Board logo

标题: 各位槎溪的电脑用户,小心咯!!!最近熊猫烧香病毒太厉害了. [打印本页]

作者: zbyx1123    时间: 2007-2-4 07:09     标题: 各位槎溪的电脑用户,小心咯!!!最近熊猫烧香病毒太厉害了.

最近熊猫烧香病毒太厉害了,今天又变种了,本来就已经很厉害了,现在变成金猪了.

当然也不是不能防的,具体有以下几点:

前  言
  熊猫烧香是近期流传的一个相当厉害的病毒,属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死,只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的,按说杀毒软件应该已经升级解决了,但由于熊猫烧香的生命力惊人,经过这样长的一段时间仍然没有死绝。

  如何预防“熊猫烧香”系列病毒

“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。

1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。

修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

2.、利用组策略,关闭所有驱动器的自动播放功能。

步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。

3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。

步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。

4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。

5、启用windows防火墙保护本地计算机。

对于已经感染“熊猫烧香”病毒的用户,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。

对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

 

感染熊猫的病毒图片如下:

 

 

“熊猫烧香”病毒的清除方法

最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这次我们讲利用打补丁及手工来解决。

     最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是 2007 年第一周排行榜第一的病毒。这个病毒对 Windows 和常用的系统组件,如 IE、Messenger 等的运行倒没有多大影响,但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。一旦这几种类型的文件被感染,文件的图标就会变成一个很恶心的烧香熊猫的样子,同时文件大小变大(病毒已经寄生在其中),只要试图运行这些中毒的文件,病毒就会进一步地疯狂扩散。

     受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

     和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。

    1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

    2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。

    3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:

    4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这些垃圾全部删除。

    5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
    Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户,每个用户帐户的 HKEY_CURRENT_USER 都要清理。

    6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask,设置命令为 "C:RiSingRavRavTask.exe" -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。

    7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。

    到这个地步,病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件,一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具,但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE,对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6,名为 KillPanda.BAT,这个工具总算没有让人失望,经过扫描后,被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标,而且文件大小也恢复正常了,可以正常运行,总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件,文件的生成时间、修改时间和访问时间就都保不住了,最后还是留下了一点“后遗症”。


作者: zbyx1123    时间: 2007-2-4 07:16

当然我也是自己的电脑中招了,我的好多的软件.凡是EXE的程序就都会被熊猫自动感染,再删除,气得我要死啊!!!
作者: wwwcx    时间: 2007-2-9 17:13

呵呵,此病毒真是厉害,  

2月5日变种时,电脑的杀毒软件未升级(使用的是破解版瑞星2007 不能在线升级,只能下载升级包升)。

EXE文件都被感染了,这不要仅,瑞星升级后,就把病毒清除干净了,软件不会被破坏。

“熊猫烧香”最可怕的是把  一键GHOST的备份文件给删了。发了半天,把两台感染的电脑给重装了。

 

在此特别提醒槎溪的兄弟们:   

    1、记得把硬盘里的  EXE文件  加属性为只读;                  *防止病毒感染
         注:绝大多数病毒对只读文件不能感染。   (这样软件就不会被破坏)

    2、记得把GHOST备份文件给 多复制一份放在一个目录里面,并加只读属性。    * 以防不测 *
        有时开机运行一键备份时铵错了,导制备份文件备份坏系统。这也是一件麻烦事。

     3、装上杀毒软件,可在线更新。                                     *第一时间阻杀病毒*
        推荐支持正版杀毒软件:正版在线升级有效的阻杀新病毒,省心又省力。

      一套正版软件也就150-250元,想必大家的电脑都是上几台,如病毒感染破坏了多台电脑系统,重装系统外面收费30-50元。照这样一年下来就不止 250元的装系统费啦。还费时间、费神、费心、耽工作,这样细算就丢得更大。 

      如不考虑正版软件,在此推荐金山毒霸2007杀毒软件,他的破解版可以在线更新。破解后就如正版,保你系统百毒不入。 
       论坛里有推荐:          http://www.chaxi.com/cxbbsxp/ShowPost.asp?id=1088






欢迎光临 槎溪信息港 (http://chaxi.com/bbs/) Powered by Discuz! 7.2