Mi máquina fue atacada por ncscv32.exe. ¿Cómo borrarlo?

Panda Burning Incense Nueva variante ncscv32.exe Solución 2007-02-01 20:36 Se recomienda configurar la configuración para prohibir el acceso a lovebak.com/krvkr.com/whboy.net Lanzamientos CISRT Panda Burning Incienso Nueva Variante ncscv32.exe Solución 2007-01-31 09:24CISRT lanza la solución para la nueva variante ncscv32.exe de Panda Burning Incense

Uso:

1. herramienta de eliminación para eliminar

2. Reinicie la computadora después de completar el proceso de eliminación

3. Utilice 360 ​​​​Security Guard para eliminar archivos residuales

Dirección de descarga:

/killer_asn.exe

Número de archivo: CISRT2007023

Nombre del virus: Worm.Win32.Fujack.l (Kaspersky)

Virus alias: Worm.Nimaya.cf (Rising)

Worm.WhBoy.bx.68778 (tirano de la droga)

Tamaño del virus: 68,938 bytes

Método de empaquetado: FSG

MD5 de muestra: 0ae2056fa8c99331332fe3cd4e31342d

SHA1 de muestra: e02edb9c99055e00a3390638d0d7b02f9942dcb2

Tiempo de descubrimiento: 2007.1

Hora de actualización: 2007.1 .24

Virus asociados:

Método de propagación: páginas web maliciosas, descargas de otros virus, se pueden propagar a través de LAN

Análisis técnico

=== =======

La nueva variante de Panda Burning Incense es similar a la solución de la variante anterior CISRT2007017 Variante Panda Burning Incense que infecta la página web de modificación del archivo ncscv32.exe.

Después de ejecutar, cópiese al directorio del sistema y ejecute:

System\drivers\ncscv32.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Ejecutar ]

"nvscv32"="System\drivers\ncscv32.exe"

Modifique el registro para invalidar la configuración "Mostrar todos los archivos y carpetas":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword: 00000000

Intenta cerrar la ventana de seguridad. ventana relacionada:

p>

Skynet

Firewall

VirusScan

Symantec AntiVirus

Seguridad del sistema Monitor

Ingeniero de reparación del sistema

Asesino de regalo envuelto

Maestro de detección de troyanos del juego

Super Patrol

Intenta finalizar los procesos relacionados con la seguridad, así como sus variantes anteriores, proceso del virus Viking:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

taskmgr.exe

msconfig.exe

regedit.exe

SREng.EXE

spoclsv.exe

nvscv32.exe

sppoolsv.exe

spo0lsv.exe

Eliminar servicios relacionados con la seguridad:

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

p>

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

Eliminar inicio relacionado con la seguridad elementos:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP

SOFTWARE\Microsoft\Windows \ CurrentVersion\Run\kav

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI

SOFTWARE \ Microsoft\Windows\CurrentVersion\Run\Network Associates Servicio de informes de errores

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive exe

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

Omita los siguientes directorios para infectar archivos EXE/SCR/PIF/COM, pero no infecte setup.exe ni NTDETECT.COM :

C:\

C:\WINDOWS

C:\WINNT

C:\WINDOWS\system32

C:\WINNT\system32

C:\Documentos y configuraciones

C:\Información del volumen del sistema

C:\Recycled

Archivos de programa\Windows NT

Archivos de programa\WindowsUpdate

Archivos de programa\Windows Media Player

Archivos de programa\Outlook Express

Archivos de programa\Internet Explorer

Archivos de programa\NetMeeting

Archivos de programa\Archivos comunes

Archivos de programa\Aplicaciones ComPlus

Archivos de programa\Messenger

Información de instalación de ProgramFiles\InstallShield

ProgramFiles\Microsoft Frontpage

ProgramFiles\Movie Maker

ProgramFiles\MSN Gamin Zone

El método de infección de agruparse en la parte frontal del archivo infectado es similar a la variante anterior y agregar información de etiqueta al final: WHBOY {nombre del archivo original}.exe {tamaño en bytes del archivo original}

Modifique excepto el htm en el directorio anterior /html/asp/php/jsp/aspx archivo de página web, agregue el código iframe oculto al final del archivo: lt iframe src=hxxp://www.lovebak.com/qq; .htm width="0" height="0"gt ;lt;/iframegt;

El archivo Desktop__.ini quedará en el directorio atravesado por el virus y el contenido es la fecha actual

Utilice una contraseña débil para intentar copiarse con el nombre del archivo Games.exe Vaya a otras computadoras en la LAN

Ahora se muestra el lugar donde se dejaron originalmente los "caracteres de comunicación" de la siguiente manera:

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

adsf

hjjjjjj

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!

PD: enumera los tipos de ViKing y Panda

Tipos de ViKing: Logo1_.exe/Logo_1.exe/Rundl132.exe

Tipo de Nimuya: ncscv32.exe/spoclsv.exe/nvscv32.exe/sppoolsv.exe/spo0lsv .exe

Se recomienda configurar una prohibición de acceso al sitio lovebak.com/krvkr.com/whboy.net Panda Update Service

59.63.157.80

hxxp：//www.lovebak.com Nuevo nombre de dominio registrado el 23 de enero de 2007

hxxp：//www.krvkr .com es un nombre de dominio antiguo con muchas malas acciones

hxxp://www.whboy.net

El ejemplo es el siguiente:

drivers\etc\hosts

127.0.0.1 59.63.157.80

127.0.0.1 lovebak.com

127.0.0.1 krvkr.com

127.0.0.1 whboy.net