaterui
software/microsoft/windows/currentversion/run/network   associates   error   reporting   service
software/microsoft/windows/currentversion/run/shstatexe
software/microsoft/windows/currentversion/run/ylive.exe(   :d)
software/microsoft/windows/currentversion/run/yassistse
停止并删除以下服务:
rsccenter
rsravmon
kvwsc
kvsrvxp
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symantec   core   lc
npfmntor
mskservice
firesvc
每隔20分钟弹出ie,地址:www.51.vc
创建线程,关闭以下窗口:
virusscan
nod32
系统配置实用程序
symantec   antivirus
windows   任务管理器
esteem   procs
system   safety   monitor
system   repair   engineer
wrapped   gift   killer
winsock   expert
游戏木马检测大师
超级巡警
pjf(ustc)
msctls_statusbar32
icesword
天网防火墙
进程
网镖
杀毒
毒霸
瑞星
木马清道夫
注册表编辑器
duba
卡巴斯基反病毒
绿鹰pc
木马辅助查找器
噬菌体
密码防盗
超级兔子
黄山ie
木馬清道夫
关闭以下程序:
mcshieid.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
使用以下弱密码探测共享并试图传自己为gamesetup.exe过去:
password
1234
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp
win
pc
asdf
qwer
yxcv
zxcv
home
xxx
owner
login
login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
administrator
guest
admin
root

把自己复制到:
/documents   and   settings/all   users/「开始」菜单/程序/启动/  
/documents   and   settings/all   users/start   menu/programs/startup/
/windows/start   menu/programs/startup/
/winnt/profiles/all   users/start   menu/programs/startup/
连接:
http://www.ac86.cn/88/down/up.txt   其中包括熊猫烧香
http://update.whboy.net/ie.txt   已无法访问
下载文件中的病毒程序

每隔8秒死循环访问如下网站:
tom.com
163.com
souhu.com
google.com
yahoo.com

每隔6秒向各盘根目录下释放如下文件
autorun.inf
内容:
[autorun]
open=setup.exe
shellEXECute=setup.exe
shell/auto/command=setup.exe
setup.exe(自己的安装exe)
发表于:2007-01-25 17:36:195楼 得分:13
一个可以自定义病毒文件的专杀工具...
欢迎定制各种工具
联系人:陈辉。 qq:285305530.(加时请说明)
联系电话:13983373773 没事请勿打扰..
不是诚心定制的请勿联系打扰。。。谢谢合作


由于部分精简版的系统对系统优化过多,导致运行本软件时出现run   time   error.目前无法解决
或是点击后无任何反应。目前无法解决。。。正在研究解决方法

可杀最新的熊猫烧香变种。威金。等一些最新的病毒。。可修复熊猫烧香病毒感染的exe文件。。。。

这个工具最大的好处
就是在遇到未知病毒而杀软还没能查杀的情况下可以自己解决了..

更多更详细的情况请大家访问我的博客或网站或qq群,有问题可以在这里跟贴也可以在我博客或网站或qq群留言!!
由于个人的力量有限没能加入更多的病毒样本,希望有病毒样本的朋友或是软件有那些地方要更正的请加
自定义病毒专杀意见反馈专用群
qq一号群:10353437 (已满)
qq二号群:18345820  
qq三号群:18409480

 最近写了不少专杀工具,效果都还不错。我是一个懒人前段时间本来就写了这个程序的v1。0但是有点问题,由于时间关系一直没得时间更新。但是今年病毒实在是太嚣张了,由于这些关系所以昨晚花了一个晚上的时间更新了“自定义病毒专杀工具”!这个工具的特点是可以让你自定义病毒特征!只要你描述的完整那么病毒就可以完全清除!!
关于使用方法我稍微说下。这个工具也是争对于懂电脑的技术员来使用的一般人员请不要使用。
这个工具的特点是扩展于灵活度只要大家能把病毒的特征搞清楚把病毒文件写齐就能清除病毒。我先把各个编辑功能块说一下。
1(进程模块编辑)一般病毒都有可能远程注入到其他系统常规进程中去做到无进程病毒
这个功能模块就可以让大家清除这些加载的dll并且删除它。功能大的是就算注入到系统进程比如winlogo。exe也一样可以正常清除此dll
2(病毒文件路径编辑)这个是对于一些常见病毒它有自己的路径。比如威金它的病毒路径是c:\windows(winnt)\_logo.exe。只要指明它的路径程序会自动清除此病毒文件
3(病毒文件名编辑)这个比较灵活些。指明病毒文件名加上大小和创建日期这样就可以清除此类病毒(也可以只指定文件名,比如清除威金留下的desktop_.ini等)
4(注册表编辑)因为病毒需要启动就需要在注册表中加载启动信息。这个功能可以让你清除病毒写入注册表的信息。但是需要注意的是有些病毒只是增加或者改写了注册表中的某个键值。你在“操作模式”上就不能删除了,因为有些注册表键值一但删除就会引起系统引导不了,这样你选择恢复在键值里输入原注册表路径即可
还特别值得一提的一但运行了本程序,程序会禁止你写入的病毒文件运行。
主页地址:http://www.chenhui530.com  
联盟论坛:http://bbs.mscode.cc
辉煌在线原创软件基地:http://www.cnnwm.com
提示
当遇到杀不到的病毒请按下面步骤添加病毒特征码进数据库中再次查杀即可。
打开程序电击“编辑”按钮,然后进入病毒编辑界面。然后选择“特征码”按钮然后浏览到病毒原文件或者是病毒感染过的文件,程序会自动识别添加该病毒的特征码。再次查杀即可杀死该病毒并且能修复感染的文件。需要注意的是添加病毒特征码的时候,一定得添加准确因为有可能能添加的就是一个正常文件。如果是这样的话那么只要和这个文件一样的文件都会删除。
v1.01
主要是更新了病毒识别能力。现在更方便了。你只需要点“编辑”选择“特征码”然后浏览到病毒原文件或者是病毒感染的文件。此后就可以查杀该病毒并且可以修复感染的文件。(目前我已经把大部分熊猫烧香病毒特征码添加进去了还添加了近期一些流行病毒特征码进去了,当遇到杀不到的就自己动手添加一下吧^_^)
v1.02
主要是优化了一下杀毒速度,已经更新了多重病毒的验证查杀(比如病毒捆绑病毒)

v1.03 
更新了杀毒引擎,可以支持多达90种pe感染的文件恢复。查杀精度更高更安全。可以说是一个大进步。
      加入了一个p处理,commandline.bat   可以根据自己的选择。选择盘符来杀毒,可以只单独对一个盘进行杀毒,也可以单独对u盘进行杀毒    
    直接修改p处理的盘符就可以了。。直接运行p处理就可以了就自动杀你,所指定的盘符。

v1.04   在这里的特别感谢   缘少,雲淡風清,等网友为本软件测试找到了很多问题
  制作成安装版。在程序上有了很大的改变,程序灵活度更大了。。增加了:  
1.恢复数据库功能。目的有2个
一个是数据库被删除了后可以使用恢复功能不需要去网站再次下载,另一个就是清空数据库的所有病毒特征码包括我们制作时加入的。。所以添加的时候要特别小心(提示:在制作病毒库时建议时常备份数据库文件“virus.chh”)  

2.恢复注册表关联  
此功能是当有其他程序破坏了本程序的快捷杀毒菜单。比如按右键在目录上可以直接启动程序查杀该目录等。

3增加了自定义目录。和对单个文件的专杀。还可以单独对u盘进行杀毒。

4.安装完成后在鼠标右键添加了 病毒专杀。。。
不光可以在主界面上选择杀毒位置,还支持以前的命令行格式。而且在主界面也可以以命令行的格式查杀多个目录或者分区。比如:(c:\;d:\123;e:\;h:\test)。在快捷菜单上可以直接选择文件选择“病毒专杀”即可检测此文件。对于目录分区也是一个道理。

v1.04(修正版)
修正了当在没添加任何数据的时候点“编辑”添加了病毒后马上扫描无效的bug

v1.05
修正当即刻添加不能查杀到刚添加的病毒的bug,增加了病毒特征码的编辑功能(添加,删除)。增加了自身文件校验功能。当程序被病毒感染后会自动识别并且恢复。

v1.05(修正版)
全面改写了杀毒引擎,速度比以前快多了,增加了一种病毒方式查杀。最新熊猫变种会自动随机更改病毒体的exe图标,争对此类病毒在特征码编辑里添加时请把“图标可变选上”。此外修改程序自身安全问题允许客户修改程序扩展名和文件名。标题随即加载防止一些软件终止进程程序退出后自动随机命名程序名称,有绿色和安装2种版本让大家选择。此外此版本还附带exe修复功能。当本工具在清除感染文件出错时(不能运行)或者是其他杀软清除出错时可以试下exe修复工具看看。
发表于:2007-01-25 17:36:416楼 得分:0
去我的网站下载即可
发表于:2007-01-25 17:41:117楼 得分:0
to   chenhui530(陈辉)  
那可要试试
用什么开发的?vb?
发表于:2007-01-25 17:42:428楼 得分:0
对头
发表于:2007-01-25 17:47:529楼 得分:0
牛啊!   呵呵
发表于:2007-01-25 17:48:1910楼 得分:0
呵呵一起学习
发表于:2007-01-25 18:55:3811楼 得分:13
牛~
发表于:2007-01-25 19:03:1612楼 得分:13
牛x
公司里暂时没有感染
发表于:2007-01-26 13:28:2313楼 得分:0
今天发现公司系统中招,原来是一个员工无意间用u盘带来的
唉,u盘原本好东西,现在却也是病毒传播的好工具!
发表于:2007-01-26 13:53:3014楼 得分:13
顶了
俺用正版瑞星,暂时没中!


═══════════════════
 天狼软件工作室
 免费的源码、工具网站,欢迎大家访问!
 http://www.egooglet.com/
 http://www.j2soft.cn/
═══════════════════
发表于:2007-01-26 14:17:3515楼 得分:13
完了。   我才中的。   上午跟一个好友聊天发过来我还觉得好看呢。
发表于:2007-01-26 14:41:2016楼 得分:13
使用以下弱密码探测共享并试图传自己为gamesetup.exe过去:
password
1234
6969
========================================================
用69做密码?
或许是这个人太色,或许是俺该去面壁
发表于:2007-01-26 14:50:2017楼 得分:0
中了它,要彻底清除比较难,最好重装系统

我们公司用的也是正版瑞星,不过是单机版的(老板小气不想花钱啊),升级都是通过下载一个升级包,然后我用vb写了个局域网中自动下载这个包升级的程序。
先中毒的那台机器,瑞星给病毒删除了,包括防火墙,资源管理器打不开,会自动关闭,msconfig打不开会自动关闭,甚至ghost做的镜像也给删除了,自我复制的非常快,一会就看到桌面上许多图标都成了“熊猫烧香”,其实好象有些技术也不不高明,不过处理起来还真晕
发表于:2007-01-26 15:07:5618楼 得分:12
我自己电脑装好系统就把ie从注册表中删除了~
感觉这样中毒几率减少很多
我现在看网页都用tt浏览器(据评测是最省内存的浏览器)
发表于:2007-01-26 15:09:0319楼 得分:0
大家可以下载我的软件去清除该病毒
发表于:2007-01-26 15:14:1420楼 得分:0
to   chenhui530(陈辉)
我下载了,rar包打不开,我是3.61版的winrar
发表于:2007-01-26 16:07:3121楼 得分:0
不是吧~~
怎么回事啊
应该不会吧
发表于:2007-01-26 22:23:5522楼 得分:12
瑞星有专门的杀毒程序
-----------------------------
亮剑工作室:www.ruogo.com
发表于:2007-01-27 23:59:4423楼 得分:12
接分。。


═══════════════════════
《visual   basic   6.0   完全自学手册》   新书出版
  详情请见网址:   www.mugua.net
═══════════════════════
发表于:2007-01-28 00:06:4824楼 得分:12
重装系统之后,在其它的盘里是自动运行的,要用右击打开其它盘,然后再杀


=======================================
程序员的性福家园
http://shop34183365.taobao.com/
=======================================
发表于:2007-01-28 09:04:5525楼 得分:0
重装系统之后,在其它的盘里是自动运行的,要用右击打开其它盘,然后再杀
--------------------------
是啊,我是备份数据后重新分区再装系统的

说清除难就是有时候用杀毒工具查杀后,不一定会彻底杀尽,你右键盘符,可能看不到那个“auto”命令了,可是用winrar打开分区根目录和系统文件夹,杀不干净时都依然会隐藏autorun.inf和setup.exe文件。所以用fdisk重新分区最好,只是工作量太大了
发表于:2007-01-28 10:46:2326楼 得分:12
up
发表于:2007-01-28 10:53:0827楼 得分:12
如何干掉“熊猫烧香”
如何干掉“熊猫烧香”
如何干掉“熊猫烧香”http://www.dbnotary.cn/bbs/showpost.asp?threadid=675
如何干掉“熊猫烧香”
如何干掉“熊猫烧香”
发表于:2007-01-28 12:20:4728楼 得分:12
顶起
发表于:2007-01-28 12:54:4729楼 得分:12
前几天用u盘突然发现里面有一只可爱的熊猫,是一个可执行文件,我开始一位是什么游戏,就点了它,没有任何反应,等到了资源管理器一看,天哪!满盘都是小熊猫!所有可执行文件图标都变成了熊猫!!
知道肯定大事不妙,上网一查,才知道是中了“熊猫烧香”,幸亏我的联想机用了专用的隐藏分区克隆技术,一健恢复轻松搞定(听说熊猫还会寻找并破坏gho克隆文件)


所以大家务必注意
1、见到熊猫赶快删掉,赶紧下个专杀   杀杀杀
2、定期备份数据,最好是异地备份

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击