图片:
图片:
图片:
前几天爱机很是纠结地被一病毒害得很惨...纠结了两个晚上加一个白天总算搞好...
虽然很惨,但是感受到了人定胜天的道理,哈,也觉得跟病毒斗争是一件很有趣的事...现在写点小总结,以备后用...若有相同情形,也可以参考参考..还请大家提出宝贵意见...自己的认识有限,所以有一些资源是网上搜集而来.
主要症状
来历:Desktop_.ini(非_desktop.ini)文件是由"尼姆亚(worm.nimaya)"病毒生成的,病毒运行后,会自动查找Windows格式的exe可执行文件,并进行感染.由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行.在baidu.com输入Desktop_.ini,发现有些人给这个病毒的命名为维金Viking的变种...而大部分人则认为是熊猫烧香...
外观:听说熊猫作者据说要搞个不改变.exe 图标的大熊猫..不知道是否属实,如果是那样的话,防治起来就更难了...现在的版本主要表现就是感染后会改变部分.exe图标的一点点的颜色...变为16色.如下图(A)所示.
改变数据:会在磁盘根目录生成一个autorun.inf和一个setup.exe然后将它隐藏起来,会中止大部分杀毒软件的实时监控(当时没有中止我的ewido)进程,接着感染exe文件,rar文件,并且生成一个名为Desktop_.ini的病毒文件,而且会删除硬盘内的GHOST文件,所以要想启用电脑原来的自动还原是不行的了...一旦中招,所能做的就只有杀毒或格盘了...建议将GHOST备份文件改后缀名,如果有中这种病毒,在DOS下重命名为正确的GHO,然后还原系统,再用专杀全盘杀毒!
当然,这些Desktop_.ini这么多,你手动删是无济于事的...几乎在每个文件夹下都会生动生成...(全部是隐藏文件来的...)如下图(B)...
影响其它软件应用:最主要的表现就是,注册表一旦打开就自己最小化然后关闭.任务管理器也是相同的情形.总之会自动结束所有对病毒不利的进程...包括系统配置....如果比较严重的话,即使你从第三方下载了专杀工具也无济于事.
当然,这个时候,要正常上网也是一件几乎不可能的事情...病毒会让你的客户端掉线...CPU占用100%...只要知道了病毒的主要症状及全名称,zhidao.baidu.com是不可或缺的工具...
到baidu搜相应关键词,会出来很多条目.如果病毒稀有的话就比较难找到自己需要的了...得一条一条慢慢发现...
在得到某高手指点后,杀毒主要有以下三个步骤.
第一,进安全模式,在DOC界面下删除Desktop_.ini文件.
具体做法是,在doc里输入del c:\Desktop_.ini/f/s/q/a(如果是D盘就把C换成D就行了.)如果找不到的话,可以改成del c:\Desktop_.ini/f/s/q/ah....这样一个盘一个盘的删,删除完全后再进行第二步.如下图(C)
(如果此时杀毒软件还可以用的话(机率比较小了),可以下载Worm.Nimaya 专用清除工具_熊猫烧香病毒专杀 V1.3版http://www.xdowns.com/soft/8/19/2006/Soft_34187.html
维金Viking病毒专杀工具 http://www.wz222.com/soft/1788.htm)
第二,在安全模式下搜索C盘外的所有盘中包括隐藏文件的.exe文件,完全删除(可不要因为某些文件重要而姑息养*哦,要不然最后让你全格盘...)...
第三,马上重装.(之所以在前面不重装,是因为C盘以外的病毒文件太多,即使重装也没用,Desktop_.ini复制之外绝对比你重装快的...)...
重装完以后应该就没有问题了...本人爱机就是这样熬过来的...由于一开始没有找到有效方法,所以才拖那么久的...如果有谁中同样的毒了,希望此帖能有一点点用...
反病毒专家建议电脑用户采取以下措施预防该病毒:
1、建立良好的安全习惯,不打开可疑邮件和可疑网站;
2、很多病毒利用漏洞传播,一定要及时给系统打补丁;
3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;
4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失
下面是一篇转帖:大家一定要注意自己的电脑啊...局域网内传播得太快了.....一、熊猫烧香有几个变种?
到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:% SystemRoot%/Driversspoclsv.exe,其它部分与变种A基本一致.
变种C主要的改动是对抗杀毒软件,尤其是超级巡警的专杀,该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样,即关闭该窗口,即使在桌面新建一个名为超级巡警的文本文件,用记事本打开也会被关闭。因此许多网友下载了旧版的专杀,抱怨打开就被关闭。
同时熊猫烧香病毒还会关闭其它一些常见的进程管理的,比如常用的Windows任务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的,推荐使用X-PS,下载地址和使用说明:http://www.unnoo.com/html/research/2006/0718/29.html,关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀,当然也可以下载最新的超级巡警使用里面的专杀来查杀。
变种D是最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。
二、对系统的破坏:
熊猫烧香在感染的系统上,会关闭杀毒软件进程,删除杀毒软件的注册表项目,禁用杀毒软件的服务,修改资源管理器不显示隐藏文件等。
还会调用如下命令来删除共享:
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y
....
旧变种会全面感染系统文件,新变种会感染除系统目录外的文件,即尽量不感染微软操作系统自身的文件。
新旧变种都会删除.gho,一般人会在安装完成系统后,使用Norton Ghost进行备份,熊猫会恶意删除这个备份文件。
其中一个变种还会在感染目录生成desktop_.ini。
最大的破坏是,熊猫烧香本身就是一种下载者,会在指定的网站下载后门、木马、各种盗号程序,甚至DDoS程序。
三、为什么无法清除干净,如何彻底查杀:
有人使用了超级巡警和巡警之熊猫专杀后,将一个机子杀干净了,但不久又发现感染了,这是因为,熊猫烧香在感染了一个系统后,开启一个单独的线程进行C类网络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒,就依然存在再次感染全网的可能。
许多朋友网络内都是有文件共享服务器,电影服务器,而许多网友的网络内的人都为了方便系统登录口令都是空口令,或者是123这样的简单口令。
局域网中有个IE没有打病毒,浏览挂了熊猫烧香病毒的网站,并不知情。
查杀的办法是:
1、断开网络,使用超级巡警之熊猫烧香专杀,每个机子全面杀毒。
2、修改口令,取消本地共享目录。
3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁,及时打上补丁,尤其是IE补丁。
最新版巡警已经内置了最新专杀,请到官方网站http://dswlab.com中推荐的下载地址去下载!
由于本人不会上传图,,图片放在附件里