当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > “熊猫烧香”病毒的清除方法

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 “熊猫烧香”病毒的清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 61 ::
收藏到网摘: n/a

最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这次我们讲利用打补丁及手工来解决。

最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这个病毒对 Windows 和常用的系统组件,如 IE、Messenger 等的运行倒没有多大影响,但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。一旦这几种类型的文件被感染,文件的图标就会变成一个很恶心的烧香熊猫的样子,同时文件大小变大(病毒已经寄生在其中),只要试图运行这些中毒的文件,病毒就会进一步地疯狂扩散。

受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。

3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:

4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这些垃圾全部删除。

5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户,每个用户帐户的 HKEY_CURRENT_USER 都要清理。

6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask,设置命令为 "C:RiSingRavRavTask.exe" -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。

7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。

到这个地步,病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件,一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具,但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE,对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6,名为 KillPanda.BAT,这个工具总算没有让人失望,经过扫描后,被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标,而且文件大小也恢复正常了,可以正常运行,总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件,文件的生成时间、修改时间和访问时间就都保不住了,最后还是留下了一点“后遗症”。