问:什么是熊猫烧香病毒?答:“熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。 现在小编提供一个手动清除此病毒的方法: 清除步骤 ========== 1. 断开网络 2. 结束病毒进程 %System%\FuckJacks.exe 3. 删除病毒文件: %System%\FuckJacks.exe 4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件 X:\autorun.inf X:\setup.exe 5. 删除病毒创建的启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "FuckJacks"="%System%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svohost"="%System%\FuckJacks.exe" 6. 修复或重新安装反病毒软件 7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件 中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常) 首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净) 打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则 在其它规则上右键选择-新散列规则=打开新散列规则窗口 在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启) 重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的) 双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可! 最新流行的熊猫病毒查杀方法介绍建议您用卡巴6.0到安全模式下全盘杀毒 一. 关闭病毒进程Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。 二、显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 三、删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。 四、删除病毒的自动运行项 打开注册表运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的 最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
[此贴子已经被作者于2007-1-23 11:12:11编辑过]
