您的位置:程序门 -> windows专区 -> 安全技术/病毒



任务管理器消失 arcldr desktop_.ini 疯了。。。


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


任务管理器消失 arcldr desktop_.ini 疯了。。。[已结贴,结贴人:lan_yanjing]
发表于:2007-01-01 00:05:34 楼主
移动硬盘在机房用了一下拿回来重装系统,结果把我机器整挂了,每个文件

夹下都复制一个desktop_.ini,内容是当前系统时间,c盘出现了arcldr和

arcsetup两个文件,倒是可以删除,但desktop_.ini会自动生成,刚一开始

发现移动硬盘目录下有autorun,熊猫烧香图标,去网上找了个专杀,程序运

行就当掉,再一看任务管理器挂了,regedit挂了,winprocess挂了,能搞丫

的都他妈的挂了(2kpro没msconfig,估计有也得挂)。把移动硬盘拿去同事

那里杀度,最新的瑞星2007,杀出来一堆html文件的病毒,desktop_.ini一

个都没删,庆幸他的机器还没事儿。系统分区都删了全格,刚装完还没事儿

,移动硬盘一插又over了(瑞星在里面,不插不行啊)我都快疯了,没见过

这么nb的病毒还,专干能搞丫的,qq能装,ttplayer能装,就瑞星和优化大师不能装,最不可思议的是我刚才在这里发贴子,在问题栏里输入“

任务管理器“直接ie挂掉。。。逼的我现在在记事本里敲,妈的犯了人品了

。。要不是分不够了等级太低真想给200,谁告诉我到底这是什么玩意儿阿,

不要是病毒,是木马,装个什么什么插件的,哪儿有专杀拜托了,能搞定的

话实在不行我硬盘低格都行,疯了。。。
发表于:2007-01-02 12:07:451楼 得分:10
试试kaka助手
发表于:2007-01-03 20:25:392楼 得分:40
瑞星熊猫烧香专杀工具  
http://www.p234.com/soft/cygj/200612/66.html  

江民熊猫烧香专杀工具  
http://www.p234.com/soft/rjxz/200612/68.html  

金山熊猫烧香专杀工具  
http://www.p234.com/soft/cygj/200612/67.html  

熊猫烧香病毒变种   spoclsv.exe   解决方案  
病毒大小:22,886   字节  
加壳方式:upack  
样本md5:9749216a37d57cf4b2e528c027252062  
样本sha1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755  
发现时间:2006.11  
更新时间:2006.11  
关联病毒:  
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播  


技术分析  
==========  

又是“熊猫烧香”fuckjacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:  
%system%\drivers\spoclsv.exe  

创建启动项:  
[hkey_current_user\software\microsoft\windows\currentversion\run]  
"svcshare "= "%system%\drivers\spoclsv.exe "  


修改注册表信息干扰“显示所有文件和文件夹”设置:  

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]  
"checkedvalue "=dword:00000000  


在各分区根目录生成副本:  
x:\setup.exe  
x:\autorun.inf  

autorun.inf内容:  
[autorun]  
open=setup.exe  
shellEXECute=setup.exe  
shell\auto\command=setup.exe  


尝试关闭下列窗口:  
qqkav  
qqav  
virusscan  
symantec   antivirus  
duba  
windows  
esteem   procs  
system   safety   monitor  
wrapped   gift   killer  
winsock   expert  
msctls_statusbar32  
pjf(ustc)  
icesword  

结束一些对头的进程:  
mcshield.exe  
vstskmgr.exe  
naprdmgr.exe  
updaterui.exe  
tbmon.exe  
scan32.exe  
ravmond.exe  
ccenter.exe  
ravtask.exe  
rav.exe  
ravmon.exe  
ravmond.exe  
ravstub.exe  
kvxp.kxp  
kvmonxp.kxp  
kvcenter.kxp  
kvsrvxp.exe  
kregex.exe  
uihost.exe  
trojdie.kxp  
frogagent.exe  
logo1_.exe  
logo_1.exe  
rundl132.exe  

禁用一系列服务:  
schedule  
sharedaccess  
rsccenter  
rsravmon  
rsccenter  
rsravmon  
kvwsc  
kvsrvxp  
kavsvc  
avp  
mcafeeframework  
mcshield  
mctaskmanager  
navapsvc  
wscsvc  
kpfwsvc  
sndsrvc  
ccproxy  
ccevtmgr  
ccsetmgr  
spbbcsvc  
symantec   core   lc  
npfmntor  
mskservice  
firesvc  

删除若干安全软件启动项信息:  
ravtask  
kvmonxp  
kav  
kavpersonal50  
mcafeeupdaterui  
network   associates   error   reporting   service  
shstatexe  
ylive.exe  
yassistse  

使用net   share命令删除管理共享:  
net   share   x$   /del   /y  
net   share   admin$   /del   /y  
net   share   ipc$   /del   /y  


遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:  
x:\windows  
x:\winnt  
x:\system   volume   information  
x:\recycled  
%programfiles%\windows   nt  
%programfiles%\windowsupdate  
%programfiles%\windows   media   player  
%programfiles%\outlook   express  
%programfiles%\internet   explorer  
%programfiles%\netmeeting  
%programfiles%\common   files  
%programfiles%\complus   applications  
%programfiles%\messenger  
%programfiles%\installshield   installation   information  
%programfiles%\msn  
%programfiles%\microsoft   frontpage  
%programfiles%\movie   maker  
%programfiles%\msn   gamin   zone  

将自身捆绑在被感染文件前端,并在尾部添加标记信息:  
.whboy{原文件名}.exe.{原文件大小}.  


与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。  

另外还发现病毒会覆盖少量exe,删除.gho文件。  

病毒还尝试使用弱密码访问局域网内其它计算机:  
password  
harley  
golf  
pussy  
mustang  
shadow  
fish  
qwerty  
baseball  
letmein  
ccc  
admin  
abc  
pass  
passwd  
database  
abcd  
abc123  
sybase  
123qwe  
server  
computer  
super  
123asd  
ihavenopass  
godblessyou  
enable  
alpha  
1234qwer  
123abc  
aaa  
patrick  
pat  
administrator  
root  
sex  
god  
foobar  
secret  
test  
test123  
temp  
temp123  
win  
asdf  
pwd  
qwer  
yxcv  
zxcv  
home  
xxx  
owner  
login  
login  
love  
mypc  
mypc123  
admin123  
mypass  
mypass123  
administrator  
guest  
admin  
root  
清除步骤  
==========  

1.   断开网络  

2.   结束病毒进程  
%system%\drivers\spoclsv.exe  

3.   删除病毒文件:  
%system%\drivers\spoclsv.exe  

4.   右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:  
x:\setup.exe  
x:\autorun.inf  

5.   删除病毒创建的启动项:  

[hkey_current_user\software\microsoft\windows\currentversion\run]  
"svcshare "= "%system%\drivers\spoclsv.exe "  

6.   修改注册表设置,恢复“显示所有文件和文件夹”选项功能:  
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]  
"checkedvalue "=dword:00000001  


7.   修复或重新安装反病毒软件  

8.   使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件


http://zhidao.baidu.com/question/17570678.html
发表于:2007-01-04 11:00:273楼 得分:10
重装完了后不要急着把移动系列的东西插上

要先装好应用程序,打好补丁,从网上下个杀毒,升级到最新版本,才插外设硬盘的

而且打开移动设备一定要点右键,然后选择打开,打开之前查毒忘说了。。

把你要的烤出来,不要全盘拷

以上是常识,养成习惯哦
发表于:2007-01-04 11:44:294楼 得分:10
打开cmd 找到c盘下的autorun文件   删除   再查看是否有fun的文件,一起删除

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击