首页电脑软件硬件维修电脑知识 常用软件下载 便民信息吃喝玩乐 深圳热点中国地图 电脑博客 深圳地图

深圳电脑医院-深圳电脑维修网-最专业的深圳电脑上门维修(星期六日 照常服务)

深圳上门电脑维修电话热线:13714191602 OICQ:86892946

-> 更多电脑知识 资源总目录

熊猫烧香-查杀方法

·教你手动清除最近横行的熊猫烧香病毒

·不用烧香拜佛 自己动手消灭“熊猫烧香”

·杀病毒:实例讲解如何干掉“熊猫烧香”

· 最新流行的熊猫病毒查杀方法介绍

·为你支招 预防“熊猫烧香”系列病毒

·平民版扫除熊猫病毒 ·巡警再出手,熊猫当束手

·“熊猫烧香”病毒的清除方法

 

 

    ·教你手动清除最近横行的熊猫烧香病毒

近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。     现在小编提供一个手动清除此病毒的方法:  

  清除步骤     ==========     1. 断开网络     2. 结束病毒进程     %System%\FuckJacks.exe     3. 删除病毒文件:     %System%\FuckJacks.exe     4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件   X:\autorun.inf     X:\setup.exe     5. 删除病毒创建的启动项:     [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]     "FuckJacks"="%System%\FuckJacks.exe     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]     "svohost"="%System%\FuckJacks.exe"  6. 修复或重新安装反病毒软件     7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件     中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)     首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)     打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则     在其它规则上右键选择-新散列规则=打开新散列规则窗口     在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)  

  重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)     双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!

 

 

 

·不用烧香拜佛 自己动手消灭“熊猫烧香”

  近一段时间,一个名为“熊猫烧香”(Worm.Nimaya)的病毒在互联网上疯狂肆虐。   该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前多家著名网站已经遭到此类攻击,而相继被植入病毒。 清除该病毒并不是特别复杂,一些变种依靠手工的方法就可以清除。

一、手工清除  

 第一步:点击“开始→运行”,输入“ntsd -c q -pn spoclsv.exe”并确定,结束病毒的进程。  

 第二步:在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改成1。打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”,将svcshare的项目删除。  

 第三步:删除硬盘各个分区根目录下的“setup.exe”和“autorun.inf”文件;删除掉C:\Windows\System32\Drivers下的spoclsv.exe文件。   

第四步:搜索硬盘上的网页格式文件,找到其中类似“”的文字,将其删除。注意,被嵌入的代码可能是其他的网址。   该病毒的一些变种会感染EXE可执行文件,因此建议使用杀毒软件或专杀工具清除该病毒。

二、如何防范“熊猫烧香”病毒  

 第一,安装杀毒软件升级到最新版本,并打开实时监控程序。   第二,该病毒会利用IE、QQ等的漏洞进行传播。瑞星卡卡3.2中的IE防漏墙功能可有效阻止该病毒利用这些漏洞进行传播。   第三,计算机应设置复杂的密码,以防止病毒通过局域网传播。   第四,QQ、UC的漏洞已经被该病毒利用,请用户及时安全它们的最新补丁程序。   第五,关闭系统的“自动运行”功能,防止病毒通过U盘、移动硬盘等侵入用户的电脑。 小提示:使用专杀工具清除   针对该病毒,瑞星已经推出了专杀工具。任何人均可登录瑞星网站http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml免费下载使用。专杀工具采用瑞星独创的未知病毒查杀技术,可有效清除“熊猫烧香”病毒及其未知变种。

 

 

 

·杀病毒:实例讲解如何干掉“熊猫烧香”

你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。 惊险查杀过程 1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉! 部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件! 当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~.. 2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是:电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔! 3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了! 4.先结束FuckJacks.exe进程!开始-运行-CMD 输入:ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表 突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统 进程了?不会吧.....头疼一阵...。 5.算了,去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~) 6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。 7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~ 8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点:在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了) 病毒程序的运行 在给大家说下病毒的部分运行实现!简单的修改注册表: 有这样一句:WSHELL.REGWIRTE MYREGKEY, MYREGVALUE, MY REGTYPE 第一个是参数的键名:完整路径.. 第二个是:键值。。 第三个是:键的类型, Set wshell=wscript.createobject("wscript.shell") wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ" 这就是脚本病毒掼用技术~

 

通用的解决方法

1、就是要关闭自己的默认共享。 首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把 RestrictAnonymous = DWORD的键值改为:00000001。 restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server 2、禁止默认共享 1)察看本地共享资源 运行-cmd-输入net share 2)删除共享(每次输入一个) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,……可以继续删除) 3)修改注册表删除共享 运行-regedit 找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把AutoShareServer(DWORD)的键值改为0000000。 如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。 我门再看看这个病毒功能是多么的强大: 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能:删除GHOST的功能,控制电脑进行集体的DDOS,更出现了KILL掉KV、瑞星和金山的功能! 再看看病毒的特型:网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~ 熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员! 忘说了:网络巡警的熊猫专杀工具。就可以杀最新的变种!

 

 

 

· 最新流行的熊猫病毒查杀方法介绍

建议您用卡巴6.0到安全模式下全盘杀毒

一. 关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。

二、显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。

四、删除病毒的自动运行项 打开注册表运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的 最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。

 

 

 

 

·为你支招 预防“熊猫烧香”系列病毒

最近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。 “熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。

【专家总结】 1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。 修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。 2、利用组策略,关闭所有驱动器的自动播放功能。 步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。

3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。 步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。 4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。 5、启用windows防火墙保护本地计算机。 对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

 

 

 

·平民版扫除熊猫病毒 ·巡警再出手,熊猫当束手

新版本超级巡警对熊猫烧香病毒有更好的监测与杀除功能,包括:

1、实时监控目前所有熊猫烧香病毒的变种,在病毒运行前清除; 2、全模块在线升级,一旦新变种出现,可以用最快速度升级与杀灭病毒; 3、内置的熊猫烧香专杀升级至V1.6,是目前专杀中功能最全最完整的。

一、超级巡警简介 专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具,提供系统 /IE修复、隐私保护和安全优化功能,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码!

二、升级改动 v 2.7.0 1、引擎级全面查杀AUTORUN类病毒。 2、降低CPU占用:) 3、提供U盘病毒免疫器 4、熊猫烧香专杀升级至1.6,超级巡警全面监测熊猫烧香。 5、解决在主窗口上回车关闭的问题 6、解决右键扫描窗口清除病毒显示数不准确的问题 7、启动管理增加一个导出报告 8、升级程序在无人干预情况下30秒自动关闭 9、从本版开始全模块在线升级

三、主要特色与功能 3.1、主要特色: 1、通用的自动化Rootkit解决方案,不使用传统特征码,即可检测各种利用Rootkit技术隐藏的木马、后门。 2、全面检测隐藏进程、隐藏服务、隐藏端口。 3、自动检测和修复Winsock SPI链的相关错误。 4、系统内核服务描述表恢复,显示和摘除被Hook的内核函数,自动还原被Inline hook的内核函数。 5、独创的快速匹配算法,在最小的系统资源占用级别上进行最快的扫描检测。

6、扫描模块和实时监控共用引擎和库在内存中的同一份拷贝,大大降低系统资源占用,模块间高效协同工作。 7、内存扫描和静态分析预警系统有机结合。 8、立足于病毒家族的广谱特征,强力提高病毒检测率。 9、前瞻性的主动防御监测体系,全面检测未知木马。 10、国内首个支持NTFS数据流扫描,使检测更彻底。 11、纯绿色软件,解压即可使用。 3.2、主要功能: 启发预警,启动管理,IE插件管理,SPI链自动检测与修复,Rootkit检测,服务管理,隐藏服务检测,过滤微软默认服务,服务增加和删除,SSDT (服务描述表)恢复,进程管理,隐藏进程检测,DLL模块强制卸载,检测隐藏端口,断开连接,定位远程IP,WHOIS查询,关闭端口,IE修复,流氓插件免疫,恶意网站屏蔽,系统垃圾清理,智能扫描,文件粉碎机,软件卸载,系统优化,系统修复,漏洞检查和修复,右键查毒,漏洞检查和修复,系统诊断报告,论坛救援,启发扫描,NTFS数据流扫描,签名分析,全面扫描,内存扫描,目录扫描,信任列表,实时监控,智能升级。

四、程序下载 安装版下载: http://wap.chinaz.com/x/AST/ast_setup.exe http://61.235.71.100/ast/ast_setup.exe http://221.130.184.102/ast/ast_setup.exe http://ast.patching.net/ast_setup.exe http://killer.9i3g.cn/download/ast_setup.exe 绿色版下载: http://wap.chinaz.com/x/AST/ast.rar http://61.235.71.100/ast/ast.rar http://221.130.184.102/ast/ast.rar http://ast.patching.net/ast.rar http://killer.9i3g.cn/download/ast.rar MD5校验和: 4f6825a478fa9e8a12d590b300f68415 *ast.rar 646b983ba6cd714e3c253b421981be2c *ast_setup.exe

 

 

·“熊猫烧香”病毒的清除方法 。

最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这次我们讲利用打补丁及手工来解决。 最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这个病毒对 Windows 和常用的系统组件,如 IE、Messenger 等的运行倒没有多大影响,但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。一旦这几种类型的文件被感染,文件的图标就会变成一个很恶心的烧香熊猫的样子,同时文件大小变大(病毒已经寄生在其中),只要试图运行这些中毒的文件,病毒就会进一步地疯狂扩散。 受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。 和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。

3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:

4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这些垃圾全部删除。

5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户,每个用户帐户的 HKEY_CURRENT_USER 都要清理。

6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask,设置命令为 "C:RiSingRavRavTask.exe" -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。

7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。 到这个地步,病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件,一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具,但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE,对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6,名为 KillPanda.BAT,这个工具总算没有让人失望,经过扫描后,被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标,而且文件大小也恢复正常了,可以正常运行,总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件,文件的生成时间、修改时间和访问时间就都保不住了,最后还是留下了一点“后遗症”。

-> 更多电脑知识 资源总目录

深圳电脑医院之家 深圳电脑维修网 技易电脑科技Skill Easy Tech 版权所有

<深圳电脑之家http://www.szdnwx.net>