复被感染的exe文件。也可用以下的手动方法恢复文件。
手动恢复中毒文件(在虚拟机上通过测试,供参考)
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
最新熊猫烧香手动清除办法
一、熊猫烧香有几个变种?
到目前为止,从大体上分,目前主要有四大变种:
变种A:就是FuckJacks.exe进程,它隐藏的全路径是%System32%FuckJacks.exe
变种B:就是spoclsv.exe进程,它隐藏的全路径是:%System32%Driversspoclsv.exe
变种C:对抗杀毒软件及专杀工具,杀毒公司惨遭屠戮(驱逐舰因为其超强免疫功能,所以免受其害)
变种D:最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。
二、中毒症状
1,感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的文件
2,删除GHOST文件(.gho后缀),网吧和学校机房深受其害
3,禁用进程管理器,禁用注册表
4,拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统
5,修改注册表,加载自启动,并禁止显示隐藏文件,通过IPC$共享跨机传染,弱密码或空密码的文件服务器就要遭殃了
7、禁用杀毒工具运行
三、处理方法
结束病毒进程,如FuckJacks.exe,spoclsv.exe进程。但因为中毒后无法打开任务管理器所以必须通过第三方进程管理器来结束进程,建议使用 http://www.xdowns.com/soft/6/99/2006/Soft_28639.html 用此工具打开进程后,找到相关的进程,并将之结束。结束进程后,任务管理器和注册表就可以打开了。
修改注册表
以下位置为注册表十三处启动项位置,去掉可疑启动项
HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load}:NHKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit-
HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
j�b-ZHKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once-
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once2J
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx,
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
上一页 [1] [2] [3] [4] [5] [6] 下一页
|
