我中了熊猫烧香,用了超级巡警,GHOST被隔离了怎么办啊?
如上,我是SONY笔记本的,以后还要用GHOST还原的,现在怎么办啊?中了熊猫烧香很多很多文件都被隔离了,该怎么办啊?我是菜鸟,讲通俗些啊
不要大篇复制啊,我想要直接的方法,怎么恢复我的GHOST??
病毒中文名:熊猫烧香(武汉男生)
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
病毒特征
1、这个病毒关闭众多杀毒软件和安全工具
2、循环遍历磁盘目录,感染文件,对关键系统文件跳过
3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫
4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码
5、自动删除*.gho文件
“尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在
问题,用户的一些软件可能会被其损坏,无法运行。
建议你去瑞星官网下个专杀工具:
http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
熊猫烧香病毒专杀及手动修复方案
http://www.pconline.com.cn/pcedu/soft/virus/safe/0701/942893.html本回答被提问者和网友采纳
瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html
江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html
金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html
手动清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
希望我的回答对你有帮助^^
我中了熊猫烧香,用了超级巡警,GHOST被隔离了怎么办啊?
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏...
我的电脑出现了熊猫烧香的图标怎么办呀?
不会的..只要你会操作的话会成功清除的..首先你要在安全模式下用专杀工具清除.多做几次.建议赶快升级杀毒软件(现在的卡巴已经可以对付这只"熊猫")升级完之后再用杀软去扫杀过一遍以免留后患这样基本上都可以清除了.. 已赞过 已踩过< 你对这个回答的评价是? 评论 收起 long9159 2007-01-24 · 超过29...
求助:我的机子中熊猫烧香病毒了,怎么办?
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。 2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。 3、中止病毒进程和删除启动项目请看论坛相关图片回答者:翰林文圣 - 江湖新秀 五级 1-30 21:21 已赞过 已踩过< 你对这个回答的评价是? 评论 收起 百度网友2f4690341f ...
中了quot熊猫烧香quot病毒该怎么解决请教高手
1.下载超级巡警,杀毒.2.重新启动电脑,再用超级巡警杀一遍.第一遍会有一些病毒清除不掉.3.重装一遍你的杀毒系统,因为它可能被病毒破坏了.更新后,再用杀毒软件杀一遍就可以了.
中了熊猫烧香怎么办?
熊猫烧香病毒会感染所有exe文件,超级巡警专杀恰恰是exe文件,以下几个方法你可以试用下 1.买正版瑞星,现在一台没有中毒的电脑上安装升级到最新病毒库,然后用“U盘查杀工具”功能,在你的电脑上用瑞星光盘启动,用已经拷到U盘上的病毒库查杀,100%有效。2.找个足够大的移动硬盘,他重要文件全部拷入...
昨天进入和讯博客网和bokee博客网就中了熊猫烧香病毒
4、在安全模式下运行超级巡警熊猫专杀工具1.5版(经实验此版本效果较好),注意扫描中有时会提示出错,专杀工具关闭的情况,不用管它,重新启动扫描就是了。。。若一次未查杀完,建议重复上面操作一次!按照以上办法,经查杀后的感染程序恢复了正常图标,绝大多数都能正常运行!但被熊猫删除的gho文件却找...
我的电脑中了熊猫烧香病毒和落雪病毒,不能上网了,用超级巡警和专用
病毒类型:蠕虫 危险级别:★★★ 影响平台:Win 9x\/ME,Win 2000\/NT,Win XP,Win 2003 熊猫。烧香也并不可怕啊。。刚出来的时候很猛。现在已经各大厂商提供专杀工具了。而且被熊猫感染的机器。数据并不会丢失。熊猫只感染各种.exe的文件。所以。如果有重要的数据。。还是有效的。。放心好了。。参考...
熊猫烧香怎么处理?
解决熊猫烧香病毒的方法是使用安全模拟查杀,可以使用多种杀毒工具,如武汉男生(熊猫烧香)专杀工具合集、超级巡警之熊猫烧香病毒专杀、金山熊猫烧香专杀工具、江民熊猫烧香专杀工具、瑞星熊猫烧香专用清除工具、安天熊猫专杀工具、赛门铁克熊猫专杀工具等。此外,可以下载U盘病毒免疫器1.0,防止U盘病毒再次感染。...
中了熊猫烧香病毒,瑞星和卡巴斯基都杀不掉怎么办
先重装机,然后下载专杀,重装后别打开别的盘
中了熊猫烧香 变种了 现在机子启动不了了 急救
用光盘启动电脑需要光驱作为第一启动设备。方法如下:电脑重启后按Del键进入BIOS。PhoenixBIOS:Boot→光标选择至CD-ROM Drive→按小键盘的+号使CD-ROM Drive升至第一位。Phoenix-AwardBIOS: Advanced BIOS Setup→First Boot Device设置为CD-ROM。AMIBIOS:Advanced BIOS Features→Boot Device Select→...
