| | 网站首页 | IT资讯 | 电影 | 软件下载 | 图片壁纸 | 留言 | 商城 | 兼职赚钱 | 论坛 | | |
|
|
 |
您现在的位置: IT学习者联盟 >> IT资讯 >> 黑客技术 >> 防毒杀毒 >> 文章正文 |  用户登录  新用户注册 |
|
|||||
| 如何成功清除“熊猫烧香”病毒 | |||||
| 作者:佚名 文章来源:不详 点击数: 更新时间:2008-4-13 | |||||
|
| |||||
| 最近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。 木马名称:setup.exe 木马大小:91,648字节 所在位置:由C至Z盘的根目录下 附带文件:autorun.inf 文件内容: [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 所在位置:由C至Z盘的根目录下 木马名称:spoclsv.exe 木马大小:91,648字节 所在位置:C:\windows\system32\drivers\ 木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征: 1、在任务管理器里有spoclsv.exe文件进程。
|
|||||
| 第 [1] [2] [3] [4] [5] [6] [7] 页 下一页 |
 |
|||||
| 2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。
3、该木马会强制关闭用户打开的“任务管理器”。 4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。 5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。 6、该木马修改注册表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000。 7、该木马会删除电脑默认的共享目录。 另外该木马还会删除并感染.com、.pif、.scr、.exe文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件。 解决办法: 1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。 2、点击开始,运行,输入cmd回车,输入以下命令: del c:\setup.exe /f /q del c:\autorun.inf /f /q
|
| 上一页 第 [1] [2] [3] [4] [5] [6] [7] 页 下一页 |
|
|||||
| 如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。 4、删除C:\windows\system32\drivers\spoclsv.exe 5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。 6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下: 打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式: # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. #
|
| 上一页 第 [1] [2] [3] [4] [5] [6] [7] 页 下一页 |
|
|||||
| # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 127.0.0.1 *.3322.org 127.0.0.1 *.sz45.com 7、修复文件夹选项的“显示所有文件及文件夹”的方法: A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。 如果你设置仍起不了作用,那么接下来看。 有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项) 针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
|
| 上一页 第 [1] [2] [3] [4] [5] [6] [7] 页 下一页 |
|
|||||
| "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
|
| 上一页 第 [1] [2] [3] [4] [5] [6] [7] 页 下一页 |
|
|||||
| "Type"="checkbox"
"Text"="@shell32.dll,-30508" "WarningIfNotDefault"="@shell32.dll,-28964" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowSuperHidden" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51103" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" 具体操作方法: 1)通过记事本新建一个文件 2)将以上内容复制到新建的记事本文件中 3)通过记事本文件菜单另存为show.reg 4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。 注意:以上方法对win2000和XP有效
|
| 上一页 第 [1] [2] [3] [4] [5] [6] [7] 页 下一页 |
|
|||||
| B、HKEY_LOCAL_MACHINE Software Microsoft windows CurrentVersion explorer Advanced Folder Hidden SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0! 方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 【专家总结】 1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。 修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。 2、利用组策略,关闭所有驱动器的自动播放功能。 步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。 3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。 步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。 4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。 5、启用windows防火墙保护本地计算机。 对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
 【责任编辑 徐洋】 |
| 上一页 第 [1] [2] [3] [4] [5] [6] [7] 页 |
|
|
| 文章录入:冷雨 责任编辑:冷雨 | |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |
| 最新热点 | 最新推荐 | 相关文章 | ||
| 如何判断电脑已感染“磁碟机 “守财奴”如何升级电脑? 教你几招如何阻止蓝屏的发生 如何巧妙收集入侵Windows系统 黑客教你如何利用Excel剿灭D 如何让Win XP继续使用七年_I 教你如何查看自己已经开放的 保卫我的网络银行 如何防范网 防范教程:教你如何防止自己 如何用好杀毒软件·IT学习者 |
| 冀ICP备05008378号 Copyright 2005-2008 All Rights Reserved IT学习者联盟 Email: 信手涂鸦 |
