最牛、最全面的『熊貓燒香』整體解決方案-最牛、最全面的『熊貓燒香』整體解決方案-中安在線-IT地帶
安徽日報  新安晚報  文摘周刊  安徽商報  現代農村報  安徽法制報  江淮時報  世界報  新聞世界  DVD導刊
旅游 | 汽車 | 房產 | 美食 | 健康 | 導購 | 伊人 | 徽商 | 黃梅 | 養生 | 廉政 | 分類 | 消防 | 手機
精彩圖庫 業界動態 觀察分析 手機數碼 電腦教室 軟件下載 游戲人間 本地市場
精彩推薦
v微軟在瘦身版Windows中做手腳 歐盟展開調查
v3G最後測試4月份將出結果 牌照發放悄悄提速
v南郵教授為月租費正名 電話收月租符合慣例
v手機電磁輻射標准望今年出臺 國內不會高於國際
v新一代造型潮流 各色指甲刀旋影手機大檢閱
v諾基亞12款S60機大檢閱 哪款智能手機適合你
v《三國群英傳ONLINE》游戲截圖欣賞
v《古墓麗影:傳奇》熱辣游戲圖片公布
精彩圖片
  您當前的位置 :中安在線 > IT地帶 > 業界動態 > 業界新聞 正文
最牛、最全面的『熊貓燒香』整體解決方案

中安在線  2007-01-19 10:44

  『熊貓燒香』病毒無疑成了近期互聯網最熱門的關鍵字了,網上也能找到很多個有關熊貓燒香病毒的解決辦法,這些方法都顯得不盡完美,再加上熊貓的變種很多,有效性就更加大打折扣了。金山毒霸反病毒專家為廣大感染熊貓燒香的用戶提供了一個相對完整的解決方案供大家參考。

  病毒名:

  中文:熊貓燒香病毒(又稱武漢男生)

  英文:Worm.WhBoy

  目前發現的變種數已超過50個

  典型表現:

  感染病毒後發現較多的.EXE文件圖標變成點著香的熊貓,這也是該病毒命名的由來。現在發現的部分變種已經不再使用這個廣為人知的圖標了。部分變種可以直接通過互聯網更新版本,部分變種可以感染htm、html、asp、php、jsp、aspx等網頁格式文件。一段web服務器被感染,將意味著所有瀏覽這些網頁的計算機可能會自動下載並感染上熊貓燒香病毒。

  該系列變種會釋放以下幾個典型文件

  分區根目錄下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe

  局域網環境下:GameSetup.exe

  病毒行為:

  1、刪除常用殺毒軟件在注冊表中的啟動項或服務,終止殺毒軟件的進程,幾乎涉及目前所有殺毒軟件

  2、終止部分安全輔助工具的進程,如IceSword,任務管理器taskmon。

  3、終止維金的相關進程Logo1_.exe、Logo_1.exe、Rundl123.exe。

  4、弱口令破解局域網其他電腦的Administror帳號,並用GameSetup.exe進行復制傳播。

  5、修改注冊表鍵值,導致不能查看隱藏文件和系統文件。

  6、除C盤如下目錄外,病毒會嘗試破壞其它分區下的部分.exe、.com、.gho、.pif、.scr文件,病毒不會去感染以下目錄中的文件(給我們解決此病毒留下機會了,請看下文中的有關描述)。

  WINDOW,Winnt,System Volume Information,Recycled,Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger,InstallShield Installation Information,MSN,Microsoft Frontpage,MovieMaker,MSN GaminZone

  7、病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。解決辦法:

  1、首選專殺工具

  專殺工具是效能最好的方案,能處理已知變種,缺點是有新變種後,專殺也需要更新。推薦去www.xiongmaoshaoxiang.com下載專殺。

  2、在線殺毒

  因為熊貓燒香病毒的特殊性,殺毒軟件本身可能會被感染,病毒還會嘗試結束殺毒軟件進程和服務,但病毒不感染IE瀏覽器,用瀏覽器加載在線殺毒控件來清除病毒可以收到奇效。已經中招的,可以去shadu.duba.net試試。

  3、重啟系統到帶網絡連接的安全模式,昇級殺毒軟件後殺毒。可單擊開始,運行,輸入msconfig,打開系統配置實用程序,點擊BOOT.INI標簽,作如圖修改,重啟即可進入帶網絡連接的安全模式。

  4、手工清除

  因為熊貓燒香病毒是感染型的病毒,手工清除相當麻煩,網友公布的手工清除方案只能手工結束病毒進程,一段運行了感染過熊貓燒香病毒的程序,還會再中招。以下簡單介紹手工結束病毒進程,修復注冊表項的步驟:

  a.斷開網絡,禁用網卡或拔掉網線就行;

  b.結束病毒進程,因為任務管理器、IcdSword已無法運行,已感染病毒的機器上很難實現。建議去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx下載一個Process Explorer備用,郁悶的是光纜沒修好,官網下載速度巨慢。可以百度一下,到新浪、華軍、天空去下載。如果在進程中發現FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服務就差一個字母,打印服務文件名為spoolsv.exe),就用這個工具結束掉。

  c.在本地計算機上搜索並刪除以下病毒執行文件:分區根目錄下:setup.exe、autorun.inf(這個本身不是病毒,但它的存在是為了雙擊磁盤自動調用病毒程序,建議刪了吧)%System%\Fuckjacks.exe;%System%\Drivers\spoclsv.exe局域網環境下:GameSetup.exe

  d.開始-->運行—>輸入regedit,確定後,打開注冊表編輯器,刪除病毒創建的啟動項:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%\FuckJacks.exe

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%\FuckJacks.exe"

  瀏覽到[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL],單擊右鍵,點新建——Dword值——命名為CheckedValue(如果已經有,可以刪除後重建),修改它的鍵值為1,為十六進制,按確定後,退出注冊表編輯器。以恢復文件夾選項中的『顯示所有隱藏文件』和『顯示系統文件』

  e.修復或重新安裝反病毒軟件,以恢復被病毒刪除的注冊鍵值,恢復殺毒軟件的功能。

  f.最後,還是要更新反病毒軟件全盤掃描,把感染的EXE程序、網頁格式的文件修復。特別提醒網頁編輯,一定要保護好自己編輯的Web文檔,保護好自己的Web服務器,如果發現網站上傳文件帶毒,應該及時刪除,重新上傳。

  有關該病毒的預防,請參考www.xiongmaoshaoxiang.com上介紹的方法,或者看這裡http://www.duba.net/zt/panda/ 。特別提示一下,今天更新的金山毒霸已經集成了針對熊貓燒香病毒的免疫功能,對預防熊貓燒香病毒會起到遏制作用。

 ?【相 關 報 道】?
-金山毒霸揭密2006網絡病毒三大『惡』   07-01-17 08:50
-金山毒霸發表冬日宣言:積分兌大獎 人人都有年終獎   07-01-15 15:01
-兩下載木馬同日現身 用戶需高度警惕   07-01-16 10:11
-聯想誇口5年內奪全球第一PC   07-01-16 11:07
-無IBM標識ThinkPad筆記本驚現 聯想稱待查證   07-01-11 15:49
 

中國安徽在線網站(中安在線)版權所有 未經允許 請勿復制或鏡像
皖ICP證 030106號