|
编者按:本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。
在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
- 1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
- 2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
- 3.找回被熊猫烧香病毒删除的ghost(.gho)文件,详情请见文中!
- 4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
熊猫烧香病毒(非原图)
被感染的程序(实际图)以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分区根目录生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
上一篇:图解Photoshop绘制漂亮五彩羽毛
下一篇:敢为经典!36个IE7快捷键大放送
|
