神马文学网“熊猫烧香”病毒的清除方法
来源:百度文库 编辑:神马文学网 时间:2024/04/26 00:22:31
可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这个病毒 Windows 和常用的系统组件,如 IE、Messenger 等的运行倒没有多大影响,但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。一旦这几种类型的文件被感染,文件的图标就会变成一个很恶心的烧香熊猫的样子,同时文件大小变大(病毒已经寄生在其中),只要试图运行这些中毒的文件,病毒就会进一步地疯狂扩散。
受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。
和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。
1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。
2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。
3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:
4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这些垃圾全部删除。
5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户,每个用户帐户的 HKEY_CURRENT_USER 都要清理。
6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask,设置命令为 C:RiSingRavRavTask.exe -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。
7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。
到这个地步,病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件,一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具,但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE,对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6,名为 KillPanda.BAT,这个工具总算没有让人失望,经过扫描后,被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标,而且文件大小也恢复正常了,可以正常运行,总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件,文件的生成时间、修改时间和访问时间就都保不住了,最后还是留下了一点“后遗症”。
受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。
和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。
1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。
2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。
3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:
4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这些垃圾全部删除。
5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户,每个用户帐户的 HKEY_CURRENT_USER 都要清理。
6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask,设置命令为 C:RiSingRavRavTask.exe -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。
7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。
到这个地步,病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件,一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具,但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE,对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6,名为 KillPanda.BAT,这个工具总算没有让人失望,经过扫描后,被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标,而且文件大小也恢复正常了,可以正常运行,总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件,文件的生成时间、修改时间和访问时间就都保不住了,最后还是留下了一点“后遗症”。
“熊猫烧香”病毒的清除方法
熊猫烧香病毒幕后
“熊猫烧香”病毒幕后黑手曝光[转贴]
熊猫烧香病毒制造者在湖北落网
“熊猫烧香”病毒幕后黑手曝光[转贴]
“熊猫影子”病毒现身互联网 与熊猫烧香极相似
“熊猫烧香”病毒制造者现身成都 认养一只熊猫
“熊猫烧香”病毒终极解决方案 彻底剿杀病毒
AutoRun.inf 病毒的清除方法
Infostealer.Gampass病毒的清除方法
清除“Recycler”病毒文件的方法
清除“Recycler”病毒文件的方法
清除“Recycler”病毒文件的方法1
清除“Recycler”病毒文件的方法2
清除“Recycler”病毒文件的方法3
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”
“熊猫烧香”可能变金猪 国家病毒中心下追查令
“熊猫烧香”可能变金猪 国家病毒中心下追查令
熊猫烧香病毒制造者将出狱 称欲维护网络安全
陈辉[原创]自定义病毒专杀工具1月15号更新,可杀最新的熊猫烧香变种
“熊猫烧香”:李俊的人生拐点
对付病毒通用清除方法
清除“Recycler”病毒文件方法
清除 “Recycler” 病毒 文件 方法