所有熊猫烧香病毒者电脑系统所有图标为如下图。3 {! t! M. h* O
 % X* O# K i' ]/ r1 A0 N0 Y
“熊猫烧香”病毒泛滥成灾,已经到了“天怒人怨”的地步。国内感染熊猫烧香病毒的企业已接近千家,其中外企用户居多,个人用户更是不计其数。熊猫烧香病毒,感染全部EXE文件,还屏蔽杀毒软件,并且还破坏GHOST备份,大家还是赶快装个专杀工具吧,不得不防啊 对此,金山毒霸反病毒也出了专杀工具。“熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可以删除文件,造成用户的系统备份,甚至无法进行系统恢复;同时该病毒还能聪明到自动终止大量反病毒软件进程,大大降低用户系统的安全性。 熊猫烧香病毒急速变种截止现在为止大概有三十多种,% G7 t9 a! G. q- I% [( D/ N
偶拿到群内朋友的样本及同朋友们相关论坛,进行了病毒样本试验,仔细查找手工查杀方法。电脑迷只是用来和大家讨论,如果有什么好的方法,请大家再一些来跟贴# w& q' G! o" ^3 K
 
+ h+ _2 s f, p, o; l: n在系统文件夹里多了几个小人。SHOWALL:CheckedValue = 00000001 Panda :SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\& M( \( G v0 U/ i m" u% K
Run:svcshare Panda 注册表:Software\Microsoft\Windows\CurrentVersion\
* }; `% X E5 N) Z4 M! y( v$ t. [, {wow.exe Trojan C:\WINDOWS\+ ^- h9 m, y* {& Z* K
autorun.inf Panda
}8 W7 L$ ^6 D T9 H( GC盘生成iexpl0re my.exe rx.exe wl.exe wm.exe . K C3 x* Z8 z- t& Y& W6 K5 i
. X/ S2 x* r1 W4 L清除步骤
# L, W: l4 d8 _ 1.断开网络。3 N+ z8 Q, J$ L; }; }
2.结束病毒进程。
6 A) S' v; B5 t1 z* m# t/ u5 b %System%\####Jacks.exe
2 [ e9 N* v% T" Y9 {7 ^ 3.删除病毒文件:, [% E& p8 d4 j r& L4 t
%System%\####Jacks.exe
! L b# B) B: b: y7 B 4.右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件。
" `( ~4 w3 E! H1 Q5 w; F0 h, a" `* A X:\autorun.inf
" K6 a" h& s5 A8 r X:\setup.exe O7 J9 o; h% x; g, m. Y
5.删除病毒创建的启动项:3 e* k; x- G1 r; @' T
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
1 a) E2 J* m) L "####Jacks"="%System%\####Jacks.exe"
7 U; e- a. [6 y, ^6 H. u [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]5 b. u1 f' k' B: B, C- B1 D' S
"svohost"="%System%\####Jacks.exe"
9 i/ n0 G9 s( {$ w' } 6.修复或重新安装反病毒软件。
, `: Q0 c( c* O7 Q' k 7.使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。* p5 P- e6 \! Z9 F+ O3 z4 S
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)。# V7 P; u+ W1 l, O
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放####Jacks.exe的这个文件,(注册表里要清除干净)。( b" K- ?* B+ Y. L9 a
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。1 D* q- F# ]& p! p
在其它规则上右键选择-新散列规则-打开新散列规则窗口。
: `9 R. w" i- W- ]) g 在文件散列上点击浏览找到-%SYSTEM%下面释放####Jacks.exe文件……安全级别选择-不允许的确定后重启(一定重启)。% Q1 d% k# z9 q: P" U _' t
重启后可以双击运行已经被熊猫感染的程序-运行程序后该####Jacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5 ?3 t L2 K' K! l+ U! V( n: z 双击运行被感染的程序已经恢复原来样子了,全部恢复后用系统诊断恢复工具SRENG2把####Jacks.exe在注册表里的启动项删除即可!: `. |+ J" y: G7 i
好了,电脑迷将样本也上传了供有需要研究的朋友们去讨论。5 y8 Z( o/ B( N* m. h( A
 熊猫病毒样本.rar |
|
快捷导航
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
IP卡
狗仔卡
过期啦
粤ICP备05068573号