Trojan-PSW.Win32.QQRob.ec(熊猫烧香)病毒解决方案
Trojan-PSW.Win32.QQRob.ec(熊猫烧香)病毒解决方案 2006-12-01 20:33
作者:liansoft 日期:2006-11-28
文件名称:FuckJacks.exe
病毒名称:Trojan-PSW.Win32.QQRob.ec(卡巴斯基)
Win32/PSW.QQRob.EC(NOD32)
Worm.Nimaya.a(尼姆亚)(瑞星)
Worm/Viking.jd(江民)
中文名称:(尼姆亚)
病毒大小:30,465 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本CRC32:8be4ef19
发现时间:2006.11
危害等级:中
技术分析
**************************************
带毒文件运行后,将自身复制到%SystemRoot%\system32\FuckJacks.exe
建立注册表自启动项:
病毒名称:Trojan-PSW.Win32.QQRob.ec(卡巴斯基)
Win32/PSW.QQRob.EC(NOD32)
Worm.Nimaya.a(尼姆亚)(瑞星)
Worm/Viking.jd(江民)
中文名称:(尼姆亚)
病毒大小:30,465 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本CRC32:8be4ef19
发现时间:2006.11
危害等级:中
技术分析
**************************************
带毒文件运行后,将自身复制到%SystemRoot%\system32\FuckJacks.exe
建立注册表自启动项:
程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FuckJacks.exe=%System32%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
svohost.exe=%System32%\FuckJacks.exe
FuckJacks.exe=%System32%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
svohost.exe=%System32%\FuckJacks.exe
查找反病毒窗体病毒结束相关进程:
程序代码
qqkav
qqav
天网
VirusScan
网镖
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
symantec antivirus
iduba
qq病毒
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
wrapped gift killer
winsock expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
qqkav
qqav
天网
VirusScan
网镖
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
symantec antivirus
iduba
qq病毒
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
wrapped gift killer
winsock expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
结束以下进程:
程序代码
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl123.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl123.exe
禁用下列服务:
程序代码
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
删除下列注册表项:
程序代码
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
感染所有EXE、SCR、PIF、COM文件,并更改图标为
,跳过下列目录:
程序代码
windows
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
netmeeting
commonfiles
complusapplications
commonfiles
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
netmeeting
commonfiles
complusapplications
commonfiles
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone
删除*.gho文件.
在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统.
autorun.inf内容:
程序代码
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
保存QQ密码和键盘信息到c:\test.txt
执行命令:
程序代码
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share ipc$ /del /y
cmd.exe /c net share ipc$ /del /y
删除admin$和IPC$共享
清除步骤
**************************************
1. 断开网络
2.结束病毒进程
3.删除病毒自启动项
4.使用反病毒软件或专杀工具进行全盘扫描
