 |
|
|
|
熊猫烧香病毒专杀及手动修复方案 |
|
|
|
|
|
本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。 在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点: 熊猫烧香病毒变种一:病毒进程为“spoclsv.exe” 这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。 病毒描述: “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 spoclsv.exe进程"熊猫烧香"解决方案: 1. 结束病毒进程: %System%\drivers\spoclsv.exe 不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。 “%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。) 查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。 2. 删除病毒文件: %System%\drivers\spoclsv.exe 请注意区分病毒和系统文件。详见步骤1。 3. 删除病毒启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件: X:\setup.exe 5. 恢复被修改的“显示所有文件和文件夹”设置: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion 6. 修复或重新安装被破坏的安全软件。 7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用:金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具,也可用手动方法。 8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。 FuckJacks.exe进程"熊猫烧香"解决方案 1. 断开网络 2. 结束病毒进程:%System%\FuckJacks.exe 3. 删除病毒文件:%System%\FuckJacks.exe 4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件: X:\autorun.inf 5. 删除病毒创建的启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 6. 修复或重新安装反病毒软件 7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。 手动恢复中毒文件(在虚拟机上通过测试,供参考) 1.在清除病毒文件的同时不删除“%SYSTEM%”下面释放“FuckJacks.exe”的这个文件,即执行之前的步骤1、2、4、5。 2.打开“运行”输入“gpedit.msc”打开组策略——本地计算机策略——windows设置——安全设置——软件限制策略——其它规则。在其它规则上右键选择——新散列规则——打开新散列规则窗口 3.在文件散列上点击浏览找到“%SYSTEM%”下面释放“FuckJacks.exe”文件。安全级别选择——不允许的。确定后重启。 4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。 5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可! 附专杀熊猫烧香工具:
新会有线广播电视网络中心
|
|
|
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
新会有线宽带网2007 |
|
|
|
|