中病毒了，好厉害的。55555555555

oumengzhi

莫非是熊猫烧香？哈哈！

糖果

任务管理器打不开
注册表打不开
隐藏文件和文件夹无法显示

fegor

引用第11楼糖果于2007-01-10 17:08发表的“”:
任务管理器打不开
注册表打不开
隐藏文件和文件夹无法显示

还好，能打开dos
开始  运行  cmd
tasklist
找到病毒的pid，
taskkill /f /pid 对应的pid值
杀了进程。然后exe程序就可以运行了。

我是誰

引用第12楼fegor于2007-01-10 22:17发表的“”:

还好，能打开dos
开始  运行  cmd
tasklist
找到病毒的pid，
.......

结束了病毒体的进程，并不能就恢复exe文件的运行。因为如果病毒要实现在它运行的时候，其它任何exe不能运行，必须做到全局的Hook,对api调用进行拦截，这个难度，病毒一般不会达到。所有exe不能运用有两种情况，一是病毒体感染exe文件，改写exe，导致其不能正常运行。二是改变注册表中的exe关联。按楼主说所说，图标都改了，那应该是第一种。

salmon

重装系统,然后其他盘删除所有的exe,com,...
嫌麻烦可以 del /s /f /a *.exe & del /s /f /a *.com....
如果不想这样,手工修改pe文件入口点,删除垃圾代码,你可能还要忙上一段时间,
而且要看这个变种作者水平了,
杀毒软件扫描也不能保证!00%的..

salmon

"所有exe不能运用有两种情况"
拿个16位的exe到nt32下运行不也是不行么?比如ghost.exe.
应该算第三种情况了吧,兼容性问题.

一头雾水

熊猫烧香病毒的详细分析
　　
　　setup.exe
　　感染方式：恶意网页传播，其它木马下载，局域网传播，感染移动存储设备
　　
　　
　　禁用文件夹隐藏选项 (状态分析)——解决方法:删除此CheckedValue键值，单击右键新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
　　 ——此为第一步必须要做的。
　　
　　
　　尝试关闭窗口 (状态分析)
　　QQKav
　　QQAV
　　天网防火墙进程
　　VirusScan
　　网镖杀毒
　　毒霸
　　瑞星
　　江民
　　黄山IE
　　超级兔子
　　优化大师
　　木马克星
　　木马清道夫
　　木馬清道夫
　　QQ病毒注册表编辑器
　　系统配置实用程序
　　卡巴斯基反病毒
　　Symantec AntiVirus
　　Duba
　　Windows 任务管理器
　　esteem procs
　　绿鹰PC
　　密码防盗
　　噬菌体
　　木马辅助查找器
　　System Safety Monitor
　　Wrapped gift Killer
　　Winsock Expert
　　游戏木马检测大师
　　小沈Q盗杀手
　　pjf(ustc)
　　IceSword
　　
　　
　　
　　尝试关闭进程 (状态分析)
　　
　　Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
　　UpdaterUI.exe
　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
　　Rav.exe
　　Ravmon.exe
　　RavmonD.exe
　　RavStub.exe
　　KVXP.kxp
　　KvMonXP.kxp
　　KVCenter.kxp
　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe
　　
　　
　　
　　删除以下启动项 (状态分析)
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
　　ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
　　
　　
　　
　　禁用以下服务 (状态分析)——把以下服务重新启动
　　kavsvc
　　AVP
　　AVPkavsvc
　　McAfeeFramework
　　McShield
　　McTaskManager
　　McAfeeFramework McShield
　　McTaskManager
　　navapsvc
　　KVWSC
　　KVSrvXP
　　KVWSC
　　KVSrvXP
　　Schedule
　　sharedaccess
　　RsCCenter
　　RsRavMon
　　RsCCenter
　　RsRavMon
　　wscsvc
　　KPfwSvc
　　SNDSrvc
　　ccProxy
　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec
　　Core LC
　　NPFMntor
　　MskService
　　FireSvc
　　
　　
　　
　　搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件，并记有标记
　　
　　(状态分析)
　　WINDOWS
　　Winnt
　　System Volume Information
　　Recycled
　　Windows NT
　　Windows Update
　　Windows Media Player
　　Outlook Express
　　Internet Explorer
　　NetMeeting
　　Common Files
　　ComPlus
　　Applications
　　Messenger
　　InstallShield Installation Information
　　MSN
　　Microsoft Frontpage
　　Movie Maker
　　MSN Gamin Zone
　　
　　
　　
　　
　　
　　添加以下启动位置 (状态分析) ——删除此启动位置
　　\Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings\All Users\「开始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
　　
　　
　　
　　监视记录QQ和访问局域网文件记录：c:\test.txt，试图QQ消息传送
　　
　　 ——删除此文件
　　
　　
　　
　　试图用以下口令访问感染局域网文件（GameSetup.exe[此文件为病毒文件]） (状态分析)
　　1234
　　password
　　6969
　　harley
　　123456
　　golf
　　pussy
　　mustang
　　1111
　　shadow
　　1313
　　fish
　　5150
　　7777
　　qwerty
　　baseball
　　2112
　　letmein
　　12345678
　　12345
　　ccc
　　admin
　　5201314
　　qq520
　　1
　　12
　　123
　　1234567
　　123456789
　　654321
　　54321
　　111
　　000000
　　abc
　　pw
　　11111111
　　88888888
　　pass
　　passwd
　　database
　　abcd
　　abc123
　　sybase
　　123qwe
　　server
　　computer
　　520
　　super
　　123asd
　　0
　　ihavenopass
　　godblessyou
　　enable
　　xp
　　2002
　　2003
　　2600
　　alpha
　　110
　　111111
　　121212
　　123123
　　1234qwer
　　123abc
　　007
　　aaaa
　　patrick
　　pat
　　administrator
　　root
　　***
　　god
　　foobar
　　secrettest
　　test123
　　temp
　　temp123
　　win
　　pc
　　asdf
　　pwd
　　qwer yxcv
　　zxcv
　　home
　　xxx
　　owner
　　login
　　Login
　　pw123
　　love
　　mypc
　　mypc123
　　admin123
　　mypass
　　mypass123
　　901100
　　Administrator
　　Guest
　　admin
　　Root
　　
　　
　　
　　所有根目录及移动存储生成 (状态分析)——删除所有生成的文件
　　X:\setup.exe
　　X:\autorun.inf
　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe
　　
　　
　　
　　删除隐藏共享 (状态分析)
　　cmd.exe /c net share $ /del /y
　　cmd.exe /c net share admin$ /del /y
　　cmd.exe /c net share IPC$ /del /y
　　
　　
　　
　　创建启动项： (状态分析) )——删除所生成的启动项Software\Microsoft\Windows\CurrentVersion\Run
　　svcshare=指向\%system32%\drivers\spoclsv.exe
　　
　　病毒会删除“安全中心”的相关注册表。 (状态分析)
　　病毒增加如下注册表启动项： )——删除所生成的启动项
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"svohost"="%SYSTEM%\\FuckJacks.exe"
　　[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
　　"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
　　**************************
　　几乎现在的杀毒软件都没查出来！病毒会删除上面提到的反病毒软件的注册表键值，同时删除雅虎助手的注册表
　　**************************
　　搜索局域网共享，利用暴力破解局域网用户密码方式试图传播自己，成功后将以GameSetup.exe的形式传播
　　调用Net.exe和Net1.exe删除admin$和IPC$共享
　　记录键盘，盗取QQ，记录信息会保存到C:\\test.txt（同时会记录成功连接的IP共享信息）中
　　**************************
　　感染EXE、SCR、PIF、COM文件，同时删除GHOST备份（*.gho）
　　
　　
　　解决方法：
　　方法一：尼姆亚（Worm.Nimaya）
　　
　　该病毒采用熊猫头像作为图标，诱使用户运行。病毒运行后，会自动查找Windows格式的EXE可执行文件，并进行感染。由于该病毒编写存在问题，用户的一些软件可能会被其损坏，无法运行。针对该病毒，瑞星已经紧急升级。同时，瑞星向社会发布免费的专杀工具，没有安装杀毒软件的用户可以登录http://it.rising.com.cn/Channels ... 3505486d38734.shtml下载后查杀。
　　
　　方法二：修改注册表
　　
　　Dd11.exe大小为30,465字节，FSG加壳处理。
　　病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
　　FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。
　　病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会立刻进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
　　************************************
　　
　　关于病毒的清除：
　　1、打开任务管理器，结束掉FuckJacks.exe进程。
　　2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
　　3、删除上面提到的病毒增加的注册表值。
　　4、关于安全中心的恢复可以从正常系统中倒入注册表，或者跳过这一步，不是特别重要。
　　5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除Dd11.exe大小为30,465字节，FSG加壳处理。
　　病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
　　FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。

zxj0051

楼上的都是理论 杀不干净