预防第一!熊猫烧香病毒的预防方法
东方嘉新  2007-01-19

预防第一!熊猫烧香病毒的预防方法

 

让众多网友头疼的就是那些可怕的病毒,什么QQ尾巴,DLL木马了等等,现在的病毒可谓是层出不穷,防不胜防啊!下面我们就介绍一下有关熊猫烧香病毒的一系列知识。

在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:

 

  1.注意两种熊猫烧香病毒变种的描述,注意查看病毒症状,根据实际情况选用不同的查杀方法。

  2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!

  3.找回被熊猫烧香病毒删除的ghost(.gho)文件,请使用EasyRecovery Pro.gho文件所在分区进行的写操作越少,找回来的几率越大。

  4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一:病毒进程为“spoclsv.exe

  这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。

       这就是可怕的“熊猫烧香”

  最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。

 

 sspoclsv.exe进程“熊猫烧香”解决方案:

 

  1. 结束病毒进程:

 

  %System%driversspoclsv.exe

 

  不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。但可用此方法清除。

 

  “%System%system32spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)

 

  查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。

 

  2. 删除病毒文件:

 

  %System%driversspoclsv.exe

 

  请注意区分病毒和系统文件。详见步骤1

 

  3. 删除病毒启动项:

 

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

  "svcshare"="%System%driversspoclsv.exe"

 

  4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:

 

  X:setup.exe

  X:autorun.inf

 

  5. 恢复被修改的“显示所有文件和文件夹”设置:

 

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

  ExplorerAdvancedFolderHiddenSHOWALL]

  "CheckedValue"=dword:00000001

 

  6. 修复或重新安装被破坏的安全软件。

 

  7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。

 

  8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

 

 

  其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。

 

  病毒描述:

 

  “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中execompifsrchtmlasp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.ghoGHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

 

FuckJacks.exe进程“熊猫烧香”解决方案

1. 断开网络

 

  2. 结束病毒进程:%System%FuckJacks.exe

 

  3. 删除病毒文件:%System%FuckJacks.exe

 

  4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:

 

  X:autorun.inf

  X:setup.exe

 

  5. 删除病毒创建的启动项:

 

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

  "FuckJacks"="%System%FuckJacks.exe"

 

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

  "svohost"="%System%FuckJacks.exe"

 

  6. 修复或重新安装反病毒软件

 

  7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。

 

  手动恢复中毒文件(在虚拟机上通过测试,供参考)

 

  1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1245

 

  2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口

 

  3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。

 

  4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。

 

  5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREngFuckJacks.exe在注册表里的启动项删除即可!

 

   地址:太原市寇庄北街9号(青龙电脑城西门南100米)
   维修热线:0351-8316788 7346231
   E-mail:jxelec@126.com
   联系人:张挺豪           QQ:178980789
   手机: 13593136686