此病毒较威金来讲,威害性更大,会自动查找应用程序进程,并强行结束这些进程,其中包括很多防病毒软件的进程,感染的文件类型也威金多。
病毒会搜索进程查找并结束窗口信息中包含如下信息的进程:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
同时直接结束如下这些进程(注意最后三个和Viking对上了,呵呵):
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
RavmondD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
病毒会删除上面提到的反病毒软件的注册表键值,同时删除雅虎助手的注册表
搜索局域网共享,利用暴力破解局域网用户密码方式试图传播自己,成功后将以GameSetup.exe的形式传播,记录键盘,盗取QQ,记录信息会保存到C:\test.txt(同时会记录成功连接的IP共享信息)中
调用Net.exe和Net1.exe删除admin$和IPC$共享
感染EXE、SCR、PIF、COM文件,同时删除GHOST备份(*.gho)
感染病毒的现象:每台电脑上都有熊猫拿三根香的文件:
病毒详解:
Dd11.exe大小为30,465字节,FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件,同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件(利用系统自动播放达到启动目的)。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序,同时占用大量CPU,会结束掉一些进程,比如注册表编辑器、IceSword所有版本等。同时不停的写注册表保持自己的启动项存在
病毒会覆盖或者修改掉正常的程序,当EXE程序的文件名第一个为数字或者字母a-d(A-D)时会立刻进行覆盖或修改,其他文件名的程序会慢慢侵蚀。
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
关于病毒的清除:
1、打开任务管理器,结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表,或者跳过这一步,不是特别重要。
5、如果一个正常文件被这个病毒覆盖了(覆盖后的大小为30,465字节,也就是完全变成了这个病毒的副本),那么无法恢复,只能删除;如果一个正常文件只是被病毒添加了代码,那么可用16进制编辑器删除00000000到00007700的代码段,在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。
被添加代码的正常文件也可以这么清除代码:新建一个空文件夹,将要恢复的这个文件放入这个文件夹中(文件夹中最好不要有其他EXE文件的存在),然后双击执行这个被感染的文件,文件会自动复原到原始状态。
终于做完了,赶快升级病毒库及更新系统补丁吧。
另我提供了些病毒的一个免疫工具,楼主拿去用下。等此病毒清除完了,可以选择删除生成的这些假病毒文件。
熊猫拿三根香病毒的查杀方法
来源:
作者:
时间:2006-12-18 21:39:58
点击:
要先杀完毒后再打,没杀毒打没用。
最新评论共有 位网友发表了评论
查看所有评论
栏目最新
热点关注
