正文
包含linux命令熊猫烧香的词条
小程序:扫一扫查出行【扫一扫了解最新限行尾号】
复制小程序
熊猫烧香gamesetup.exe
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分区根目录生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
8.禁用安全软件相关服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
9.删除安全软件相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
iframe src="hxxp://" width="0" height="0" frameborder="0" /iframe
但不修改以下目录中的网页文件:
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
****you
****
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
解决方案:
1. 结束病毒进程:
%System%\drivers\spoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。
手动恢复中毒文件
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
熊猫烧香病毒的预防
六招防范“熊猫”骚扰
反病毒专家提醒用户,已安装杀毒软件的用户建议立刻升级到最新病毒库,对电脑进行全盘查杀。
未安装杀毒软件的用户建议下载安装网上免费提供的熊猫烧香专杀工具,可以有效清除病毒和修复被感染文件。
与此同时,用户应该尽量做到:1、局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
2、如无必要,Windows 2000/XP用户应尽量关闭IPC共享,并给具有管理员权限的账号设置可靠的密码。
3、及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014这一漏洞,应立即打好该漏洞补丁。
补丁下载地址:http:// china/technet/security/ bulletin/ms06-014.mspx 4、由于“熊猫烧香”病毒变种特别快,因此如果一些网上的专杀工具更新不及时的话,也未必能够及时清除一些新的变种病毒。这时候最好是使用一些未知病毒检测工具。
把“检测”结果中可疑概率很高(通常在60%以上)的文件删除。这种方法对付一些新的病毒变种十分有效。但要注意不要把正常文件删掉。
5、QQ用户请下载安装最新版本的QQ软件。目前已发现多起恶意网站利用QQ漏洞传播该病毒的现象。
6、开启杀毒软件的网页监控功能,使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能。
关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
参考资料:
“熊猫烧香”最新版的病毒如何解除?
1.下载专杀工具,扫描一遍,注意,必须这两个都扫一遍,因为网上的专杀太多,原理不尽相同,这两个配合使用基本可以保证病毒全部清除,被病毒感染的EXE文件也会被复原
2.开始→搜索→文件或文件夹→搜索硬盘上的*.htm ,*.html,*.php,*.asp,*.jsp,*.aspx后缀的文件,全部删除掉。如果清不掉的就用命令行清除,开始→运行→CMD→输入del x:*.htm /f/s/q/a 这里的X指的是你的盘符,你有几个盘就清除几次,fsqa指的是无条件删除盘符下所有属性的该后缀文件,包括了隐含文件,和系统文件。删除完htm文件后,依次再删除html,php,asp,aspx。
(注意:如果你的资料包含这些后缀的文件,那你就不能简单的做批删除操作了,最好的办法是你去下载一个dreamwaver,然后把每个文件源码的末尾部分被修改的部分改回,这里不多说,去摆渡一下就知道!这了采用的批删除操作是针对一般用户而言,而且这样做并不会导致你收藏的网页丢失)
3.右键打开你的D盘,找到System Volume Information,(如果找不到,说明你的隐含文件是不显示的,那找到注册表的这个位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000,把最后的00000000 改为00000001即可。)进去,手动删除除change.log外的所有文件。然后依次对其他盘进行操作。(因为这个位置的病毒会在重启后再生,而很多专杀又无法机械的清除该位置的病毒,所以这个步骤非常重要。)
4.如果你还没有做新系统,那么现在需要修改注册表的启动项HKEY-LOCAL-MACHINE \SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 把右边的键全部删除。
5.这个步骤不是很重要,也可以不做。再次利用批删除功能清除各个分区残留文件desktop_.ini。如果你感觉看到他就心烦那还是清除掉的好。del x:*.desktop_.ini /f/s/q/a 。大功告成!
操作的过程中,不要直接双击任何分区,不要运行除专杀外任何EXE,RAR文件,还有最还看完帖子断开网再操作。熊猫其实也没有网上传的那么神,它相当于几个病毒的合体而已,只要操作的时候细心就一定可以彻底告别这个病毒。就如果还有什么问题可以Q我,Q 77456852。
补充:
1.对于ghost镜象被删除的朋友,建议你使用一下easyrecovery恢复一下你的镜象文件,前提是你对储存*.gho的分区未进行大规模的写操作,如果这样你就试一下这个恢复软件,效果不错。
2.有朋友反映他的任务管理器注册表已经打不开,对于这些朋友我建议你先做个干净系统再来杀毒,如果不重做系统操作起来难度是很大的,而且中过熊猫烧香的系统会被打开许多后门,这些后门会使你不断中新病毒,即使不重做系统杀完毒你的系统也已经是千疮百孔了。
3.还有不少朋友嫌杀毒麻烦,而且杀不干净一不小心又会复发,我已经研究了该病毒以及常见变种的原理,我争取尽快编写一个清除该病毒的批处理脚本,如果你嫌麻烦不妨可以先等一下。:)
熊猫烧香病毒介绍
熊猫烧香病毒介绍:
由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中的病毒变种,用户电脑中毒后可能会出现 蓝屏 、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。[2]
3中毒症状编辑
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就 可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
4病毒危害编辑
熊猫烧香病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复 操作系统 。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。
5传播 方法 编辑
金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程
1拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2添加注册表自启动
病毒会添加自启动项
svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
3病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
熊猫烧香esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
熊猫烧香KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue - 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
熊猫烧香WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星病毒分析 报告 :“Nimaya(熊猫烧香)”
”熊猫烧香”该怎样彻底查杀呢?
spoclsv.exe (熊猫烧香),QQhx.dat病毒的清除
中此毒主要特征:
1、杀毒软件,防火墙自动关闭;
2、Windows的系统还原项的监视状态关闭;
3、任务管理器,注册表编辑器,系统配置程序等打开闪一下即自动关闭;
4、无法显示系统及隐藏文件;
5、在MS-DOS状态下,利用dir/a命令,可发现各盘根目录下有setup.exe,autorun.inf,sxs.exe等文件;
6、盲目只格系统盘重装系统无法根除病毒。
清除方法:
1、中毒后,杀毒软件和防火墙会提示已关闭,此时应立即断开网络连接(如已经联上网);
2、开始——运行——输入cmd进入MS-DOS状态,通过dir/a命令,初步判定可疑文件。判定方法可以依照病毒文件创建的时间上来判定,当然并不能说明时间最新的文件就是病毒文件,一般有些病毒文件单从文件名上就很容易判定的出。
找到可疑文件后,如果确定不是系统自带的,就在MS-DOS状态下利用:attrib -r -a -s -h [文件件名]来清除文件的只读隐藏等属性,再用del命令将其删除;
一般会现的可疑文件有:x:\windows\yfwwbk.exe,wsvbs.exe,1.exe(六个字母组成,随机生成)
x:\windows\system32\yfwwbk.dll,sxs.dll,QQhx.dat
3、结束进程spolsv.exe
结束进程的时候注意:由于病毒的影响,打开任务管理器时一般会闪一下即自动关闭,可以按以下方法来尝试:将鼠标放在最下端(即右键——任务管理器时,任务管理器运行时的地方)右键的方式打开任务管理器,迅速再右键单击,这样可有效阻止任务管理器窗口的自动关闭。仔细查找进程spolsv.exe,按住shift键不放,选择Spolsv.exe进程将其结束。一般如果这个进程能顺利结束,任务管理器,注册表编辑器及系统配置程序都能正常打开。
4、开始——运行——输入regedit打开注册表编辑器,查找SHOWALL将checkvalue值的“0”改为“1”此步是解除无法查看系统文件与隐藏文件的限制;
5、打开我的电脑——工具——文件夹选项——查看,将隐藏系统文件前面的勾勾去掉,显示所有文件,打开各盘,就可以看到setup.exe这个图标为一只哭着拿三根香的熊猫。找到病毒文件,Spolsv.exe删除,存放位置:X:\Windows\system32\drivers\
6、开始——运行——输入msconfig打开系统配置程序,将启动项里spolsv.exe前面的勾勾去掉,确定,选取稍后再重启计算机;
7、删除各盘内setup.exe,autorun.inf文件,注意不要直接双击进入各盘,否则前面所有工作全白费
8、打开注册表,查找spolsv,sxs全部删除
9、做完上面工作,可再次msconfig进入系统配置程序,查看现在是否处于正常启动状态,任务管理器内无可疑进程,查看系统盘内有无可疑文件存在。
10、重新启动计算机,卸掉杀毒软件,重新装杀毒软件,更新病毒库,利用杀毒软件进行全面查杀病毒,清除病毒遗留下的垃圾文件。
11、一般此病毒会破坏系统有关文件,会导致使用不舒服,这时可考虑重新格掉系统盘重新装一次系统,毕竟这样让自己更放心,何况现在装个系统也用不了多少时间。虽然麻烦了些,可这一切都怪自己不小心感染病毒怪不得他人。
测试人员为什么要使用Linux系统?常见的Linux命令有哪些,并且说明含义?
懂编程的人,太少
想懂编程的人,太难
对编程感兴趣的人,更少
所以,这样的提问,几乎没几个人回答!
我也帮不linux命令熊猫烧香了你,而且,编程方面的知识蛮封闭的!有的只掌握在少数懂的人手里,别人想帮忙不懂也帮不linux命令熊猫烧香了!那些教科书式的编程内容,就等于忽悠,麻木你!看的越来越糊涂根本就没啥用!我就是这么认为的!
以前,什么叫人才,人们的认为是,有能力就是人才,这个答案,最后错了!
熊猫烧香病毒,就是证明!那么好的老师,培养出来了那么好的学生,就因为这学生人品道德不好,搞出了熊猫烧香病毒!搞的天翻地覆!老师都蒙蔽了!
所以,事实证明,有能力不等于人才,有人品没能力也不等于人才!只有,有能力有人品道德才等于人才!
我就跟你说个事实,一个工厂,一个老牌技术员了,一天,他发脾气了,一斧头砸坏了这台机器的电子零件!结果,工厂里没有任何一个技术员能修的好!这就是有的技术只掌握在少数懂的人手里!我并不是表扬!我确实有些愤怒情绪!确实做的过分了,但事出有因,不管谁对谁错!这样做是不应该的!所以,有能力还不够,还得有人品道德!
想起鲁迅先生写作文章中一句话linux命令熊猫烧香:人类的劣根性!
关于linux命令熊猫烧香和的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
