后司街
标题: [求助]中了熊猫烧香的毒 [打印本页]
作者: jimmy_z 时间: 2007-1-26 01:37
标题: [求助]中了熊猫烧香的毒
<p>最近公司网络中了熊猫烧香的毒,下了瑞星的最新版本,仍然无法清除,无法上后司街发帖,请高人指点!</p><p>现在本人家中电脑崩溃格式化后仍未修复成功,公司集体中毒,只能通过手提无线上网,由此造成后司帝国停业,深表歉意!</p>
作者: jimmy_z 时间: 2007-1-26 02:22
高手们呢??????
作者: kerry_y 时间: 2007-1-26 02:48
<p><font size="3"><strong>病毒“熊猫烧香”的彻底解决办法:</strong></font></p><p><font size="3">症状:<br/>1、 “我的电脑中”各个盘双击无法打开,系统缓慢甚至反复重启;<br/>2、 Msconfig、regedit和任务管理器以及很多程序无法运行;<br/>3、 遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件,还尝试使用弱密码访问和感染局域网内其它计算机(公司很多同事中此病毒,都有同样的情况——密码都非常简单,就是几个数字。而密码较复杂的同事全部没感染。大家最好重新修改自己的密码)<br/>4、 尝试关闭下列窗口:<br/>VirusScan<br/>Symantec AntiVirus<br/>Duba<br/>Windows<br/>esteem procs<br/>System Safety Monitor<br/>Wrapped gift Killer<br/>Winsock Expert<br/>msctls_statusbar32<br/>pjf(ustc<br/>IceSword (冰刃都无可奈何了)<br/>5、 因杀毒软件被感染,所以会结束很多杀毒软件的进程:<br/>Mcshield.exe<br/>VsTskMgr.exe<br/>naPrdMgr.exe<br/>更新rUI.exe<br/>TBMon.exe<br/>scan32.exe<br/>Ravmond.exe<br/>CCenter.exe<br/>RavTask.exe<br/>Rav.exe<br/>Ravmon.exe<br/>RavmonD.exe<br/>RavStub.exe<br/>KVXP.kxp<br/>KvMonXP.kxp<br/>KVCenter.kxp<br/>KVSrvXP.exe<br/>KRegEx.exe<br/>UIHost.exe<br/>TrojDie.kxp<br/>FrogAgent.exe<br/>Logo1_.exe<br/>Logo_1.exe<br/>Rundl132.exe……<br/>6、 在各分区根目录生成副本:<br/>X:setup.exe<br/>X:autorun.inf<br/>(直接删除是没用的,会再次出现)</font></p><p><font size="3"><br/><br/>下面是非常有效和迅速的彻底杀掉该病毒的方法,请大家参考。步骤为:<br/>1、 断开网络,重启机器。<br/>2、 开始 —> 所有程序 —> 附件 —>系统工具 —>系统信息 —>软件环境 —>正在运行任务,找到“名称”为“spoclsv.exe”的程序,可见其路径在“cwindowssystem32drivers”,记下第三列“处理ID”中的数字,如1852;<br/>3、 开始 —>运行,输入“ntsd -c q -p 1852”,回车(注意:即上述处理ID的数字)。此步骤作用:彻底停止该病毒的进程。<br/>4、 开始 —>运行,输入“cmd”回车,启动dos。进入“c:windowssystem32drivers”目录,输入“attrib –h –s spoclsv.exe”,取消其隐藏和系统文件属性。<br/>5、 在“我的电脑”中,对系统盘的盘符(通常是C)点右键(千万不可以双击,因为病毒可以借助微软的“自动播放”功能,在用户每次双击硬盘时即可自动启动运行。如已双击,请重复步骤1-3),打开,进入“c:windowssystem32drivers”目录,删除“spoclsv.exe”文件。<br/>6、 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]<br/>"CheckedValue"=dword:00000001<br/><br/>意思是将checked这个键值修改为1。<br/>此步骤非常重要!否则任何杀毒软件或专杀工具都不回有任何效果,虽然有些软件据说能对付该病毒,但是病毒文件被隐藏后不能被查杀!。<br/>7、 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:<br/>X:setup.exe<br/>X:autorun.inf(此时删除后不会再出现)<br/>特别注意:只能“右键”—>“打开”每个分区,千万不能双击打开,否则病毒又开始运行。如已双击,请重复步骤1-6。)<br/>8、 删除病毒创建的启动项:<br/>[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]<br/>"svcshare"="%System%driversspoclsv.exe"<br/>或者在“msconfig”中修改。<br/>9、 修复或重新安装反病毒软件(因为.exe应用文件已经被感染过);<br/>10、 使用反病毒软件或专杀工具(如超级巡警)进行全盘扫描,清除恢复被感染的exe文件。<br/><br/>至此,杀毒结束!不排除病毒有其他变种,比如spoclsv变成sppolsv的,请参考!<br/>推荐杀毒后,下载google firefox安全浏览器,以防止再次中毒!<br/>再罗嗦一句,请大家注意自己的登陆密码,用自己的生日或电话等数字作为密码的,不仅对自己不负责任,也是对大家尤其是网管不负责任,太危险了<br/></font></p>
[此贴子已经被作者于2007-1-25 18:50:06编辑过]
作者: 安琪儿 时间: 2007-1-26 03:05
<p>哇塞</p><p>kerry姐好厉害哦</p>
作者: Very 时间: 2007-1-26 03:26
<p>下个专用补丁就可以了</p><p>不用这么麻烦的</p><p></p>
作者: Very 时间: 2007-1-26 03:47
<div style="FONT-SIZE: 14px;">对付panda的最佳办法:</div><div style="FONT-SIZE: 14px;"></div><div style="FONT-SIZE: 14px;"><br/>重装的:先将另一台机器卡巴升到最新版然后将中招的硬盘挂在下面全盘杀。</div><div style="FONT-SIZE: 14px;"></div><div style="FONT-SIZE: 14px;">杀完后格C重装(原因panda发作时各个盘都有卡巴能杀但重启后又有了),重装后要用360安全卫士打补丁有了补丁和卡巴基本上就不用担心了。</div><div style="FONT-SIZE: 14px;"></div><div style="FONT-SIZE: 14px;"></div><div style="FONT-SIZE: 14px;"><br/>不重装:先将补丁收齐用超级巡警和卡巴在安全模式下杀,杀好后将补丁打好(注意:打补丁时不要重启)也可解决但效果不是太好。</div><p></p><p></p><p><table class="t_msg" cellspacing="0" cellpadding="4" border="0"><tbody><tr><td class="line" valign="top" height="100%" style="PADDING-TOP: 10px;"><a title="评分 0" href="http://bbs.kpfans.com/misc.php?action=viewratings&tid=42495&pid=455544" name="pid455544"></a><span class="bold">【推荐】"熊猫烧香" 专杀(最新)</span><br/><br/><div style="FONT-SIZE: 14px;"><br/><br/>⒈ 萧心论坛熊猫烧香专杀 作者:农夫山泉有点甜<br/>下载地址:http://virusfans.135.hezu1.com/mopery/nimuya.rar<br/>专杀介绍:http://forum.ikaka.com/topic.asp?board=28&artid=8241668<br/>适合系统:Windows 2000/Windows XP/Windows 2003<br/><br/>可修复被熊猫感染的可执行文件..(修复最完美) 头部尾部都能清除掉..由本人更新..如果有此专杀查杀不到的熊猫烧香. 请压缩 病毒文件 发送 bin59420@yahoo.com.cn<br/><br/>⒉ 超级巡警熊猫专杀 <br/>下载地址:http://virusfans.135.hezu1.com/mopery/Pandakiller.rar<br/><br/>实现检测和清除.修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种.. 此专杀未清除熊猫感染的尾部代码..<br/><br/>⒊ CHENOE Anit-Virus Tools 作者:魏滔序<br/>下载地址:http://virusfans.135.hezu1.com/mopery/weitaoxu.rar<br/>专杀介绍:http://www.chenoe.com/AntiVirus/<br/>适合系统:Windows 98/Windows Me/Windows 2000/Windows XP/Windows 2003<br/><br/>能修复被 熊猫 仿威金 威金 感染的可执行文件..可清除 _Disktop.ini Disktop_ini Autorun.inf ... -.- 强烈建议用来清熊猫释放的垃圾.. 和超级巡警一样未清除熊猫感染的尾部代码..<br/><br/>⒋ 威金熊猫病毒终结器 作者:wangsea<br/>下载地址:http://virusfans.135.hezu1.com/mopery/wangsea.rar<br/><br/>可修复 威金 熊猫 感染的可执行文件..无需特征码升级..1月18日 刚出炉的.. -.- 没怎么具体测.. 不过还是和上面一样..未清除熊猫感染的尾部代码..<br/><br/><br/><br/>顺便连杀软产商的专杀一起写上..<br/><br/>瑞星Worm.Nimaya (熊猫烧香)专用清除工具<br/>下载地址:http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml<br/><br/>江民“威金”蠕虫专杀工具(“熊猫烧香”蠕虫专杀工具)<br/>下载地址:http://www.jiangmin.com/download/zhuansha04.htm<br/><br/>金山“熊猫烧香”病毒专杀工具<br/>下载地址:http://www.xiongmaoshaoxiang.com/<br/><br/>如果要彻底修复熊猫感染的可执行文件..还是建议使用 萧心的专杀..清病毒释放的垃圾..还是 CHENOE Anit-Virus Tools 合适..</div></td></tr><tr><td valign="bottom"><br/> </td></tr></tbody></table></p>
[此贴子已经被作者于2007-1-25 19:53:56编辑过]
作者: 君君 时间: 2007-1-26 05:40
<p>我们公司用的是超级巡警,熊猫专杀</p><p>他会串改瑞星程序,大家小心</p><p>祝LZ好运!</p>
作者: 小盏 时间: 2007-1-26 05:40
原来有高手在这里。
作者: jmy 时间: 2007-1-26 06:57
高手
作者: 水龙头 时间: 2007-1-26 17:05
道高一尺,魔高一丈
作者: 向左,向右 时间: 2007-1-26 18:32
<p>不久前中了熊猫一掌,系统崩溃,资料全丢,欲哭无泪啊!</p>
作者: jimmy_z 时间: 2007-1-27 01:46
<p>谢谢KERRY、VERY、君君,谢谢大家,我回公司后再试试</p><p>左右也中了一掌,不过我们的文件好象还没有受损。</p>
| 欢迎光临 后司街 (http://150.109.146.88/) |
Powered by Discuz! X3.2 |