如何解决熊猫病毒反复多次感染?
发布网友
发布时间:2022-05-24 05:26
共11个回答
热心网友
时间:2022-07-01 00:24
中文:熊猫烧香病毒(又称武汉男生)
英文:Worm.WhBoy
目前发现的变种数已超过50个
典型表现:
感染病毒后发现较多的.EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型文件
分区根目录下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
spoclsv.exe
局域网环境下:GameSetup.exe
病毒行为:
1、删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件
2、终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。
3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4、弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播。
5、修改注册表键值,导致不能查看隐藏文件和系统文件。
6、除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。
WINDOW,Winnt,System Volume Information,Recycled, Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger, InstallShield Installation Information,MSN,Microsoft Frontpage, MovieMaker,MSN GaminZone
7、病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
解决办法:
1、首选专杀工具
专杀工具是效能最好的方案,能处理已知变种,缺点是有新变种后,专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。
2、在线杀毒
因为熊猫烧香病毒的特殊性,杀毒软件本身可能会被感染,病毒还会尝试结束杀毒软件进程和服务,但病毒不感染IE浏览器,用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的,可以去sha.ba.net试试。
3、重启系统到带网络连接的安全模式,升级杀毒软件后杀毒。可单击开始,运行,输入msconfig,打开系统配置实用程序,点击BOOT.INI标签,选择/SAFEBOOT和NETWORK,重启即可进入带网络连接的安全模式。
4、手工清除
因为熊猫烧香病毒是感染型的病毒,手工清除相当麻烦,网友公布的手工清除方案只能手工结束病毒进程,一段运行了感染过熊猫烧香病毒的程序,还会再中招。以下简单介绍手工结束病毒进程,修复注册表项的步骤:
a.断开网络,禁用网卡或拔掉网线就行;
b.结束病毒进程,因为任务管理器、IcdSword已无法运行,已感染病毒的机器上很难实现。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/
ProcessExplorer.mspx下载一个Process Explorer备用,郁闷的是光缆没修好,官网下载速度巨慢。可以百度一下,到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母,打印服务文件名为spoolsv.exe),就用这个工具结束掉。
c.在本地计算机上搜索并删除以下病毒执行文件:
分区根目录下:setup.exe、autorun.inf(这个本身不是病毒,但它的存在是为了双击磁盘自动调用病毒程序,建议删了吧)
%System%\Fuckjacks.exe;%System% \Drivers\spoclsv.exe
局域网环境下:GameSetup.exe
d. 开始-->运行—>输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "FuckJacks"="%System%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svohost"="%System%\FuckJacks.exe"
浏览到
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL]
,单击右键,点新建——Dword值——命名为CheckedValue(如果已经有,可以删除后重建),修改它的键值为1,为十六进制,按确定后,退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
e.修复或重新安装反病毒软件,以恢复被病毒删除的注册键值,恢复杀毒软件的功能。
f.最后,还是要更新反病毒软件全盘扫描,把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑,一定要保护好自己编辑的Web文档,保护好自己的Web服务器,如果发现网站上传文件带毒,应该及时删除,重新上传。
有关该病毒的预防,请参考www.xiongmaoshaoxiang.com上介绍的方法,或者看这里http://www.ba.net/zt/panda/ 。特别提示一下,今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能,对预防熊猫烧香病毒会起到遏制作用。
参考资料:http://pfw.sky.net.cn/article/3784.html
热心网友
时间:2022-07-01 01:42
杀毒请重新启动系统按F8到安全模式,最后修复不能使用的相关软件(如,MS Office,SAP等)
下面是一些防范措施,不要求必须这样做,仅供参考!
1,该病毒会删除GHOST的备份文件。建议有该文件的先将*.gho该为其他扩展名!如*.abc
2,请检查你的Windows,尤其是IE(怎么检测系统漏洞附件有说明) 确认系统有漏洞但更新失败者,建议使用Opera,Firefox等浏览器
3,在每个盘根目录新建一个autorun.inf的文件夹,里面不包含内容,右键打开属性->安全,权限设为任何用户都决绝 (附件有图示)
4,打开我的电脑,工具->文件夹选项->查看,设置为显示应藏文件和扩展名,以查看不明文件的真实属性。
选择后依然不显示的导入附件的注册表文件"4.显示所有文件.reg"
热心网友
时间:2022-07-01 03:16
重新做系统 可以!但是还有别的问题你知道吗楼上的朋友.这个病毒还附加了蠕虫之类的文件在里面.
建议,如果没有重要的文件在里面推荐整个硬盘重分区(数值分成原来的也可以,目的是打乱病毒的寻址.)整个硬盘格式化.
这个病毒2周前我刚中过
1周前刚解决
心疼啊我删了30G的东西
热心网友
时间:2022-07-01 05:08
我公司用的金山毒巴,家里用的卡巴斯基,都是天天更新升级,结果公司中招3次,家里一点没有事情.
热心网友
时间:2022-07-01 07:16
最好对系统重新分下区再安装系统。.
热心网友
时间:2022-07-01 09:40
您提供的网站,有病毒没?
热心网友
时间:2022-07-01 12:22
这好像是网上说的唯一方法。。。还有说还有微软的补丁,
但该说法还没流传开来。。开来微软不会象处理冲击,振荡波那样来处理这个只在国内有的病毒。专门的补丁如真有真有效,也请大家告知。
热心网友
时间:2022-07-01 15:20
热心网友
时间:2022-07-01 18:34
热心网友
时间:2022-07-01 22:06
这毒太狠了。
热心网友
时间:2022-07-02 01:54
