畜牧人

標(biāo)題: “熊貓燒香”病毒瘋狂肆虐 專家教你如何徹底清除 [打印本頁]
作者: sdjgq    時間: 2007-2-13 12:22
標(biāo)題: “熊貓燒香”病毒瘋狂肆虐 專家教你如何徹底清除
“熊貓燒香”病毒瘋狂肆虐 專家教你如何徹底清除

近一段時間,一個名為“熊貓燒香”(Worm.Nimaya)的病毒在互聯(lián)網(wǎng)上瘋狂肆虐。

   該病毒采用“熊貓燒香”頭像作為圖標(biāo),誘使用戶運(yùn)行。該變種會感染用戶計算機(jī)上的EXE可執(zhí)行文件,被病毒感染的文件圖標(biāo)均變?yōu)椤靶茇垷恪薄M瑫r,受感染的計算機(jī)還會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染,上傳網(wǎng)頁到網(wǎng)站后,就會導(dǎo)致用戶瀏覽這些網(wǎng)站時也被病毒感染。目前多家著名網(wǎng)站已經(jīng)遭到此類攻擊,而相繼被植入病毒。







一、使用瑞星殺毒軟件清除

   由于現(xiàn)在海底光纜中斷,很多國外殺毒軟件難以升級,瑞星殺毒軟件免費(fèi)為用戶提供三個月服務(wù),任何用戶均可登陸:http://www.rising.com.cn/free/index.htm 免費(fèi)下載并使用。

   免費(fèi)版本的瑞星殺毒軟件與正式版本功能沒有區(qū)別,安裝時不需要輸入序列號即可使用。

   安裝后,請立即點(diǎn)擊“升級”按鈕,升級殺毒軟件到最新版本,進(jìn)行全盤殺毒。



[點(diǎn)擊查看大圖]

二、使用專殺工具清除

   針對該病毒,瑞星已經(jīng)推出了專殺工具。沒有安裝殺毒軟件的用戶可登陸瑞星網(wǎng)站http://it.rising.com.cn/Channels ... 3505486d38734.shtml免費(fèi)下載使用。

   專殺工具采用瑞星獨(dú)創(chuàng)的未知病毒查殺技術(shù),可有效清除“熊貓燒香”病毒及其未知變種。



[點(diǎn)擊查看大圖]

三、手工清除

1、 清除內(nèi)存中的病毒

   i. 由于該病毒會禁止“任務(wù)管理器”運(yùn)行,可以使用第三方的進(jìn)程管理工具,如Procview等結(jié)束病毒的進(jìn)程。

   ii. 在進(jìn)程列表中找到“spcolsv.exe”項,單擊鼠標(biāo)右鍵,選擇“結(jié)束進(jìn)程”。

   iii. 對于WindowsXP系統(tǒng),可以直接點(diǎn)擊“開始”-〉“運(yùn)行”,輸入“ntsd -c q -pn spcolsv.exe”結(jié)束病毒的進(jìn)程。

2、修復(fù)注冊表項目

   i. 運(yùn)行regedit.exe,打開注冊表編輯器。

   ii. 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL一項,將Checkedvalue改成1。

   iii. 打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,將svcshare的項目刪除。

3、刪除病毒文件

   i. 打開“我的電腦”,選擇菜單“工具”-》“文件夾選項”,點(diǎn)擊“查看”,取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然后點(diǎn)擊“確定”。同時取消掉“隱藏已知類型文件的擴(kuò)展名”前的對勾,然后點(diǎn)擊“確定”。

   ii. 在硬盤的各個分區(qū)上點(diǎn)擊鼠標(biāo)右鍵,選擇“打開”,切忌直接雙擊。




   iii. 刪除根目錄下的“setup.exe”(圖標(biāo)為“熊貓燒香”)和“autorun.inf”文件。

   iv. 進(jìn)入系統(tǒng)目錄下的drivers目錄,默認(rèn)為C:\windows\system32\drivers,將其下的spcolsv.exe文件刪除。

   v. 重新啟動計算機(jī),檢查這幾個文件是否存在,如果不存在,則病毒已被清除干凈。

4、恢復(fù)被病毒修改的網(wǎng)頁文件

   搜索計算機(jī)上所有的網(wǎng)頁文件,找到“<iframe src="http//www.ctv1**.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>”,將其刪除。不同的變種加入的網(wǎng)址有所不同,建議采用殺毒軟件進(jìn)行清除操作。

5、修復(fù)被病毒感染的文件

   該病毒的一些變種會感染EXE可執(zhí)行文件,因此建議使用殺毒軟件或?qū)⒐ぞ咔宄摬《尽?br />
http://it.rising.com.cn/Channels ... 9610024d40135.shtml
作者: caofeng    時間: 2007-2-16 15:29
現(xiàn)在主犯被抓了。在監(jiān)獄里編寫殺毒程序。



歡迎光臨 畜牧人 (http://www.ffers.com.cn/) Powered by Discuz! X3.5