¿Qué tipo de virus es Panda Burning Incense?

Variante 1 del virus Panda Burning Incense: el proceso del virus es "spoclsv.exe". Esta es una de las primeras variantes de "Panda Burning Incense", la característica especial es "eliminar el software antivirus",

GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe FuckJacks.exe

Solución:

1. Finalizar el proceso del virus :

%System%\drivers\spoclsv.exe

Este directorio puede ser diferente para diferentes variantes de spoclsv.exe. Por ejemplo, el directorio variante que apareció en diciembre es: C:\WINDOWS\System32\Drivers\spoclsv.exe. Pero se puede aclarar de esta manera.

"%System%\system32\spoclsv.exe" es un archivo del sistema. (Actualmente, parece que no hay variantes insertadas en el proceso del sistema y no se pueden descartar cambios en los métodos de las variantes).

Para comprobar la ruta donde se está ejecutando actualmente spoclsv.exe, Puedes usar la configuración mágica de Super Rabbit.

2. Eliminar archivos de virus:

%System%\drivers\spoclsv.exe

Preste atención para distinguir virus y archivos del sistema. Consulte el paso 1 para obtener más detalles.

3. Eliminar elementos de inicio de virus:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\ drivers\spoclsv.exe"

4. Ingrese al directorio raíz de la partición mediante "Abrir" en el menú contextual de la letra de la unidad de la partición y elimine los archivos de virus en el directorio raíz:

X:\setup .exe

Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"= dword:00000001

6. Repare o reinstale el software de seguridad roto.

7. Reparar programas infectados. Se pueden utilizar herramientas especiales para matarlos para repararlos, y se han recopilado cuatro de ellas para que las utilicen los lectores. Herramienta para eliminar el virus de la quema de incienso Kingsoft Panda, herramienta para eliminar el virus de la quema de incienso Antiy Panda, herramienta para eliminar el virus de la quema de incienso Jiangmin Panda y herramienta para eliminar el virus de la quema de incienso Rising Panda. También están disponibles métodos manuales (consulte el final de este artículo).

Virus Fuckjacks.exe

Virus Fuckjacks.exe

Liberar archivo

En el directorio raíz de la partición: setup.exe

En el directorio raíz de la partición: autorun.inf

%System%\Fuckjacks.exe

En un entorno LAN: GameSetup.exe

Proceso de solución

1. Asegúrese de usar el botón derecho del mouse para abrir la letra de la unidad

2. Finalice el proceso Fuckjacks.exe

3. Elimine todos los archivos liberados por él (debajo de cada partición)

4. Elimine la información de registro creada por él

Solución:

El virus utiliza un proceso protección. Se recomienda iniciar la computadora en modo seguro y antivirus. Nunca haga doble clic cuando esté en funcionamiento, seleccione clic derecho para abrir.

1. Abra el administrador de tareas y finalice el proceso FuckJacks.exe.

2. Haga clic derecho en la letra de unidad de cada partición y seleccione "Abrir" para eliminar los archivos setup.exe y autorun.inf en el directorio raíz de la partición.

3. Abra el registro. Encuentra fuckjacks.exe y elimina todo lo relacionado con esto.

4. Los archivos sobrescritos por virus (el tamaño del archivo sobrescrito es 30,465 bytes) son irrecuperables y deben eliminarse directamente; para los archivos modificados, use un editor hexadecimal para eliminar los segmentos de código de 00000000 a 00007700, busque y elimine todos los segmentos de código desde "WhBoy" hasta el final del archivo y guárdelos para restaurar la apariencia original

1. Desconéctese de la red

2. >

%System%\FuckJacks.exe

3. Elimine el archivo de virus:

%System%\FuckJacks.exe

4. haga clic en el símbolo del disco de partición, haga clic en "Abrir" en el menú contextual para ingresar al directorio raíz de la partición y elimine los archivos en el directorio raíz:

X:\autorun.inf

X:\setup.exe

5. Elimine los elementos de inicio creados por el virus:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"FuckJacks"="%System%\ FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"svohost"=" %System%\FuckJacks.exe"

6. Repare o reinstale el software antivirus

7. Utilice un software antivirus o una herramienta de eliminación dedicada para realizar un análisis completo de limpiar y recuperar archivos exe infectados

Pasos de limpieza

==========

1. Desconecte la red.

2. Finalizar el proceso del virus.

%System%\FuckJacks.exe

3. Elimina el archivo de virus:

%System%\FuckJacks.exe

4 Haga clic derecho en la letra de la unidad de la partición, haga clic en "Abrir" en el menú contextual para ingresar al directorio raíz de la partición y elimine los archivos en el directorio raíz.

X:\autorun.inf

X:\setup.exe

5. Elimine los elementos de inicio creados por el virus:

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"FuckJacks"="%System%\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ Run]

"svohost"="%System%\FuckJacks.exe"

6.

7. Utilice un software antivirus o una herramienta de eliminación dedicada para realizar un análisis completo para eliminar y restaurar archivos exe infectados.

Recuperación de archivos envenenados (solo opinión personal, solo probado en mi propia máquina virtual, normal).

En primer lugar, al borrar archivos de virus, no elimine el archivo que libera FuckJacks.exe en %SYSTEM% (el registro debe borrarse).

Abra Ejecutar e ingrese gpedit.msc para abrir Política de grupo - Política de computadora local - Configuración de Windows - Configuración de seguridad - Política de restricción de software - Otras reglas.

Haga clic derecho en otras reglas y seleccione - Nueva regla Hash - para abrir la ventana Nueva regla Hash.

Haga clic en Examinar en el hash del archivo para buscar - Libere el archivo FuckJacks.exe en %SYSTEM%... Seleccione el nivel de seguridad - Confirme que no está permitido y luego reinicie (debe reiniciar).

Después de reiniciar, puedes hacer doble clic para ejecutar el programa que ha sido infectado por Panda - después de ejecutar el programa, el archivo FuckJacks.exe creará un elemento de inicio bajo la clave Ejecutar en el registro (no problema).

Haga doble clic para ejecutar el programa infectado y se restaurará a su estado original. Después de toda la restauración, utilice la herramienta de recuperación de diagnóstico del sistema SRENG2 para eliminar el elemento de inicio de FuckJacks.exe en el registro.

2. Utilice la política de grupo para desactivar la función de reproducción automática de todas las unidades.

Pasos: haga clic en Inicio, Ejecutar, ingrese gpedit.msc, abra el Editor de políticas de grupo, busque Configuración del equipo, Plantillas administrativas, Sistema, seleccione Desactivar reproducción automática en el panel derecho, falta la configuración. La provincia no está configurada, seleccione todas las unidades en el cuadro desplegable, luego seleccione Activado, confirme y cierre. Finalmente, ingrese gpupdate en Inicio y Ejecutar. Después de la confirmación, la política entrará en vigencia.

Solución:

1. Desenchufe el cable de red para desconectar la red, abra el Administrador de tareas de Windows, busque rápidamente spoclsv.exe, finalice el proceso, busque explorer.exe, finalice el proceso y luego haga clic en el archivo, cree una nueva tarea, ingrese c:\WINDOWS\explorer.exe y confirme.

2. Haga clic en Inicio, Ejecutar, ingrese cmd y presione Enter, ingrese el siguiente comando:

del c:\setup.exe /f /q

del c :\autorun.inf /f /q

Si su disco duro tiene varias particiones, cambie c: a la letra de unidad que realmente posee (unidad C-->unidad Z) una por una. Los dos archivos troyanos anteriores están ocultos como de solo lectura y modificarán las propiedades de Windows para que los usuarios no puedan verlos mediante la función de configurar opciones de carpeta para mostrar todos los archivos y carpetas.

3. Ingrese al registro y elimine el valor svcshare en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

4. Elimine C:\windows\system32\drivers\spoclsv.exe

5. Repare o reinstale el software antivirus y actualice la base de datos de virus, realice una limpieza exhaustiva. virus, borre y restaure los archivos .exe infectados.

6. Bloquee los sitios web de panda burn virus pkdown.3322.org y ddos2.sz45.com. El método específico es el siguiente:

Abra C:\WINDOWS\system32\drivers. \etc\host, agregue y modifique el siguiente formato:

# Copyright 1993-1999 Microsoft Corp.

#

# Este es un archivo HOSTS de muestra utilizado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de direcciones IP a nombres de host. Cada

# entrada debe conservarse. en una línea individual la dirección IP debe

# colocarse en la primera columna seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben estar separados por en. al menos un

# espacio.

#

# Además, los comentarios (como estos) se pueden insertar en líneas individuales

# o siguiendo el nombre de la máquina indicado por un símbolo '#'.

#

# Por ejemplo:

#

# 102.54. 94.97 rhino.acme.com # servidor de origen

# 38.25.63.10 x.acme.com # x host de cliente

127.0.0.1 host local

127.0.0.1 *.3322.org

127.0.0.1 *.sz45.com

7. Método para corregir "Mostrar todos los archivos y carpetas" en las opciones de carpeta:

A. Busque la rama HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL, haga doble clic en el elemento de valor clave CheckedValue en la ventana derecha. El valor clave debe ser 1. Si el valor no es 1. , cámbielo a 1.

Si tu configuración aún no funciona, mira el siguiente paso.

Algunos troyanos configuran sus propios atributos ocultos y del sistema, y ​​configuran las opciones "Ocultar archivos protegidos del sistema operativo en las opciones de carpeta" y "Mostrar todos los archivos y carpetas" en el registro. el proceso a través de procexp, pero el archivo fuente no se puede encontrar en el directorio donde se encuentra el archivo y no se puede eliminar.

(Normalmente, los elementos marcados en la imagen no se pueden ver después de ser reparados)

En este caso, puede almacenar el siguiente contenido en el archivo ShowALl.reg, haga doble clic en el archivo para importarlo al registro

Editor del Registro de Windows versión 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath "="Software\ \Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Tipo" ="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot "=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Carpeta\Hidden\SHOWALL ]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32. dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Oculto"

" DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

"Type"="casilla de verificación"

"Text"="@shell32.dll, -30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software \\Microsoft\\ Windows\\CurrentVersion\\Explorer\\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"= dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@ =""

Métodos de operación específicos:

1) Cree un nuevo archivo a través del Bloc de notas

2) Copie el contenido anterior en el nuevo archivo del Bloc de notas

3) Guárdelo como show.reg a través del menú de archivos del Bloc de notas

4) Haga doble clic en el archivo showall.reg almacenado y haga clic en el botón en el cuadro de diálogo emergente.

Nota: El método anterior es válido para win2000 y XP

B HKEY_LOCAL_MACHINE | Software | Microsoft Windows | Avanzado | El valor clave es 1

Pero aún así puede ser inútil y los archivos ocultos aún no se muestran. Esto se debe a que el virus elimina el valor DWORD originalmente válido CheckedValue y crea uno nuevo no válido después de modificar la expresión de registro. para ocultar el archivo. Valor de cadena CheckedValue y cambie el valor de la clave a 0.

Método: elimine este valor clave CheckedValue, haga clic derecho para crear un nuevo valor Dword, asígnele el nombre CheckedValue y luego modifique su valor clave a 1, de modo que pueda seleccionar "Mostrar todos los archivos ocultos" y "Mostrar archivos del sistema" ".