最近,一個叫“熊貓燒香”的病毒把電腦用戶折騰得苦不堪言,在人們心目中,“熊貓”這個國寶似乎不再可愛,而成了人人喊打的過街老鼠,
如何成功清除“熊貓燒香”病毒
。“熊貓燒香”蠕蟲不但可以對用戶系統(tǒng)進(jìn)行破壞,導(dǎo)致大量應(yīng)用軟件無法使用,而且還可刪除擴(kuò)展名為gho的所有文件,造成用戶的系統(tǒng)備份文件丟失,從而無法進(jìn)行系統(tǒng)恢復(fù);同時該病毒還能終止大量反病毒軟件進(jìn)程,大大降低用戶系統(tǒng)的安全性。
這幾天“熊貓燒香”的變種更是表象異;钴S,近半數(shù)的網(wǎng)民深受其害。用戶除了可以從http://tool.duba.net/zhuansha/253.shtml下載金山毒霸的“熊貓燒香”專殺來對付該病毒外,金山毒霸技術(shù)專家還總結(jié)的以下預(yù)防措施,幫你遠(yuǎn)離“熊貓燒香”病毒的騷擾。
木馬名稱:setup.exe
木馬大。91,648字節(jié)
所在位置:由C至Z盤的根目錄下
附帶文件:autorun.inf
文件內(nèi)容:
[AutoRun]
PEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
所在位置:由C至Z盤的根目錄下
木馬名稱:spoclsv.exe
木馬大。91,648字節(jié)
所在位置:C:\windows\system32\drivers\
木馬特征:該木馬病毒利用微軟IE漏洞(IE7.0也未被幸免)通過網(wǎng)站傳播,中了此木馬的電腦,會有以下特征:
1、在任務(wù)管理器里有spoclsv.exe文件進(jìn)程。
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到 2、在每個盤符的根目錄下面生成以上的setup.exe和autorun.inf兩個文件,當(dāng)用戶打開電腦的任意一個盤,即執(zhí)行該木馬病毒。
3、該木馬會強制關(guān)閉用戶打開的“任務(wù)管理器”。
4、該木馬會強制關(guān)閉用戶打開的“注冊表編輯器(regedit)”、“系統(tǒng)配置實用程序(msconfig)”、IceSword等程序文件。
5、該木馬會強制關(guān)閉用戶電腦上安裝的防病毒及網(wǎng)絡(luò)監(jiān)控軟件,其中包括Symantec的norton企業(yè)版。
6、該木馬修改注冊表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000。
7、該木馬會刪除電腦默認(rèn)的共享目錄。
另外該木馬還會刪除并感染.com、.pif、.scr、.exe文件,并生成一個以原文件名.exe.exe文件或.exe的燒香熊貓圖標(biāo)文件,并會尋找并刪除.gho備份文件。
解決辦法:
1、拔掉網(wǎng)線斷開網(wǎng)絡(luò),打開Windows任務(wù)管理器,迅速找到spoclsv.exe,結(jié)束進(jìn)程,找到explorer.exe,結(jié)束進(jìn)程,再點擊文件,新建任務(wù),輸入c:\WINDOWS\explorer.exe,確定。
2、點擊開始,運行,輸入cmd回車,輸入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到 如果你的硬盤有多個分區(qū),請逐次將c:改為你實際擁有的盤符(C盤-->Z盤)。上述兩個木馬文件為只讀隱藏,會修改Windows屬性,使用戶無法通過設(shè)置文件夾選項顯示所有文件及文件夾的功能看到。
3、進(jìn)入注冊表,刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、刪除C:\windows\system32\drivers\spoclsv.exe
5、修復(fù)或重新安裝防病毒軟件并升級病毒庫,徹底全面殺毒,清除恢復(fù)被感染的.exe文件。
6、屏蔽熊貓燒香病毒網(wǎng)站pkdown.3322.org和ddos2.sz45.com,具體方法如下:
打開C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到 # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修復(fù)文件夾選項的“顯示所有文件及文件夾”的方法:
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右邊的窗口中雙擊CheckedValue鍵值項,該鍵值應(yīng)為1.如果值不為1,改為1即可,
電腦資料
《如何成功清除“熊貓燒香”病毒》(http://m.msguai.com)。如果你設(shè)置仍起不了作用,那么接下來看。
有些木馬把自己的屬性設(shè)置成隱藏、系統(tǒng)屬性,并且把注冊表中“文件夾選項中的隱藏受保護(hù)的操作系統(tǒng)文件”項和“顯示所有文件和文件夾”選項刪除,致使通過procexp可以在進(jìn)程中看到,但去文件所在目錄又找不到源文件,無法進(jìn)行刪除。(正常如圖,被修復(fù)后看不見圖中標(biāo)注的項)
針對這種情況可以把下面內(nèi)容存儲成ShowALl.reg文件,雙擊該文件導(dǎo)入注冊表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到 "Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
具體操作方法:
1)通過記事本新建一個文件
2)將以上內(nèi)容復(fù)制到新建的記事本文件中
3)通過記事本文件菜單另存為show.reg
4)雙擊存儲的showall.reg文件,點擊彈出的對話框是按鈕即可。
注意:以上方法對win2000和XP有效
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到 B、HKEY_LOCAL_MACHINE Software Microsoft windows CurrentVersion explorer Advanced Folder Hidden SHOWALL,將CheckedValue鍵值修改為1
但可能依然沒有用,隱藏文件還是沒有顯示,這是因為病毒在修改注冊表達(dá)到隱藏文件目的之后,把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,并且把鍵值改為0!
方法:刪除此CheckedValue鍵值,單擊右鍵 新建Dword值,命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。
【專家總結(jié)】
1、立即檢查本機administrator組成員口令,一定放棄簡單口令甚至空口令,安全的口令是字母數(shù)字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權(quán)限的用戶名,單擊右鍵,選擇設(shè)置密碼,輸入新密碼就行。
2、利用組策略,關(guān)閉所有驅(qū)動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統(tǒng),在右邊的窗格中選擇關(guān)閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅(qū)動器,再選取已啟用,確定后關(guān)閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標(biāo)鍵+E),點工具菜單下文件夾選項,再點查看,在高級設(shè)置中,選擇查看所有文件,取消隱藏受保護(hù)的操作系統(tǒng)文件,取消隱藏文件擴(kuò)展名。
4、時刻保持操作系統(tǒng)獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護(hù)本地計算機。
對于未感染的用戶,專家建議,不要登陸不良網(wǎng)站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網(wǎng)時應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。
熱門推薦:教你幾招判斷系統(tǒng)是否被流氓侵犯多窗口瀏覽器Opera 9.0新版怒放
上一頁 1 2 3 4 5 6 7
點擊閱讀更多學(xué)院相關(guān)文章>>
分享到