===========================================================

手工查杀熊猫烧香病毒的方法

作者: lastwinner(http://lastwinner.itpub.net)
发表于: 2007.01.10 22:23
分类:
出处: http://lastwinner.itpub.net/post/7102/249966
---------------------------------------------------------------

作者：lastwinner blog：http://lastwinner.itpub.net
转载请注明出处

瑞星出的专杀工具我试过，没太大用处

总结最近手工两次查杀该病毒的经验，有以下心得供大家手工查杀病毒时参考：

1、病毒特征
A、自动禁止对其有危害的程序
·自动关闭Norton（可能还有其他的杀毒程序也会被禁止）
·自动关闭任务管理器和注册表编辑器
·即便使用其他工具修改了注册表，但病毒仍然会自动改回去。如果你想打开任务管理器，病毒会立即关闭之。网上有说可以利用程序打开到被病毒关闭的瞬间来干掉病毒进程，但其实这几乎没有可行性而言。
B、自动在每个驱动器下生成autorun.inf和setup.exe，只要你一双击驱动器，那病毒就会被再次激活
C、自动扫描硬盘上所有目录，对扫描过的目录产生一个desktop_.ini文件，其中记录病毒扫描时的日期。并且，如果目录中有htm、html、asp、jsp、php等网页文件，病毒会自动在页面最后一行加上一段恶意代码——用iframe嵌套的一个恶意页面。这样，如果有用户打开此文件并且同时连在互联网上，那他就会遭到该病毒的攻击。
D、新变种可能会修改注册表，使得你无法在文件夹选项中选择“显示所有文件”。因而无法看到B中所述的文件。

2、查杀方法
请先拔掉网线或禁用网卡再进行操作！！！
A、终止病毒进程
目前病毒进程名字为spcolsv.exe，位于 %systemroot%\system32\drivers下。
·由于病毒只根据进程名字来判断该进程是否对其有害，所以可以采用伪装来欺骗病毒
copy %systemroot%\regedit.exe %systemroot%\rrr.exe
copy %systemroot%\system32\taskmgr.exe %systemroot%\system32\taskmmm.exe
运行taskmmm.exe，在进程中终止之
运行rrr.exe，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中清除病毒启动项

B、清除驱动器autorun项
在驱动器上点右键，选择打开。注意，一定不要双击，否则前功尽弃！！！
####点击菜单：工具->文件夹选项，在查看中将“隐藏受保护的操作系统文件(推荐)”前的勾去掉，并选中“显示所有文件和文件夹”
然后按确定
如果此时状态栏中仍然显示有XX个隐藏对象（没有状态栏的请在查看菜单中启用之），那么运行rrr.exe，
进入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
将CheckedValue的值设为1（DWORD值）
然后再重新设置文件夹选项（见####处）
这样就可以看到根目录下的setup.exe和autorun.inf，删除之
反复操作直至所有驱动器下的病毒文件都被清除，包括U盘上的也要清除——偶今天承担传输软件任务的PUB的U盘，就被病毒感染了，不过被及时清除了

C、在硬盘上搜索desktop_.ini
大致看一下这些文件都分布在哪些目录下——当然，如果你的机器已经中毒多时，那就不必要看了，因为病毒有足够的时间把你的硬盘都扫描一遍
在含有这些文件的目录下，查找htm、html、asp、jsp、php等文件，这些文件的修改日期会几乎是同一时刻
请用记事本打开任意一个页面，滚动到最后，如果看到有iframe标签引用的未知页面，请将这段文字复制
然后打开UltraEdit，在菜单serach->relplace in files中，将该字符串设置为要替换的字符串，替换为空
文件类型为*.ht*;*.jsp;*.php;*.asp（可能根据实际需要还得继续添加文件类型），目录为C:
选项中选择Search sub directories（搜寻子目录）
替换完成后，将C:改为 D:、E:……直至完成所有驱动器下文件的替换
同样，包括U盘上也要这么做

文件替换完成后，将搜索到的desktop_.ini按照时间顺序排序，看最早的一个修改日期是什么时候，记录为first_date
然后将这些desktop_.ini全部删除

D、病毒可能会修改硬盘上的可执行文件
搜索*.exe，修改日期为first_date到今天
点右键查看文件属性，如果缺少“版本”选项卡，而且文件图标为熊猫烧香或者为无图标，那大致可以肯定这是被感染过的文件，可以直接删除——最多就是误删，那重新安装一下程序就好了。（被感染过的文件无法正常运行，一运行实际上就让病毒复活了，但我们真正想执行的程序却无法启动）

E、还有需要注意的，系统中不应有空口令和弱口令帐户
即便你禁止了该帐户，病毒还是可以通过他进行传播

F、及时更新病毒库。针对此病毒，有以下病毒软件侦测到了（最后一栏标红字的），可根据实际情况选用一款

lastwinner 发表于:2007.01.10 22:23 ::分类: ( ) ::阅读:(3522次) :: 评论 (11)

re: 手工查杀熊猫烧香病毒的方法 [回复]

貌似中毒和QQ有关
刚QQ提示我，有几个WEB应用相关的漏洞需要打上才能继续运行

lastwinner 评论于: 2007.01.10 23:03

re: 手工查杀熊猫烧香病毒的方法 [回复]

之乎者也评论于: 2007.01.11 09:12

re: 手工查杀熊猫烧香病毒的方法 [回复]

该死的QQ

kt133 评论于: 2007.01.12 09:09

re: 手工查杀熊猫烧香病毒的方法 [回复]

也有是网站上的太垃圾了

ysong 评论于: 2007.01.17 09:54

re: 手工查杀熊猫烧香病毒的方法 [回复]

cc59 评论于: 2007.01.18 01:09

re: 手工查杀熊猫烧香病毒的方法 [回复]

打不开程序怎么办？能恢复关联么？

米评论于: 2007.01.18 14:17

re: 手工查杀熊猫烧香病毒的方法 [回复]

非常详细,辛苦了

kingcaesar 评论于: 2007.01.30 13:45

re: 手工查杀熊猫烧香病毒的方法 [回复]

to 米：程序文件是被破坏掉了，一点相当于再次激活病毒。建议按上述步骤操作彻底杀毒后，重新安装无法运行的程序

lastwinner 评论于: 2007.01.30 21:53

re: 我喜欢摆弄病毒,联系我吧 [回复]

兄的犀利剖析，我严重地学习了一下。
呵，我上次就花了5个小时，在没有参阅任何技术性文摘的前提下赤手空拳赶走了 "武汉男生"。
哎呀，这该死的"熊猫"啊!!!(此处请用西方逻辑来理解"该死")。

像我们这些不喜欢用杀毒软件的人，就是喜欢摆弄 Microsoft的小甜饼(cookies)
联系我吧
-----------------------------------------------------
下面是我写的熊猫 desktop_.ini批处理
我还有很多的好东西哦
-----------------------------------------------------
@echo off
color 1f
title 批量删除完全相同的文件
mode con:cols=70 lines=17
echo.
echo 特点:支持通配符,批量删除
echo.
set input=
set /p input=请输入本次想要全盘批量删除的文件名:
echo.
echo.
echo 分析引擎正在扫描预处理%input%文件……
if exist "%tmp% ote.txt" del /a "%tmp% ote.txt" >nul 2>nul
set num=0
setlocal enabledelayedexpansion
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%i: (
cd
for /f "tokens=*" %%a in ('dir /s /a-d /b %%i:\%input%') do (
echo %%a>>"%tmp% ote.txt"
set /a num=!num!+1
del /q /a /f "%%a"
)
)
) >nul 2>nul
cls
echo 本次清理报告
echo.
echo.
echo 本此共删除%input%文件: %num%个

if %num%==0 (
echo 本次扫描未发现%input%文件!
) else (
echo 你已从本地删除全部的%input%文件!
ping 127.1 -n 5 >nul
start "" "%tmp% ote.txt"
)
::启用延时关闭窗口
echo 脚本将在15秒后自动关闭!
ping 127.1 -n 14 >nul
if exist "%tmp% ote.txt" del /a "%tmp% ote.txt" >nul 2>nul

Hi.最后一个冬天评论于: 2007.07.25 15:19

re: 手工查杀熊猫烧香病毒的方法 [回复]

HI.lastwinner(最终赢家)，上面叫错了，
我申请了号叫
"情傷"

最终赢家评论于: 2007.07.25 15:25

re: 手工查杀熊猫烧香病毒的方法 [回复]

楼上的批处理很强啊，PFPF

lastwinner 评论于: 2007.08.08 14:43

发表评论