“熊貓燒香”病毒瘋狂肆虐 專家教你如何徹底清除

sdjgq

“熊貓燒香”病毒瘋狂肆虐 專家教你如何徹底清除

近一段時間，一個名為“熊貓燒香”（Worm.Nimaya）的病毒在互聯網上瘋狂肆虐。

   該病毒采用“熊貓燒香”頭像作為圖標，誘使用戶運行。該變種會感染用戶計算機上的EXE可執行文件，被病毒感染的文件圖標均變為“熊貓燒香”。同時，受感染的計算機還會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染，上傳網頁到網站后，就會導致用戶瀏覽這些網站時也被病毒感染。目前多家著名網站已經遭到此類攻擊，而相繼被植入病毒。







一、使用瑞星殺毒軟件清除

   由于現在海底光纜中斷，很多國外殺毒軟件難以升級，瑞星殺毒軟件免費為用戶提供三個月服務，任何用戶均可登陸：http://www.rising.com.cn/free/index.htm 免費下載并使用。

   免費版本的瑞星殺毒軟件與正式版本功能沒有區別，安裝時不需要輸入序列號即可使用。

   安裝后，請立即點擊“升級”按鈕，升級殺毒軟件到最新版本，進行全盤殺毒。



[點擊查看大圖]

二、使用專殺工具清除

   針對該病毒，瑞星已經推出了專殺工具。沒有安裝殺毒軟件的用戶可登陸瑞星網站http://it.rising.com.cn/Channels ... 3505486d38734.shtml免費下載使用。

   專殺工具采用瑞星獨創的未知病毒查殺技術，可有效清除“熊貓燒香”病毒及其未知變種。



[點擊查看大圖]

三、手工清除

1、 清除內存中的病毒

   i. 由于該病毒會禁止“任務管理器”運行，可以使用第三方的進程管理工具，如Procview等結束病毒的進程。

   ii. 在進程列表中找到“spcolsv.exe”項，單擊鼠標右鍵，選擇“結束進程”。

   iii. 對于WindowsXP系統，可以直接點擊“開始”-〉“運行”，輸入“ntsd -c q -pn spcolsv.exe”結束病毒的進程。

2、修復注冊表項目

   i. 運行regedit.exe，打開注冊表編輯器。

   ii. 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL一項，將Checkedvalue改成1。

   iii. 打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，將svcshare的項目刪除。

3、刪除病毒文件

   i. 打開“我的電腦”，選擇菜單“工具”-》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。同時取消掉“隱藏已知類型文件的擴展名”前的對勾，然后點擊“確定”。

   ii. 在硬盤的各個分區上點擊鼠標右鍵，選擇“打開”，切忌直接雙擊。




   iii. 刪除根目錄下的“setup.exe”（圖標為“熊貓燒香”）和“autorun.inf”文件。

   iv. 進入系統目錄下的drivers目錄，默認為C:\windows\system32\drivers，將其下的spcolsv.exe文件刪除。

   v. 重新啟動計算機，檢查這幾個文件是否存在，如果不存在，則病毒已被清除干凈。

4、恢復被病毒修改的網頁文件

   搜索計算機上所有的網頁文件，找到“<iframe src="http//www.ctv1**.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>”，將其刪除。不同的變種加入的網址有所不同，建議采用殺毒軟件進行清除操作。

5、修復被病毒感染的文件

   該病毒的一些變種會感染EXE可執行文件，因此建議使用殺毒軟件或專殺工具清除該病毒。

http://it.rising.com.cn/Channels ... 9610024d40135.shtml

caofeng

現在主犯被抓了。在監獄里編寫殺毒程序。