两个熊猫烧香病毒的清除
Sunday, 4. February 2007, 13:31:13
网上一直把熊猫烧香病毒传得神乎其神,几乎就是第一号病毒似的。而且最神乎的是说感染了熊猫病毒后不能做硬盘,我等胆小,吓得立马浑身直抖。
最近做了两个熊猫感染后的电脑,一个本本,一个台式机,才发现熊猫并没有传说中的那么可怕(或许因为感染得不严重)。
这两个机子刚开始的确很厉害的样子,所有可执行文件均变成了可爱国宝的图标,而且U盘一插上去立马感染了(生成了autorun.inf和sxs.exe两个文件,U盘上所有的执行文件图标都变成了熊猫),杀毒软件被禁用,连进程管理器都被禁用了,所有硬盘分区不能进,进入系统后不到两分钟即死机,估计是运行的东东太多了的原因。
重新启机,进入安全模式,在安全模式下调用专杀工具一阵狂杀(预先下载了多个专杀工具,最后好象只有金山和瑞星的有效,而瑞星的只杀网页,金山的只杀可执行文件,嘿,还互补了,我晕),然后进入服务中将多余的服务统统关闭(有很多在安全模式下并没有运行),由于微软自带的进程管理器功能有限,因此,使用了预先准备的procexp,这东东狂好,只一个文件,打开后与进程管理器差不多,但能够清楚地看到进程的调用关系,而且更重要的是能够看到进程的参数,这个功能对于系统启动的服务————也就是svchost启用的服务————太重要了,否则你怎么知道其中启动了哪些服务啊。用这个东东仔细搜了一遍,没发现问题进程(安全模式下未启动,嘿嘿)。最后用一个启动项查看工具autoruns检查启动项,这个autoruns也是个狂好用的东东,也只一个文件,但看的内容比msconfig多多了,而且最重要的是他可以删除启动项,而不是象msconfig那样仅仅只是屏蔽了事。进入里面仔细搜索,发现在“服务”项里有三个异常的,这三个东东没有描述项,一个是windds32.dll,windhcp.dll还有一个spcolsv.exe,只从名字上看就象是假冒伪劣,记下路径,先到相应文件夹下删除这三个文件,然后在autorun中删除相应的启动项,这一下斩断了病毒启动的要根了。
最后用右键选“打开”打开每一个硬盘分区,将下面的autorun.inf删除掉(病毒文件在专杀工具查杀时已删除),然后打开组策略将自动播放功能禁用掉,收工!
最近做了两个熊猫感染后的电脑,一个本本,一个台式机,才发现熊猫并没有传说中的那么可怕(或许因为感染得不严重)。
这两个机子刚开始的确很厉害的样子,所有可执行文件均变成了可爱国宝的图标,而且U盘一插上去立马感染了(生成了autorun.inf和sxs.exe两个文件,U盘上所有的执行文件图标都变成了熊猫),杀毒软件被禁用,连进程管理器都被禁用了,所有硬盘分区不能进,进入系统后不到两分钟即死机,估计是运行的东东太多了的原因。
重新启机,进入安全模式,在安全模式下调用专杀工具一阵狂杀(预先下载了多个专杀工具,最后好象只有金山和瑞星的有效,而瑞星的只杀网页,金山的只杀可执行文件,嘿,还互补了,我晕),然后进入服务中将多余的服务统统关闭(有很多在安全模式下并没有运行),由于微软自带的进程管理器功能有限,因此,使用了预先准备的procexp,这东东狂好,只一个文件,打开后与进程管理器差不多,但能够清楚地看到进程的调用关系,而且更重要的是能够看到进程的参数,这个功能对于系统启动的服务————也就是svchost启用的服务————太重要了,否则你怎么知道其中启动了哪些服务啊。用这个东东仔细搜了一遍,没发现问题进程(安全模式下未启动,嘿嘿)。最后用一个启动项查看工具autoruns检查启动项,这个autoruns也是个狂好用的东东,也只一个文件,但看的内容比msconfig多多了,而且最重要的是他可以删除启动项,而不是象msconfig那样仅仅只是屏蔽了事。进入里面仔细搜索,发现在“服务”项里有三个异常的,这三个东东没有描述项,一个是windds32.dll,windhcp.dll还有一个spcolsv.exe,只从名字上看就象是假冒伪劣,记下路径,先到相应文件夹下删除这三个文件,然后在autorun中删除相应的启动项,这一下斩断了病毒启动的要根了。
最后用右键选“打开”打开每一个硬盘分区,将下面的autorun.inf删除掉(病毒文件在专杀工具查杀时已删除),然后打开组策略将自动播放功能禁用掉,收工!
WIDGETIZE