2010年12月27日

jusodl.exe OSo.exe severe.exe conime.exe 熊猫烧香最新变种
熊猫烧香新变种的病毒特征如下:

1、系统时间总是固定到某年某月某天 如2004年1月22日
2、不能更改 显示隐藏所有文件和文件夹 选项无法显示隐藏的系统文件
3、双击硬盘速度明显变慢 或者弹出选择打开方式
4、打不开杀毒软件
5、打不开任务管理器
6、安全模式也无法结束(绑架了winlogon)
7、无法打开应用程序 office文档等

解决办法

诺顿2006年2月6日的病毒定义 仍不能检测到该病毒!

以下为U盘上的病毒样本 如下图 切记!碰到此类情况不要点击如果已经发现感染 更不要盲目的重装系统 重做系统没有用的都不是第一天玩小熊猫了吧 不过这回是个美女 不过我这样的 很少上当嘿嘿


重要提示:

1、本文操作全程在”安全模式下“进行(其实正常模式也一样但还是断网吧);
2、不要在杀毒过程中插入软盘 U盘 移动硬盘 Mp3 等移动设备
3、本次杀毒过程中不要双击硬盘分区 如C D E盘 通过右键 ---选择 打开来打开硬盘分区
4、不要盲目的重装系统 重装系统解决不了任何问题。
5、开始---运行---输入 gpedit.msc 确定

按如下操作提示 关闭自动运行


计算机中毒初期:不会有很明显的症状 打开硬盘分区特别慢!几秒钟之后几乎所有的程序都打不开了
特别是在运行其中一个exe后 情况变得很糟糕:诺顿无法检测到病毒打不开进程管理器 打不开诺顿(安全模式一样)打不开很多东西!无法正常使用

如果你什么都打不开了可以使用Autoruns这个小程序可以打开注册表

autoruns.rar 点击下载此文件

用autoruns发现不明进程:无法结束

jusodl c:\windows\system32\severe.exe
pnvifj c:\windows\system32\jusodl.exe
severe.exe C:\WINDOWS\system32\severe.exe
conime.exe C:\WINDOWS\system32\drivers\conime.exe
c:\windows\system32\drivers\pnvifj.exe

第一步 注册表清理

大家注意 这几个进程联合作用 但最主要的就是干掉最根本的进程用autoruns.exe(病毒没有理会这个软件)检查你就会发现这几个进程是互相作用的由conime.exe绑架winlogon 所以只要你启动计算机就会启动病毒,首先找到conime.exe jusodl.exe 直接按Delete键。

 


然后打开autoruns上[映像劫持] 你就会发现包括360在内的流行杀毒软件都被劫持(奇怪~) 把所有的都劫持都删除留下 Your Image File Name Here without a pathSymbolic Debugger for Windows Microsoft Corporation c:\windows\system32\ntsd.exe 这个是微软的

除了这个ntsd.exe全干掉~不然你打开这些软件 其实打开的是病毒而已所以 你也打不开这些软件 只要这些劫持在 病毒是杀不干净的
找到{启动执行}删除如下的2个启动项 severe.exe和jusodl.exe 删

安全卫士可以打开了 而且也可以暂时的上一下网但我估计很快就又被劫持

因为我偏好用安全卫士操作方便直观 所以执行到这里注册表清理实在是不直观 直接用安全卫士(感觉像在做广告其实我很鄙视这软件商但这个软件确实还好用)选中如下的勾勾~往下拉还有很多然后点下方的修复选中项

使用安全卫士的系统全面诊断 扫描完成后将需要删除的项目选中 本例中诸如如下字符串的全部选中修复
jusodl
pnvifj
severe.exe
jusodl.exe
CTMONTv.exe
修复hosts文件

注册表清理完毕

注意:用安全卫士修复时 安全卫士会修复注册表并删除该文件但是要注意的是 病毒很容易会又被创建,杀毒过程中时应时刻注意使用卫士扫描系统


第二步 显示隐藏的病毒文件

但是病毒还在我们的机器里 继续下面的操作,打开注册表编辑器
1、开始 运行 输入regedit 回车
2、如果打不开就找到regedit.exe改为regedit.com或者找symantec工具去修复
3、注意 不要随便就重新启动计算机否则极有可能你上面的工作都白做了
4、接步骤1进行如下操作 找到如下路径

注意:病毒在这里做了手脚 不要以为你改成1就没事了病毒把Checked值类型改成了二进制所以即便是你改成1也无法显示隐藏文件!


找到如下注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边的Checked 新建DWORD值 数值改成1
注意:如果操作不当 又释放了病毒 注册表会被改回去

第三步:删除硬盘上的病毒文件
注意杀毒不要双击任何硬盘 尤其是U盘和活动硬盘!!
强烈建议使用dos命令删除
如果你发现删完还会自己生成 请退回步骤1注册表检查 Driver底下的优先删除
c:\windows\system32\drivers\pnvifj.exe (先删这个 这个是关键切断来源)
C:\WINDOWS\system32\drivers\CTMONTv.exe
C:\WINDOWS\system32\jusodl.dll(删除这个)
C:\WINDOWS\system32\drivers\conime.exe(再删这个)
c:\windows\system32\severe.exe(如果没错的话 这时候使用卫士卫士会帮你干掉下面2个)
c:\windows\system32\jusodl.exe
(手动删除)


注意:
删除完毕后 使用卫士再扫描一遍 然后再小心清理移动设备上的文件反复多次 注意一定要确认 不再产生了再重新启动

右键打开CEDF每个硬盘检查一便 删除autorun.inf 、OSO.exe、Setup.exe 当然还有那个美女游戏的dos快捷方式!如果提示操作失败 快回头看看吧 还是那句话 操作要小心翼翼

修复系统:
双击打不开硬盘分区开始-运行 输入regedit 找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除然后关闭注册表 再打不开还有一种可能就是 就是我也不知道重新启动一切就ok了
修复Office :重新运行Office安装程序 修复即可

总结:熊猫病毒变种非常的快 这个变种没有太大的危害感觉像是某些人恶作剧的产物 但通过U盘死而复生 屡禁不止这个病毒原理很简单 但操作起来需要细心 稍有疏忽便死灰复燃归根结底还是病毒定义无法检测到的原因而且 病毒会阻止你使用杀毒软件阻止你下载病毒定义

专杀工具下载:



posted @ 2010-12-29 10:34 大宝儿 阅读(376) | 评论 (0)编辑 收藏
 
一些注意事项:
 1、从SDK中使用到了两个方法
       a. SearchDatastoreSubFloders_Task:在一个特定的datastore(数据存储)中查找所有的.VMX文件。
       b.RegisterVM_Task:注册一个VMX文件
2、在常见的FAQ中RegisterVM_Task方法解答中:resourcepool是必须的。
3、客户机会被注册到一个特定的数据中心(datacenter)或者是集群中的一个数据中心。
4、客户机注册的文件夹将会隐藏一个文件夹"VM"
5、客户机注册的资源池也是隐藏的资源池"Resources"
6、被注册的名称与现有的重名,RegisterVM_Task方法将会失败。
7、*.VMX文件就是要注册的文件名,例如:PC1.vmx,就是客户机的PC1
   
$folder = Get-View (Get-Datacenter -Name <datacenter-name> | Get-Folder -Name "vm").ID
$pool = Get-View (Get-Cluster -Name <cluster-name> | Get-ResourcePool -Name "Resources").ID
$guestname = [regex]"^([\w]+).vmx"
$esxImpl = Get-VMHost -Name <VMHost-name>
$esx = Get-View $esxImpl.ID
$dsBrowser = Get-View $esx.DatastoreBrowser
foreach($dsImpl in $dsBrowser.Datastore){
  $ds = Get-View $dsImpl
  $vms = @()
  foreach($vmImpl in $ds.Vm){
    $vm = Get-View $vmImpl
    $vms += $vm.Config.Files.VmPathName
  }
  $datastorepath = "[http://" + $ds.Summary.Name + "|http://" + $ds.Summary.Name + "]"
 
  $searchspec = New-Object VMware.Vim.HostDatastoreBrowserSearchSpec
  $searchSpec.matchpattern = "*.vmx"
  $taskMoRef = $dsBrowser.SearchDatastoreSubFolders_Task($datastorePath, $searchSpec)
  $task = Get-View $taskMoRef
  while ($task.Info.State -eq "running"){$task = Get-View $taskMoRef}
  foreach ($file in $task.info.Result){
    $found = $FALSE
    foreach($vmx in $vms){
      if(($file.FolderPath + $file.File[0].Path) -eq $vmx){
        $found = $TRUE
      }
    }
    if (-not $found){
      $vmx = $file.FolderPath + $file.File[0].Path
      $res = $file.File[0].Path -match $guestname
      $folder.RegisterVM_Task($vmx,$matches[1],$FALSE,$pool.MoRef,$null)     
    }
  }
}
posted @ 2010-12-27 14:05 大宝儿 阅读(3341) | 评论 (0)编辑 收藏