日期:2014-05-17  浏览次数:20973 次

任务管理器消失 arcldr desktop_.ini 疯了。。。
移动硬盘在机房用了一下拿回来重装系统,结果把我机器整挂了,每个文件

夹下都复制一个desktop_.ini,内容是当前系统时间,C盘出现了arcldr和

arcsetup两个文件,倒是可以删除,但desktop_.ini会自动生成,刚一开始

发现移动硬盘目录下有autorun,熊猫烧香图标,去网上找了个专杀,程序运

行就当掉,再一看任务管理器挂了,regedit挂了,winprocess挂了,能搞丫

的都他妈的挂了(2kpro没msconfig,估计有也得挂)。把移动硬盘拿去同事

那里杀度,最新的瑞星2007,杀出来一堆html文件的病毒,desktop_.ini一

个都没删,庆幸他的机器还没事儿。系统分区都删了全格,刚装完还没事儿

,移动硬盘一插又over了(瑞星在里面,不插不行啊)我都快疯了,没见过

这么nb的病毒还,专干能搞丫的,QQ能装,TTPlayer能装,就瑞星和优化大师不能装,最不可思议的是我刚才在这里发贴子,在问题栏里输入“

任务管理器“直接IE挂掉。。。逼的我现在在记事本里敲,妈的犯了人品了

。。要不是分不够了等级太低真想给200,谁告诉我到底这是什么玩意儿阿,

不要是病毒,是木马,装个什么什么插件的,哪儿有专杀拜托了,能搞定的

话实在不行我硬盘低格都行,疯了。。。

------解决方案--------------------
试试kaka助手
------解决方案--------------------
瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html

江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html

金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html

熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播


技术分析
==========

又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe

创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "


修改注册表信息干扰“显示所有文件和文件夹”设置:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000000


在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf

autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe


尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y


遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled <