近日局域网中几台机器中了熊猫烧香病毒,用了好几种专杀工具都不彻底。从网上看到用KV2007启动盘启动机器再用KV2007中的U盘制作病毒库制作最新的病毒库查杀成功率100%。我于是下载了KV2007启动盘并制作了U盘病毒库,用KV2007启动盘启动机器后用U盘升到最新病毒库(2007.1.22)来查杀机器,查到了800多个病毒,但是只杀了42个,其他的只提示查到病毒,什么提示也没有,根本就没杀。请教使用这种方法查杀的同行们,这是什么原因呀?
參考答案:熊猫烧香病毒手工处理方法
2007-01-06 14:07:57 (回复:10 浏览:2191) [资源帖]
一个多毒的年份,一个肆虐的年份,熊猫烧香病毒就像脑白金广告一样,传遍大江南北,
中招者不计其数,杀毒公司的客服电话两分钟响一次,用户的电脑两天就要重装一次。我们
的世界怎么了?白领不再打电话,因为他们一天要花五个小时来杀毒,副教授不再搞研究,
因为他们要叫计算机系学生帮他处理熊猫烧香。熊猫烧香,一个可爱的图标(熊猫模样),
加上一个幽默的动作(点三柱香,像极了香港黑社会拜关公),以迅雷不及掩耳之势,深入
到用户电脑深处。
这篇文章主要描述熊猫烧香病毒的相关信息及手动处理方法,请严格按照顺序进行处理。
一、熊猫烧香有几个变种?
到目前为止,从大体上分,目前主要有四大变种:
变种A:就是FuckJacks.exe进程,它隐藏的全路径是%System32%\FuckJacks.exe
变种B:就是spoclsv.exe进程,它隐藏的全路径是:%System32%\Drivers\spoclsv.exe
变种C:对抗杀毒软件及专杀工具,杀毒公司惨遭屠戮(驱逐舰因为其超强免疫功能,所以
免受其害)
变种D:最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会
在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下
载不同的后门的版本。
二、中毒症状
1,感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的文件
2,删除GHOST文件(.gho后缀),网吧和学校机房深受其害
3,禁用进程管理器,禁用注册表
4,拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该
盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统
5,修改注册表,加载自启动,并禁止显示隐藏文件
6,通过IPC$共享跨机传染,弱密码或空密码的文件服务器就要遭殃了
7、禁用杀毒工具运行
三、处理方法
1,结束病毒进程,如FuckJacks.exe,spoclsv.exe进程。但因为中毒后无法打开任务管理器,
所以必须通过第三方进程管理器来结束进程,建议使用,
用此工具打开进程后,找到相关的进程,并将之结束。结束进程后,任务管理器和注册表就可
以打开了
2,修改注册表.
以下位置为注册表十三处启动项位置,去掉可疑启动项
HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load
HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit
HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
HKLM-Software-Microsoft-Windows-CurrentVersion-Run
修改以下位置,目的是可以显示隐藏文件,因为熊猫病毒不允许显示隐藏文件,所以我们要改
回来把ckeckedvalue的值由0改为1即可。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
"CheckedValue"=dword:***********
3,显示隐藏文件,我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹,去掉隐藏受保护的
操作系统文件前面的钩,找到病毒文件,%System32%\FuckJacks.exe或
%System32%\Drivers\spoclsv.exe或%System32%\twunk32.exe并将其删除,找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,,,,,(注意这些文件都
是隐藏文件,如果你没显示隐藏文件的话,那看不到)并在相关目录底下新一个同名的文件,并
设置为只读,如果是NTFS分区,则去掉其他所有的NTFS权限.
4,做完以上步骤后,重启电脑,熊猫烧香病毒原本就手工处理了,但本机被感染的文件还在,
在用杀毒软件全盘扫描前,千万不要执行本机的其他应用程序或.exe文件,切记,切记
四,预防方法
按以上方法处理完后,熊猫烧香病毒很有可能再来,怎么办?
1,首先给本机设一个复杂密码,如果有没特殊应用的话,可禁用本机共享,方法为禁用server服务
2,安装杀毒软件,并升级到最新,查杀全盘
3,更新全部操作系统补丁