微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

 17  1/2  1  2  > 
作者:
标题: [原创]中了熊猫烧香,我是这样处理的!
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#1  [原创]中了熊猫烧香,我是这样处理的!

关键字:熊猫烧香、专杀、手工清理、微点主动防御软件
作者:aidi
2007-1-16

中了熊猫烧香,我是这样处理的


      最近发现,安全方面的qq群很是火爆,加入的新人越来越多,但问题几乎是同样的——我中了,熊猫烧香病毒,求解!。在围巾病毒的阴影渐渐在人们脑中淡去的时候,熊猫烧香图标病毒又开始了对我们的新一轮疯狂攻击。
      作为网管的我们,首先要负责的就是局域网络的安全,而恰恰这种肆虐病毒就是通过局域网络传播的。更可谓是防不胜防,即使已经做到杀毒软件随时更新,系统漏洞及时补丁,可还是防不住这种随时会出现的恶意病毒。在做到上述必要步骤后,我们还关闭了默认共享、安装了硬盘保护卡、甚至都转换成了NTFS分区并设置了安全权限,可该中毒的还是中毒了,不该感染的还是被感染了。为什么呢?三分技术,七分管理难道真的是我们管理存在严重的问题?面对领导同事的压力,只能是赶快寻找网络资源、手工查杀、专杀修复、系统免疫,以求把公司的损失降到最低,这样才对得起咱的岗位,咱的责任心。这种事后补救是很有效果的但同样不得不让我们反思,提前防御是必要的!要如何建立提前防御的体系呢?免疫再好都只是针对已经出现过的威胁,专杀再有用,也不能修复所有的文件。病毒未出现何谈免疫,样本未解密哪来专杀!暂不提该病毒感染手段的恶劣性,不提病毒变种分身六体,不提病毒传播途径越来越广、不提可以利用的软件漏洞越来越多、不提病毒的技术水平越来越底层,目前杀毒软件并没有办法有效还原,这就是问题的严重性。我们没有得到安全的保护,我们有的只是被感染的经验、寻找手工清毒的技巧、重做操作系统的无奈。我们需要的是网络安全的解决方案,需要提前防御的必然

      推荐,个人对熊猫烧香病毒的解决方案:(详见备注)
      1.手工清理病毒文件(病毒本身,不包括被感染原电脑上文件)。  
      2.下载专杀修复已经被感染后的文件。

      推荐下载地址:http://www.bbs.hypost.cn/read.php?tid-111406.html春寒料峭版主推荐的一个萧心it乐园的专杀工具,可以随时更新升级,清毒效果不错,作者农夫。
      3.做免疫防护,避免再遭此恶意病毒黑手。

      吸取了经验教训,现在我们需要的是懂得如何防御?彻底的防御。
      之后我添加了第四步,下载安装微点主动防御软件。因为在熊猫烧香肆虐的局域网中,唯独一台安装微点的测试机没有被感染,且里面拦截了很多的未知病毒。在中毒的情况下安装微点软件也会把熊猫烧香的主体病毒拦截并删除。但目前排在第四步操作,是因为,此软件本身不具备清毒能力,不能修复已经被感染了程序,相信以后肯定会完善加入这方面的功能的。但在防御来说,绝对让人信服。由于是测试版本所有之前我没有在公司的其它电脑上安装,只安装在一台没用的被我用作测试的老机器上(没想到居然能够跑起来),毕竟是公司,不是用来测试的。这次经历熊猫烧香病毒,终于决定在局域网中全部安装微点软件,做最后防御使用,可惜只有90天的使用期限,没办法目前没有正式版,也只能暂时先用着。下次新病毒来临时就不必这样忙碌了,没准还能拿到更多的奖金。暂时到这里吧,有新情况的话,随时更新。

Ps:希望大家共享自己的网络安全管理经验,共同提高自己的网络安全知识。
备注:熊猫烧香病毒手工查杀及免疫的办法。

杀毒方法:
————————————复制以下内容——————————
@echo off
color 0A
prompt $g
echo.
echo.                        ※※※※※※※※※※※※※※※
echo.                        ※※※※※※※※※※※※※※※
echo.
echo.
echo.                ∥∥∥        ├∝                ≡≡≡        ├∝                ∥∥∥        ├∝
echo.                ∑∑∑≥≥≯                ∑∑∑≥≥≯                ∑∑∑≥≥≯
echo.                ∥∥∥        ├∝                ∥∥∥        ├∝                ∥∥∥        ├∝
echo.
echo.
@echo  【程序说明】:本程序适用于清除熊猫烧香病毒测试版本
pause
echo.
echo.
:nat
@echo “运行本程序前,为了安全起见,请断开您的网络连接!”
pause
@echo "您已经确认断开网络连接,下面开始查杀病毒"
echo.
echo.
:killpoc
taskkill /f /im spoclsv.exe
del /f /q %System%\drivers\spoclsv.exe
echo.
:killpocc
taskkill /f /im svohost.exe
del /f /q %systemroot%\system32\svohost.exe
echo.
echo.
reg query HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\explorer\AdvancedFolder\Hidden\SHOWALL /v CheckedValue
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\explorer\AdvancedFolder\Hidden\SHOWALL /v CheckedValue /f
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\explorer\AdvancedFolder\Hidden\SHOWALL" /v "CheckedValue" /t REG_Dword /d "1"
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ /v svcshare /f
@echo 写入注册表成功
pause
@echo 开始清理病毒文件......
echo.
echo.
if exist c:\autorun.inf attrib c:\autorun.inf -h -a -r -s
del /f /q c:\autorun.inf
if exist c:\setup.exe attrib c:\setup.exe -h -a -r -s
del /f /q c:\setup.exe
if exist d:\autorun.inf attrib d:\autorun.inf -h -a -r -s
del /f /q d:\autorun.inf
if exist d:\setup.exe attrib d:\setup.exe -h -a -r -s
del /f /q d:\setup.exe
if exist e:\autorun.inf attrib e:\autorun.inf -h -a -r -s
del /f /q e:\autorun.inf
if exist e:\setup.exe attrib e:\setup.exe -h -a -r -s
del /f /q e:\setup.exe
if exist f:\autorun.inf attrib f:\autorun.inf -h -a -r -s
del /f /q f:\autorun.inf
if exist f:\setup.exe attrib f:\setup.exe -h -a -r -s
del /f /q f:\setup.exe
echo.
echo.
if exist h:\autorun.inf attrib h:\autorun.inf -h -a -r -s
del /f /q h:\autorun.inf
if exist h:\setup.exe attrib h:\setup.exe -h -a -r -s
del/f /q h:\setup.exe
if exist h:\autorun.inf goto killpoc
if exist h:\setup.exe goto killpoc
color 0A
@echo 病毒查杀结束......
echo.
echo. 本程序只适用于查杀熊猫烧香图标病毒文件,不具有恢复被感染文件功能;请选择反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
echo.
echo.  如果没能自动退出 请手动关闭DOS窗口。
echo.  然后重新启动计算机
echo.
echo.
pause
echo.
——————————复制以上内容——————————
新建空白记事本粘帖以上内容,然后保存到本地,修改后缀名称为bat;
双击运行或者dos下运行,推荐dos下或者安全模式下运行,运行完请重启操作系统。
重启后会发现双击打开盘符不会再有提示信息,根目录下的的隐藏文件autorun.inf被清除,可以正常查看系统隐藏文件。

免疫方法:
——————————复制以下内容——————————
@echo off
color 0A
echo.
title 熊猫烧香病毒免疫程序
echo.
@echo  【程序说明】:本程序适用于免疫部分熊猫烧香病毒
echo
md %windir%\Logo1.exe attrib %windir%\Logo1.exe +r +h
echo y|cacls %windir%\Logo1.exe /p everyone:C>nul
md %windir%\Logo_1.exe attrib %windir%\Logo_1.exe +r +h echo y|cacls %windir%\Logo_1.exe /p everyone:C>nul
md %windir%\Logo1_.exe attrib %windir%\Logo1_.exe +r +h
echo y|cacls %windir%\Logo1_.exe /p everyone:C>nul
md %windir%\rundl132.exe attrib %windir%\rundl132.exe +r +h
echo y|cacls %windir%\rundl132.exe /p everyone:C>nul
md %windir%\vDll.dll attrib %windir%\vDll.dll +r +h
echo y|cacls %windir%\vDll.dll /p everyone:C>nul
md %windir%\g0ld.com attrib %windir%\g0ld.com +r +h
echo y|cacls %windir%\g0ld.com /p everyone:C>nul
md %windir%\gold.com attrib %windir%\gold.com +r +h
echo y|cacls %windir%\gold.com /p everyone:C>nul
md %windir%\KILL.exe attrib %windir%\KILL.exe +r +h
echo y|cacls %windir%\KILL.exe /p everyone:C>nul
md %windir%\1.com attrib %windir%\1.com +r +h
echo y|cacls %windir%\1.com /p everyone:C>nul
md %windir%\finders.com attrib %windir%\finders.com +r +h
echo y|cacls %windir%\finders.com /p everyone:C>nul
md %windir%\svhost.exe attrib %windir%\svhost.exe +r +h
echo y|cacls %windir%\svhost.exe /p everyone:C>nul
md %windir%\system32\drivers\spoclsv.exe attrib %windir%\system32\drivers\spoclsv.exe +r +h
echo y|cacls %windir%\system32\drivers\spoclsv.exe /p everyone:C>nul
md %windir%\system32\FuckJacks.exe attrib %windir%\system32\FuckJacks.exe +r +h
echo y|cacls %windir%\system32\FuckJacks.exe /p everyone:C>nul
md c:\setup.exe attrib c:\setup.exe +r +h
echo y|cacls c:\setup.exe /p everyone:C>nul
md c:\autorun.inf attrib c:\autorun.inf +r +h
echo y|cacls c:\autorun.inf /p everyone:C>nul
md d:\setup.exe attrib d:\setup.exe +r +h
echo y|cacls d:\setup.exe /p everyone:C>nul
md d:\autorun.inf attrib d:\autorun.inf +r +h
echo y|cacls d:\autorun.inf /p everyone:R>nul
md e:\setup.exe attrib e:\setup.exe +r +h
echo y|cacls e:\setup.exe /p everyone:C>nul
md e:\autorun.inf attrib e:\autorun.inf +r +h
echo y|cacls e:\autorun.inf /p everyone:C>nul
md f:\setup.exe attrib f:\setup.exe +r +h
echo y|cacls f:\setup.exe /p everyone:C>nul
md f:\autorun.inf attrib f:\autorun.inf +r +h
echo y|cacls f:\autorun.inf /p everyone:C>nul
md e:\setup.exe attrib e:\setup.exe +r +h
echo y|cacls e:\setup.exe /p everyone:C>nul
md e:\autorun.inf attrib e:\autorun.inf +r +h
echo y|cacls e:\autorun.inf /p everyone:C>nul
md f:\autorun.inf attrib f:\autorun.inf +r +h
echo y|cacls f:\autorun.inf /p everyone:C>nul
md g:\setup.exe attrib g:\setup.exe +r +h
echo y|cacls g:\setup.exe /p everyone:C>nul
md g:\autorun.inf attrib g:\autorun.inf +r +h
echo y|cacls g:\autorun.inf /p everyone:C>nul
md h:\setup.exe attrib h:\setup.exe +r +h
echo y|cacls h:\setup.exe /p everyone:C>nul
md e:\autorun.inf attrib h:\autorun.inf +r +h
echo y|cacls h:\autorun.inf /p everyone:C>nul
echo
color 0A
@echo 病毒免疫结束......
echo
echo
——————————复制以上内容——————————
      操作同第一步,复制到记事本保存,然后修改后缀名称bat,双击运行即可。
此流程下来暂时解决熊猫烧香病毒问题,但前提是熊猫不再变种。因为手工处理及专杀的处理都是基于病毒样本被收集,经过样本分析病毒代码得出的解决方法。如果一旦出现变种,所有事故将继续重演。

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-16 18:21
查看资料  发短消息   编辑帖子
laidaqun
注册用户




积分 145
发帖 148
注册 2006-9-25
来自 福建龙岩
#2  您好!

我看了您的那代码。感觉您是不是弄错了?我复制下来了。那些是对付维金的吧?

md %windir%\Logo1.exe attrib %windir%\Logo1.exe +r +h
echo y|cacls %windir%\Logo1.exe /p everyone:C>nul
md %windir%\Logo_1.exe attrib %windir%\Logo_1.exe +r +h echo y|cacls %windir%\Logo_1.exe /p everyone:C>nul
md %windir%\Logo1_.exe attrib %windir%\Logo1_.exe +r +h
echo y|cacls %windir%\Logo1_.exe /p everyone:C>nul
md %windir%\rundl132.exe attrib %windir%\rundl132.exe +r +h
echo y|cacls %windir%\rundl132.exe /p everyone:C>nul
md %windir%\vDll.dll attrib %windir%\vDll.dll +r +h
echo y|cacls %windir%\vDll.dll /p everyone:C>nul
md %windir%\g0ld.com attrib %windir%\g0ld.com +r +h
echo y|cacls %windir%\g0ld.com /p everyone:C>nul
md %windir%\gold.com attrib %windir%\gold.com +r +h
echo y|cacls %windir%\gold.com /p everyone:C>nul
md %windir%\KILL.exe attrib %windir%\KILL.exe +r +h
echo y|cacls %windir%\KILL.exe /p everyone:C>nul
md %windir%\1.com attrib %windir%\1.com +r +h
echo y|cacls %windir%\1.com /p everyone:C>nul
md %windir%\finders.com attrib %windir%\finders.com +r +h
echo y|cacls %windir%\finders.com /p everyone:C>nul

※ ※ ※ 本文纯属【laidaqun】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[size=7][url=http://bbs.shxz.net][color=red]生活小站论坛欢迎您![/url][/size][/color]
2007-1-16 18:25
查看资料  发送邮件  发短消息  QQ   编辑帖子
laidaqun
注册用户




积分 145
发帖 148
注册 2006-9-25
来自 福建龙岩
#3  我觉得我的方法比较可行!

大家好,下面三个综合起来用。真的很有用。效果如何。试试就知结果!
http://www.shxz.net/bbs/viewthre ... &extra=page%3D1
熊猫烧香专杀六合一
http://www.shxz.net/bbs/viewthre ... &extra=page%3D1
熊猫烧香为什么杀了还会有?要怎么防?
http://www.shxz.net/bbs/viewthre ... &extra=page%3D1
熊猫烧香免疫程序!

※ ※ ※ 本文纯属【laidaqun】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[size=7][url=http://bbs.shxz.net][color=red]生活小站论坛欢迎您![/url][/size][/color]
2007-1-16 18:26
查看资料  发送邮件  发短消息  QQ   编辑帖子
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#4  

呵呵,批处理很有意思阿。

第一段儿是干掉磁盘自启动文件

第二段儿是利用windows系统一个bug,用同名的目录来阻止生成同名的文件,呵呵,挺有意思的。

不过这种基于文件名防御的方法只能是治标不治本,熊猫烧香换个文件名,免疫方法就没用了。还是踏踏实实装微点吧!

※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-16 23:15
查看资料  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#5  



  Quote:
Originally posted by laidaqun at 2007-1-16 06:25 PM:
我看了您的那代码。感觉您是不是弄错了?我复制下来了。那些是对付维金的吧?

md %windir%\Logo1.exe attrib %windir%\Logo1.exe +r +h
echo y|cacls %windir%\Logo1.exe /p everyone:C>nul
md %windir%\ ...

#2楼真细心,这里先表扬下,众所周知维金病毒与熊猫烧香病毒的传播方式类似,有的网友还说熊猫烧香属于维金的变种,虽然未证实,但两种病毒的感染方式都是很严重的,所以把收集到的病毒名称文件一起加入免疫程序以防不测!免疫中的程序文件可能并不是很齐全还望大家多多补充,共同完善。

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 10:41
查看资料  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#6  

#3楼
每个人对病毒的处理方法都有自己的见解,关键的是可以拿出来与大家分享。

ps:3楼的生活小站,确实不错,有很多好的知识文章,自己本也打算做个小bbs可以一直没有时间空下来弄,打算趁着新年搞定这件事,倒时也到这里来宣传下,呵呵

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 10:47
查看资料  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#7  



  Quote:
Originally posted by nasdaq at 2007-1-16 11:15 PM:
呵呵,批处理很有意思阿。

第一段儿是干掉磁盘自启动文件

第二段儿是利用windows系统一个bug,用同名的目录来阻止生成同名的文件,呵呵,挺有意思的。

不过这种基于文件名防御的方法只能是治标不治本,熊 ...

没错,这种防御是治标不治本的,但就像一个人到医院看病,你要先把他现在已经生病的身体治疗好,然后才可以推荐告诫他预防疾病的方法与知识。
就像帖子中说的“免疫再好都只是针对已经出现过的威胁,专杀再有用,也不能修复所有的文件。病毒未出现何谈免疫,样本未解密哪来专杀!”主动防御还是最关键的步骤。

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 10:51
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#8  

"文件名防御的方法只能是治标不治本,熊猫烧香换个文件名,免疫方法就没用了。还是踏踏实实装微点吧!"

再来个狗熊烧香 我的微点照样kill

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-1-17 10:53
查看资料  发短消息   编辑帖子
ccfoong
新手上路





积分 2
发帖 2
注册 2007-1-17
#9  



  Quote:
Originally posted by 反黑先锋 at 2007-1-17 10:53:
"文件名防御的方法只能是治标不治本,熊猫烧香换个文件名,免疫方法就没用了。还是踏踏实实装微点吧!"

再来个狗熊烧香 我的微点照样kill

哈哈哈哈~!~版主~!~~狗熊烧香比熊猫烧香有意思咯~!~开玩笑~!~

微点可杀变种的熊猫烧香病毒吗???? ( 16/01/2007 熊猫烧香变种 )
谢谢版主的宝贵意见~!~

※ ※ ※ 本文纯属【ccfoong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 21:09
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#10  

微点主动防御软件基于程序行为分析判断技术,能够有效防御和查杀熊猫烧香变种,以及其他病毒、木马及其变种。欢迎做深入的测试使用。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-1-18 10:51
查看资料  发短消息   编辑帖子
 17  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号