中文国产日韩欧美视频,午夜精品999,色综合天天综合网国产成人网,色综合视频一区二区观看,国产高清在线精品,伊人色播,色综合久久天天综合观看

熊貓燒香病毒nvscv32.exe變種清除方案 -電腦資料

電腦資料 時間:2019-01-01 我要投稿
【www.szmdbiao.com - 電腦資料】

  1.拔網(wǎng)線;

  2.重新進入winxp安全模式,熊貓燒香病毒進程沒有加載,可使用任務(wù)管理器!(提示:開機后按住F8)

  3.刪除病毒文件:%SystemRoot%\system32\drivers\nvscv32.exe,

熊貓燒香病毒nvscv32.exe變種清除方案

。

  4.開始菜單=>運行,運行msconfig命令。在系統(tǒng)配置實用程序中,取消與nvscv32.exe相關(guān)的進程。也可使用超級兔子魔法設(shè)置、HijackThis等,刪除nvscv32.exe的注冊表啟動項。

  取消熊貓燒香病毒進程的啟動

  5.下載并使用江民專殺工具,修復被感染的exe文件。并及時打上Windows補丁。

  6.清除html/asp/php等,所有網(wǎng)頁文件中如下代碼:(為防止傳播代碼有三處修改,請將。換為.)

  批量清除惡意代碼的方法:  可使用Dreamweaver的批量替換。

  Dreamweaver批理替換的使用方法  可下載使用BatchTextReplacer批量替換。  部署了SymantecAntiVirus的企業(yè),升級到最新病毒庫掃描全盤文件,即可清除被添加的惡意代碼和清除病毒文件。

  7.用安裝殺毒軟件,并升級病毒庫,掃描整個硬盤,清除其他病毒文件。推薦PConline多次推薦的免費卡巴斯基mdash;mdash;ActiveVirusSheild。(xxxxxxxxxxxxx)(注:步驟7不能與步驟5調(diào)換,以免可修復的帶毒文件被刪除。

  8.刪除每個盤根目錄下的autorun.inf文件,利用搜索功能,將Desktop_.ini全部刪除。

  二、互聯(lián)安全網(wǎng)提供的解決方法(后文的病毒描述、中毒現(xiàn)象和技術(shù)分析均來自互聯(lián)安全網(wǎng))

  1:關(guān)閉網(wǎng)絡(luò)共享,斷開網(wǎng)絡(luò)。

  2:使用IceSword結(jié)束掉nvscv32.exe進程(速度要快,搶在病毒感染IceSword前)

  3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

  Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue的數(shù)值改為1

  4:刪除注冊表啟動項

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

  nvscv32:"C:\WINDOWS\system32\drivers\nvscv32.exe"

  5:刪除C:\WINDOWS\system32\drivers\nvscv32.exe

  6:刪除每個盤根目錄下的autorun.inf文件和setup.exe文件,利用搜索功能,將Desktop_.ini全部刪除。

  7:如果電腦上有腳本文件,將病毒代碼全部刪除。

  8:關(guān)閉系統(tǒng)的自動播放功能。

  這樣就基本上將病毒清除了。

  三、病毒描述

  含有病毒體的文件被運行后,病毒將自身拷貝至系統(tǒng)目錄,同時修改注冊表將自身設(shè)置為開機啟動項,并遍歷各個驅(qū)動器,將自身寫入磁盤根目錄下,增加一個Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進行本地文件感染,并對局域網(wǎng)其他電腦進行掃描,同時開另外一個線程連接某網(wǎng)站下載木馬程序進行發(fā)動惡意攻擊。

  文件名稱:nvscv32.exe

  病毒名稱:目前各殺毒軟件無法查殺(已經(jīng)將病毒樣本上報各殺毒廠商)

  中文名稱:(尼姆亞,熊貓燒香)

  病毒大小:68,570字節(jié)

  編寫語言:BorlandDelphi6.0-7.0

  加殼方式:FSG2.0->bart/xt

  發(fā)現(xiàn)時間:2007.1.16

  危害等級:高

  四、中毒現(xiàn)象

  1:在系統(tǒng)每個分區(qū)根目錄下存在setup.exe和autorun.inf文件(A和B盤不感染)。

  2:無法手工修改文件夾選項將隱藏文件顯示出來。

  3:在每個感染后的文件夾中可見Desktop_ini的隱藏文件,內(nèi)容為感染日期如:2007-1-16

  4:電腦上的所有腳本文件中加入以下代碼:

  5:中毒后的機器上常見的反病毒軟件及防火墻無法正常開啟及運行。

  6:不能正常使用任務(wù)管理器,SREng.exe等工具。

  7:無故的向外發(fā)包,連接局域網(wǎng)中其他機器。

  五、技術(shù)分析

  1:病毒文件運行后,將自身復制到%SystemRoot%\system32\drivers\nvscv32.exe

  建立注冊表自啟動項:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

  nvscv32:"C:\WINDOWS\system32\drivers\nvscv32.exe"

  2:查找反病毒窗體病毒結(jié)束相關(guān)進程:  天網(wǎng)防火墻  virusscan  symantecantivirus  systemsafetymonitor  systemrepairengineer  wrappedgiftkiller  游戲木馬檢測大師  超級巡警

  3:結(jié)束以下進程  mcshield.exe  vstskmgr.exe  naprdmgr.exe  updaterui.exe  tbmon.exe  scan32.exe  ravmond.exe  ccenter.exe  ravtask.exe  rav.exe  ravmon.exe  ravmond.exe  ravstub.exe  kvxp.kxp  kvmonxp.kxp  kvcenter.kxp  kvsrvxp.exe  kregex.exe  uihost.exe  trojdie.kxp  frogagent.exe  kvxp.kxp  kvmonxp.kxp  kvcenter.kxp  kvsrvxp.exe  kregex.exe  uihost.exe  trojdie.kxp  frogagent.exe  logo1_.exe  logo_1.exe  rundl132.exe  taskmgr.exe  msconfig.exe  regedit.exe  sreng.exe

  4:禁用下列服務(wù)  schedule  sharedaccess  rsccenter  rsravmon  rsccenter  kvwsc  kvsrvxp  kvwsc  kvsrvxp  kavsvc  avp  avp  kavsvc  mcafeeframework  mcshield  mctaskmanager  mcafeeframework  mcshield  mctaskmanager  navapsvc  wscsvc  kpfwsvc  sndsrvc  ccproxy  ccevtmgr  ccsetmgr  spbbcsvc  symanteccorelc  npfmntor  mskservice  firesvc

  5:刪除下列注冊表項:  software\microsoft\windows\currentversion\run\ravtask  software\microsoft\windows\currentversion\run\kvmonxp  software\microsoft\windows\currentversion\run\kav  software\microsoft\windows\currentversion\run\kavpersonal50  software\microsoft\windows\currentversion\run\mcafeeupdaterui  software\microsoft\windows\currentversion\run\networkassociateserrorreportingservice  software\microsoft\windows\currentversion\run\shstatexe  software\microsoft\windows\currentversion\run\ylive.exe  software\microsoft\windows\currentversion\run\yassistse

  6:感染所有可執(zhí)行文件,并將圖標改成(這次不是熊貓燒香那個圖標了)

  7:跳過下列目錄:

  windows  winnt  systemvolumeinformation  recycled  windowsnt  windowsupdate  windowsmediaplayer  outlookexpress  netmeeting  commonfiles  complusapplications  commonfiles  messenger  installshieldinstallationinformation  msn  microsoftfrontpage  moviemaker  msngaminzone

  8:刪除*.gho備份文件,

電腦資料

熊貓燒香病毒nvscv32.exe變種清除方案》(http://www.szmdbiao.com)。

  9:在所有驅(qū)動器根目錄建立自身文件副本setup.exe,建立autorun.inf文件使病毒自動運行,設(shè)置文件屬性為隱藏、只讀、系統(tǒng)。

  autorun.inf內(nèi)容:

  [AutoRun]

  PEN=setup.exe

  shellexecute=setup.exe

  shell\Auto\command=setup.exe

  10:刪除共享:cmd.exe/cnetshareadmin$/del/y

  11:在機器上所有腳本文件中加入,此代碼地址是一個利用MS-06014漏洞攻擊的網(wǎng)頁木馬,一旦用戶瀏覽中此病毒的服務(wù)器上的網(wǎng)頁,如果系統(tǒng)沒有打補丁,就會下載執(zhí)行此病毒。

  12:掃描局域網(wǎng)機器,一旦發(fā)現(xiàn)漏洞,就迅速傳播。

  13:在后臺訪問http://www。whboy。net/update/wormcn。txt,根據(jù)下載列表下載其他病毒。

  到此病毒行為分析完畢。

最新文章