Mejor respuesta
Muestra del virus Panda Burning Incense
/cgi-bin/fileid.cgi?fileid=1238770
Úselo con precaución
Nombre del virus:
Chino: Panda Burning Incense Virus (también conocido como Wuhan Boy)
Inglés: Worm.WhBoy
Actualmente descubiertas El número de variantes ha superado las 50
Manifestaciones típicas:
Después de ser infectados con el virus, los íconos de los archivos .EXE que son más numerosos se convierten en pandas con quema de incienso, que es también el origen del nombre del virus. Algunas variantes descubiertas ahora ya no utilizan este conocido icono. Algunas variantes se pueden actualizar directamente a través de Internet y algunas variantes pueden infectar archivos de formato de página web como htm, html, asp, php, jsp y aspx. Una infección de un servidor web significará que todos los ordenadores que naveguen por estas páginas web podrán descargar e infectarse automáticamente con el virus Panda Burning Incense.
Esta serie de variantes liberará los siguientes archivos típicos
En el directorio raíz de la partición: setup.exe, autorun.inf, %System%\Fuckjacks.exe, %System %\Drivers \
spoclsv.exe
En entorno LAN: GameSetup.exe
Comportamiento del virus:
Eliminar los de uso común. software antivirus en el registro Los elementos o servicios de inicio en la tabla finalizan los procesos del software antivirus, lo que involucra a casi todo el software antivirus actual
2. Termine los procesos de algunas herramientas auxiliares de seguridad. como IceSword y el administrador de tareas taskmon.
3. Finalice los procesos relacionados Logo1_.exe, Logo_1.exe y Rundl123.exe de Weijin.
4. Utilice contraseñas débiles para descifrar las cuentas de administrador de otras computadoras en la LAN y use GameSetup.exe para copiar y difundir.
5. Modificar el valor de la clave de registro, lo que resulta en la imposibilidad de ver archivos ocultos y archivos del sistema.
6. Además de los siguientes directorios en la unidad C, el virus intentará destruir algunos archivos .exe, .com, .gho, .pif y .scr en otras particiones. no infectar archivos en los siguientes directorios (déjenos la oportunidad de resolver este virus, consulte la descripción a continuación).
VENTANA, Winnt, Información del volumen del sistema, Reciclado, Windows NT, Windows Update, Windows MediaP, Outlook Express, Internet Explorer, NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN, Microsoft Frontpage , MovieMaker, MSN GaminZone
7. El virus eliminará el archivo con la extensión gho, que es el archivo de copia de seguridad de GHOST, una herramienta de copia de seguridad del sistema, lo que provocará la pérdida del archivo de copia de seguridad del sistema del usuario.
Solución:
1. Herramienta de eliminación preferida
La herramienta de eliminación especializada es la solución más eficiente y puede lidiar con variantes conocidas. La desventaja es que hay nuevas. Después de la mutación, la muerte especial también debe actualizarse. Se recomienda ir a www.xiongmaoshaoxiang.com para descargar Zhuansha.
2. Antivirus online
Debido a la particularidad del virus Panda Burning Incense, el propio software antivirus puede estar infectado y el virus también intentará acabar con el virus. procesos y servicios de software antivirus, pero el virus no infecta el navegador IE, usar el navegador para cargar el control antivirus en línea para eliminar virus puede hacer maravillas. Si ya te han engañado, puedes probarlo en shadu.duba.net.
3. Reinicie el sistema en modo seguro con conexión de red, actualice el software antivirus y luego ejecute el antivirus.
Puede hacer clic en Inicio, Ejecutar, ingresar msconfig, abrir la utilidad de configuración del sistema, hacer clic en la etiqueta BOOT.INI, realizar modificaciones como se muestra y reiniciar para ingresar al modo seguro con conexión de red.
4. Eliminación manual
Debido a que Panda Burning Incense Virus es un virus infeccioso, la eliminación manual es bastante problemática. El plan de eliminación manual anunciado por los internautas sólo puede finalizar el proceso del virus manualmente. y la infección se ejecutará durante un período de tiempo. Si utiliza el programa Panda Incense Burning Virus, quedará infectado nuevamente. La siguiente es una breve introducción a los pasos para finalizar manualmente el proceso del virus y reparar las claves de registro:
a. Desconecte la red, desactive la tarjeta de red o desconecte el cable de red. >b. Finalice el proceso del virus, porque el Administrador de tareas y IcdSword ya no pueden ejecutarse y es difícil hacerlo en una máquina infectada por virus. Se recomienda ir a /article/3784.html
Panda quemando incienso para matar:
/search?search=%E7%86%8A%E7%8C%AB% E7%83%A7 %E9%A6%99&id=3
/x/AST/ast_setup.exe
Nombre chino: Panda Burning Incense Virus (también conocido como Wuhan Boy), Nombre en inglés (Worm.WhBoy), el número de variantes descubiertas hasta ahora ha superado las 50.
Malas manifestaciones típicas de los virus:
1. Después de ser infectado con el virus, los íconos de los archivos EXE que se encuentran con mayor frecuencia se convierten en pandas con incienso quemado, de ahí también el nombre del virus. Algunas variantes descubiertas ahora ya no usan este conocido ícono.
2. Algunas variantes se pueden actualizar directamente a través de Internet. Además de los archivos .exe, algunas variantes también pueden infectar archivos de formato web como htm, html, asp, php, jsp y aspx.
3. Una vez que el servidor web esté infectado, significará que todas las computadoras que naveguen por estas páginas web podrán descargar e infectarse automáticamente con el virus Panda Burning Incense.
4. Esta serie de variantes liberará los siguientes archivos típicos
en el directorio raíz de la partición: code:setup.exe, autorun.inf, %System%Fuckjacks.exe %System%Driversspoclsv.exe
;En entorno LAN: GameSetup.exe
Comportamiento del virus:
1. Elimine los elementos o servicios de inicio del software antivirus de uso común en el registro y finalice el proceso del software antivirus, que involucra a casi todo el software antivirus actual.
2. Finalice los procesos de algunas herramientas auxiliares de seguridad, como IceSword y el administrador de tareas taskmon.
3. Finalice los procesos relacionados Logo1_.exe, Logo_1.exe y Rundl123.exe de Weijin.
4. Las contraseñas débiles se utilizan para descifrar las cuentas de administrador de otras computadoras en la LAN y se copian y difunden usando GameSetup.exe.
5. Modifique el valor de la clave de registro, lo que resultará en la imposibilidad de ver archivos ocultos y archivos del sistema.
6. Además de los siguientes directorios en la unidad C, el virus intentará destruir algunos archivos .exe, .com, .gho, .pif y .scr en otras particiones. El virus no infectará archivos en los siguientes directorios (deje. resolver esta oportunidad de virus, consulte la descripción correspondiente a continuación).
código:
WINDOW, Winnt, Información de volumen del sistema, Reciclado, Windows NT,
Windows Update, Windows MediaPlayer, Outlook Express, Internet Explorer,
p>
p>
NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, InstallShield
Información de instalación, MSN, Microsoft Frontpage, MovieMaker, MSN GaminZone.
7. El virus eliminará el archivo con la extensión gho, que es el archivo de copia de seguridad de GHOST, una herramienta de copia de seguridad del sistema, lo que provocará que se pierda el archivo de copia de seguridad del sistema del usuario.
Análisis y soluciones del virus Panda Burning Incense
1. Descripción del virus:
Después de ejecutar el archivo que contiene el virus, el virus se copiará en el sistema. Al mismo tiempo, el registro se modifica para configurarse como un elemento de inicio, recorre cada unidad, se escribe en el directorio raíz del disco y agrega un archivo Autorun.inf para que el virus se active cuando se inicia el registro. El usuario abre el disco. Luego, el virus abre un hilo para infectar archivos locales y, al mismo tiempo, abre otro hilo para conectarse a un sitio web y descargar el programa DDoS para lanzar ataques maliciosos.
2. Información básica sobre el virus:
[Información del archivo]
Nombre del virus: Virus.Win32.EvilPanda.a.ex$
Tamaño: 0xDA00 (55808), (disco) 0xDA00 (55808)
SHA1: F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
Información del shell: Desconocido
Nivel de peligro: Alto
Nombre del virus: Flooder.Win32.FloodBots.a.ex$
Tamaño: 0xE800 (59392), (disco) 0xE800 (59392)
SHA1: B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
p>Información del shell: UPX 0.89.6 - 1.02 / 1.05 - 1.24
Nivel de peligro: Alto
3. p>Virus.Win32.EvilPanda.a.ex$:
1. Después de ejecutar el virus, se copia en el directorio del sistema:
%SystemRoot%\system32\FuckJacks. .exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2. se carga después de que se reinicia el sistema:
Ruta de la clave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nombre de la clave: FuckJacks
Valor de la clave: "C:\WINDOWS\system32 \FuckJacks.exe"
Ruta clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nombre de clave: svohost
Valor clave: "C: \WINDOWS\system32\FuckJacks.exe"
3. Cópielo en el directorio raíz de todas las unidades, asígnele el nombre Setup.exe y genere un autorun.inf para permitir el El usuario debe abrir el disco para ejecutar el virus y combinar estos dos. Los atributos del archivo están configurados en oculto, de solo lectura y del sistema.
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4. Cierre muchos programas antivirus y herramientas de seguridad.
5. Conéctese a *****.3322.org para descargar un archivo determinado y, según la dirección registrada en el archivo, vaya a www.****.com para descargar un archivo determinado. Programa ddos. Una vez que la descarga sea exitosa, ejecute el programa.
6. Actualice bbs.qq.com, un determinado enlace de QQ.
7. Recorra el directorio del disco, infecte archivos, omita archivos clave del sistema y no infecte Windows Media Player, MSN, IE y otros programas.
Flooder.Win32.FloodBots.a.ex$:
1. Después de ejecutar el virus, se copia en el directorio del sistema:
%SystemRoot. %\ SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2. Después de descargar y ejecutar el virus, agregue el elemento de inicio del registro para asegurarse de que se cargue después del el sistema se reinicia:
Ruta de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nombre de clave: Userinit
Valor de clave: "C:\WINDOWS \system32\ SVCH0ST.exe"
3. Conéctese a ddos2.****.com para obtener la lista de direcciones de ataque y la configuración del ataque, y realice los ataques correspondientes según el archivo de configuración.
El archivo de configuración es el siguiente:
www.victim.net:3389
www.victim.net:80
www .víctima com:80
www.victim.net:80
1
1
120
4. Solución:
1. Utilice Super Patrol para eliminar completamente este virus y recuperar archivos infectados.
2. Se recomienda utilizar la herramienta de gestión de procesos de Super Patrol para finalizar el programa de virus antes de realizar la limpieza; de lo contrario, el sistema responderá muy lentamente.
3. Para detener el proceso del virus y eliminar los elementos de inicio, consulte las imágenes relevantes del foro.
Respuesta: Hanlin Wensheng - Jianghu Rookie Nivel 5 1-30 21:21