1,结束病毒进程,如FuckJacks.exe,spoclsv.exe进程。但因为中毒后无法打开任务管理器,所以必须通过第三方进程管理器来结束进程,建议使用http://www.vccn.com.cn/download/pv.exe, 用此工具打开进程后,找到相关的进程,并将之结束。结束进程后,任务管理器和注册表就可以打开了
2,修改注册表.
以下位置为注册表十三处启动项位置,去掉可疑启动项
HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load
HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit
HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
HKLM-Software-Microsoft-Windows-CurrentVersion-Run
修改以下位置,目的是可以显示隐藏文件,因为熊猫病毒不允许显示隐藏文件,所以我们要改回来把ckeckedvalue的值由0改为1即可。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
3,显示隐藏文件,我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹,去掉隐藏受保护的操作系统文件前面的钩,找到病毒文件,%System32%\FuckJacks.exe或 %System32%\Drivers\spoclsv.exe或%System32%\twunk32.exe并将其删除,找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,(注意这些文件都是隐藏文件,如果你没显示隐藏文件的话,那看不到)并在相关目录底下新一个同名的文件,并设置为只读,如果是NTFS分区,则去掉其他所有的NTFS权限.
4,做完以上步骤后,重启电脑,熊猫烧香病毒原本就手工处理了,但本机被感染的文件还在,在用杀毒软件全盘扫描前,千万不要执行本机的其他应用程序或.exe文件,切记,切记 !!
四,预防方法
按以上方法处理完后,熊猫烧香病毒很有可能再来,怎么办?
1,首先给本机设一个复杂密码,如果有没特殊应用的话,可禁用本机共享,方法为禁用server服务
2,安装杀毒软件,并升级到最新,查杀全盘
3,更新全部操作系统补丁
以上方法非趋势官方方案,谨供参考。
建议使用sysclean在安全模式下查杀,首先要先将病毒码更新到最新,然后断开网络。
以下是sysclean下载地址: http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/Sysclean/ |
发表于 2007-1-22 17:20:34
