SiS001! Board - [第一会所关闭注册]

标题: [交流] 以“熊猫烧香”为例，来学习怎样手工清除病毒[有图详解] [打印本页]

作者: setc2003 时间: 2007-3-28 12:39 标题: 以“熊猫烧香”为例，来学习怎样手工清除病毒[有图详解]

正好，这有一台机器，2000系统，昨天中了“熊猫烧香”病毒，大家一起跟着我来学习怎么自己杀毒吧。
　　
　　首先，我还是要罗嗦一遍，再手工的东西也需要工具。
　　请下载至少以下这个工具：
　　autoruns
　　下载地址：(复制进IE地址栏后回车，保存起来)
　　http://www.diybuy.cn/autoruns.exe
　　
　　
　　病毒名称：Worm.WhBoy.h
　　病毒中文名：熊猫烧香(武汉男生)
　　
　　病毒类型：蠕虫
　　
　　危险级别：★★★★★
　　
　　影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
　　
　　专杀工具：金山专杀工具安天专杀工具江民专杀工具
　　
　　病毒描述：
　　
　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
　　补充： rar等压缩文件也会被感染
　　
　　感染病毒后的截图：

★注意★
　　2000系统的系统目录为 C:\WINNT
　　XP系统的则是 C:\WINDOWS
　　以下涉及到的都是 2000系统中的系统目录，如果你是XP系统，请自己将 WINNT改为WINDOWS
　　
　　★病毒的启动原理：
　　
　　首先，它在 C:\WINNT\system32\drivers目录下建立了一个
　　"spo0lsv.exe"文件，o是英文字母，0是数字，伪装成正常的系统打印服务"spoolsv.exe"并实现开机的加载。
　　
　　第二，有些机器会有与以前的U盘病毒一样的特征，每个盘双击打开会运行病毒的程序。原理是在每个盘比如C盘根目录下建立两个隐藏文件 setup.exe 和 autorun.inf
　　autorun.inf这个文件实在是变态，它本来是用来实现“光盘的自动播放”功能。你自己随便在哪个盘建立一个该文件，哪怕是空的，也会造成该盘会被认为是自动运行盘，病毒只要在里面写上一句短短的病毒程序路径，双击该盘图标就会运行这个autorun.inf文件，从而达到运行病毒的目的。
　　
　　
　　autoruns.exe 是一个国外的优秀启动项目检查和设置工具，小巧但功能全面。我们下面就要使用它来进行“熊猫烧香”病毒的手动分析、清除。所有病毒的启动原理都差不多，学会一两个病毒的查杀，以后碰见新病毒，说不定就能派上用场。
　　
　　软件截图：

首先，我们重启机器，按 f8 键进入安全模式。
　　“安全模式”停用了大部分的系统服务和第三方服务。比如“熊猫烧香”病毒，进入安全模式后是不会启动的，除非你在安全模式下运行了感染该病毒的文件。
　　而且，由于该病毒每秒都穷举所打开软件的标题和内容，如果含有“杀毒软件、进程、专杀”等等对它不利的关键字，就会马上关闭该窗口。比如常用的“进程管理器”一打开就马上被关闭掉了。我常推荐的“超然进程管理器”也是一样，所以这个案例我暂时不使用它。
　　
　　网上有人居然提出“在进程管理器被关闭之前，迅速的把spo0lsv.exe进程关闭”这个愚蠢的办法....相信能在1秒的时间里在一堆进程列表里找到这个进程并关闭它的人，不太多。
　　
　　好了，进入安全模式。
　　运行下载好的autoruns.exe，不管它是否也已被病毒感染，我们看到的界面如上图所示，我们需要关注的内容是“登录”和“服务”两项。
　　
　　其中“登录”一栏截图如下：

如上图所示，在 HKLM\SOFTWARE\Microsoft\windows\currentversion\run键下面，有5个列表，除了 ATICC是该机器的ATI显卡控制面板程序外， 8\cmdbcs\iect1v142wyy\RavMonHelp这4个启动项都是病毒产生的文件。
　　在列表的右边，有对应的文件详细路径，分别是：
　　C:\WINNT\alga.exe
　　C:\winnt\rx.exe
　　c:\winnt\iexpl0re.exe (l为字母，0为数字)
　　C:\WINNT\my.exe
　　
　　在HKCU\software\microsoft\windows\currentversion\run下有2个列表，其中 internat是键盘输入法管理程序， svcshare光看图标就知道是熊猫烧香的病毒了。
　　它的详细路径是：
　　 C:\winnt\system32\drivers\spo0lsv.exe (o是字母，0是数字）
　　
　　我们把这5个病毒的启动项前面的勾去掉，并记下路径，也可以在后来再次打开autoruns来查看。
　　
　　接着来看“服务”一栏下部分（上部分在第二个图）里的启动项，如图：

找到这几个病毒文件的启动项后，我们需要做的就是，把这几个启动项前面的勾取消掉。
　　
　　在”登录“一栏应该取消的是
　　8\cmdbcs\iect1v142wyy\RavMonHelp这4个启动项
　　对应的文件详细路径，分别是：
　　　　C:\WINNT\alga.exe
　　　　C:\winnt\rx.exe
　　　　c:\winnt\iexpl0re.exe (l为字母，0为数字)
　　　　C:\WINNT\my.exe
　　
　　如图：

服务里应该取消的，如图：

将这几个启动项前面的勾取消后，如果你运行过感染病毒的文件，先别干别的，重启机器。相反的话，你运行“任务管理器”如果没被强行关闭，那么可以不重启机器，直接进行下步操作
　　因为 C:\winnt\system32\drivers\spo0lsv.exe可能已经运行，且没有办法停止它，也就无法删掉它。只有重启后，由于启动项被取消，它不会被启动，才能被删除。
　　
　　开始-运行-输入cmd 回车，运行命令行。如图：

这里，恐怕要说明一下命令行的几个dos命令了。
　　
　　我们先"cd \winnt" 回车 (意思是，无论当前目录是什么，进入到“\"符号代表的所在盘的根目录下的WINNT目录，如果是 "CD \"则是返回到根目录)
　　
　　再输入 "attrib -s -h -r"回车，这是取消当前目录所有文件的s系统h隐藏r只读属性。（本来可以在”我的电脑“工具-文件夹选项-查看里设置显示系统和隐藏文件，但熊猫烧香病毒好象动了手脚，设置不起作用，所以只好用命令行来了）
　　
　　再用 "del 文件名"的方式将WINNT目录下的4个-5个病毒文件删掉。

可能winnt目录下还有个病毒文件 feige.exe，用del feige.exe命令删除它。
　　
　　
　　再删除以下三个病毒文件
　　
　　如图：

另外，前面还有提到，病毒可能在每个盘的根目录产生两个隐藏文件setup.exe/autorun.inf，同样，用命令行方式先进入该盘，去除目录下的隐藏等属性，再删除

然后，病毒的源头已经没了。
　　这并不是万事大吉了的。记得吗？还有很多已经被病毒感染的文件存在着呢。
　　对于一般疯狂创建文件的病毒来说，我们或许可以手动把病毒文件直接删除，但”熊猫烧香“却不能这样处理。它是采用感染计算机上已经存在的文件的方式来传播的，也许它感染的是你最重要最重要的一个文件--------"A片"...呵呵，我们当然不能直接把文件也删除。手工将病毒从染毒文件里剥离出来也不现实，怎么办？还是那句老话：
　　再手工的，也得用到工具。
　　
　　我们学习的整个步骤，是一般病毒的常用自启动和隐藏方式，对于已经感染病毒的文件，是无能为力的。这时，杀毒软件和专杀工具就派上用场了。
　　
　　“熊猫烧香”百度专页：
　　http://shadu.baidu.com/sitenews/rank.jsp?id=171
　　
　　去下一个专杀工具清除病毒吧。
　　
　　
　　最后，我可以很肯定很肯定的告诉大家，很多病毒，包括有人提到的WOWEXEC病毒，我前几天也是使用autoruns和windows自带的任务管理器、服务管理器帮别人手工搞定的（最近我见过的80%以上的病毒，几乎都使用了系统服务作为隐藏自己和启动自己的方式）。也就是说，学习到如何分析病毒隐藏、启动这个知识，再加点经验，应付再厉害的病毒，大多都是可以解决的。
　　
很多人并不知道如何去区分病毒和正常文件。
　　所以我贴出一个“超然进程管理器”和“任务管理器”的对比图，前者比后者多提供了 PID和程序路径两个有用信息。实际上，有程序路径一项就足够了。
　　
　　如图

需要说明的是，左边的进程图没有HprSnap6.exe进程是因为我先开超然，再开HprSnap6这个抓图程序，再开的任务管理器.....
　　
　　一个一个来说明好了（任务管理器从下到上）：
　　System Idle Process 99% 是表示空闲cpu
　　system 是系统底层进程
　　ProcessManager 是超然进程管理器
　　explorer.exe 是桌面管理器也叫资源管理器，关掉他你的桌面就没了
　　smss.exe是系统必须进程
　　csrss.exe是系统服务，必须有一个该进程
　　winlogon.exe同上，如果被关掉，倒数关机或蓝屏
　　services.exe 这里只有一个该进程，但可以有多个，比如事件纪录、即插即用、网页服务等等都是使用它
　　lsass.exe 不是非常必须，但比如“IPSEC Services”或"Network Location Awareness (NLA)[这个是用的svchost.exe]"这个服务你停止掉，更换IP的时候会非常不方便，所以留着。或“Protected Storage”服务是网页服务器IIS必须的。
　　
　　★svchost.exe 是个特别的进程，它是很多服务的宿主，也是很多病毒、流氓软件利用的对象。在进程列表里，至少有2个svchost.exe是不能被关闭的，一关或产生错误就倒数关机，而以前的冲击波、震荡波病毒正是利用的这个漏洞。一般来说，5个该进程是正常的。
　　如：
　　Automatic Updates服务，微软的在线更新
　　DCOM 服务器进程启动器，如果关掉它，你会发现有很多东西用不了，使用DCOM动态组件的比如“QQ游戏”会不能打开游戏。
　　Network Connections服务，关掉它，你会发现“拨号与网络连接”里的“本地连接”“无线网络”等等都不见了.....
　　Remote Procedure Call (RPC)最重要的服务，也不能关闭。
　　等等。
　　中了毒，最好首先就看看服务里使用svchost.exe的服务有哪些....
　　
　　avp.exe是我的卡巴斯基
　　EM_EXEC是罗技鼠标驱动
　　VM_Sti是摄像头驱动
　　ctfmon是输入法图标
　　ICalclk是微软的增值包里的一个万年农历
　　taskmar是任务管理器本身
　　conime是输入法
　　iexplore.exe是IE浏览器
　　
　　
　　★需要特别说明的是，不是光看进程名，比如"iexplore.exe"就可以确定不是病毒的。前面的“熊猫烧香”就有伪装"spo0lsv.exe"让人误会成"spoolsv.exe"的诡计，这是单纯的字面伪装容易识破。
　　但任务管理器不能显示程序路径这个缺点给了某些病毒可乘之机。
　　比方说，svchost.exe进程正常是处于 system32目录下。如果有个病毒也使用“svchost.exe”这个名称，只不过放到winnt目录下的话.....任务管理器显示的只是看上去再也正常不过的"svchost.exe"这个程序名，你得使用超然等第三方工具才能知道它的真面目。
　　再比如我以前提到过的inetsrv\csrss.exe弹广告病毒，也是将自己放到不同与正常的"system32"目录的"system32\inetsrv"目录来欺骗用户的。
　　
　　
　　总之，如何识别病毒也是需要经验和积累的。

补充：
　　该病毒会在各种文本、网页文件后部添加一段恶意代码，到某网站下载一个攻击列表然后进行拒绝服务攻击。
　　
　　建议大家下载一个小巧的文本编辑工具来将此段代码替换掉(网络上都是教人用Macromedia Dreamweaver这个专业的比较庞大的网页编辑工具来替换，汗~~~有点不值得。)：
　　
　　推荐工具： UltraEdit
　　下载地址： http://www.greendown.cn/soft/737.html
　　
　　使用方法，我复制如下，并会对他做相应的修改：
　　
　　---------转自百度知道-------
　　熊猫烧香病毒解决方案（重整）
　　悬赏分：0 - 解决时间：2007-1-13 14:00
　　说一下我与熊猫做斗争的五天的过程，绝对值得大家对此病毒的防治。
　　先声明一下，这个病毒的特性，对于网上说过的我就不多说了，我主要说的是这个病毒的另一个特性，肯定大家都有这样的感觉，当用目前网上推出的熊猫烧香病毒专杀 Worm.Nimaya 专用清除工具（瑞星）；超级巡警-熊猫烧香病毒专杀这两个专杀工具后，一上网病毒会再次发作，杀完之后总觉的电脑还是运行速度慢，点左键也不管用的问题，这也说是我今天要说的重点。
　　其实在对“熊猫烧香”病毒的认识上，还要加深认识，那就是它不仅修改注册表信息、结束一些对头的进程、禁用一系列服务、删除若干安全软件启动项信息、遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件等等。有一个更可怕的是它能自动改动电脑系统内存在的*.asp;*.html,*.js;*.php;*.htm;*.txt等网页构成文件，在你电脑所有的这些文件编码的最后一行会隐蔽性地自动加上一段病毒指向的网页链接代码，并且指向的网页链接代码也是多变的，如此的隐蔽当然是无法防治了，前面说的两个专杀工具对此也无能无力。因为专杀无法判断那个是病毒指向，那个是文件本身的，所以在用专杀之后，只要你一上网，其病毒代码就自动与病毒网站链上，导致病毒再次发作，为此，只好手动删除了。
　　方法是：1、先用专杀工具查杀 2、点开始，用搜索找*.htm或者*.asp等，找到一个后就用Dreamweaver打开。3、Dreamweaver可能大家有些人没有用过，这里提供一个下载地址：http://www.caiqing.net/view_detail.php?id=341。4、用Dreamweaver打开*.htm或者*.asp文件后，在代码编辑窗口找到最后一行，你可以看到这个熊猫烧香病毒的网页链接的指向代码，比如：<iframe src=http://www.krvkr.com/worm.htm。将这串代码复制下来，点Dreamweaver编辑窗口的“查找和替换”，在“查找和替换”，界面选择文件夹，然后点右边的浏览，选择“C盘”，在替换的栏里打一个空格或者不会，然后执行全部替换，之后点Dreamweaver“文件”窗口的“保存全部”。就OK了，如此的方法再对“D”盘“E”盘等作处理，你电脑有几个盘就处理几次，将你电脑上爱感染的文件中的网页指向代码全部删除。5注意在做完这些工作后只可用右键打开相应的盘符，不可用左键直接点击盘符，这时保险一点再用专杀工具再查杀一下，为保险立即重装系统，做完这些工作后，基本上就OK了，可能有些电脑会在重新装完系统后还会有“D”盘等打不开的现象，这是因为AUTORUN。INF对盘符属性更改的原因，不要急，比较简单的办法是先将D盘上的文件拷到E盘上，然后对D盘作格式化处理，然后再拷回文件，同样的办法对其它盘做格式化处理，好了，一切问题都解决了。
　　这是我的一点认识，希望对大家有所帮助，病毒太可恶了，让我们共同努力。

作者: wyylf 时间: 2007-3-28 13:55

高手啊！！！！
保存下来慢慢看。

作者: wjmwjm 时间: 2007-3-28 18:23

如果不是转帖古哦来的饿那么楼主就只真真的电脑高手

作者: jack2010 时间: 2007-3-30 15:59

太复杂了，不过学习学习也是有益的，谢谢。

作者: mabingch 时间: 2007-4-8 13:19

好像很深奥！！看得我只迷糊，还是等感染了再说吧！！谢谢

作者: copo2046 时间: 2007-4-8 16:29

楼主真是强人，真是佩服，有机会要多发这样的帖子，也可以多学习学习！

作者: tclltcll 时间: 2007-4-8 17:47

讲得很详细，但太麻烦了一点，希望简单点的好，谢谢。

作者: return 时间: 2007-4-13 10:20

支持强贴，红心一颗表心意！

作者: lgm 时间: 2007-4-13 12:38

楼主真是电脑高手啊，先下载下来慢慢看，谢了啊！

作者: 33644652 时间: 2007-4-13 19:40

果然厉害可是如果不是熊猫烧香我怎么能知道哪个项目才是病毒啊？正常的也不清楚都有哪些才是啊

作者: zjhnau99 时间: 2007-4-14 11:56

好详细啊，楼主辛苦了！

我得好好研究，免得每次中招就直接“format C ”了，呵呵！

作者: hanghang 时间: 2007-4-14 16:47

厉害，感谢楼主这么好的贴，希望以后多发，大力支持。

作者: heili 时间: 2007-4-16 09:02

楼主辛苦了，非常感谢！

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://23.225.172.118/bbs3/)