| 来源:eNet硅谷动力 点击: 更新:2007-7-10 11:24:02 |
最近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
木马名称:setup.exe
木马大小:91,648字节
所在位置:由C至Z盘的根目录下
附带文件:autorun.inf
文件内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
所在位置:由C至Z盘的根目录下
木马名称:spoclsv.exe
木马大小:91,648字节
所在位置:C:\windows\system32\drivers\
木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征:
1、在任务管理器里有spoclsv.exe文件进程。
热门推荐:
教你几招判断系统是否被流氓侵犯
多窗口浏览器Opera 9.0新版怒放
第
[1]
[2]
[3]
[4]
[5]
[6]
[7]
页
下一页
2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。
3、该木马会强制关闭用户打开的“任务管理器”。
4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。
5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。
6、该木马修改注册表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000。
7、该木马会删除电脑默认的共享目录。
另外该木马还会删除并感染.com、.pif、.scr、.exe文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件。
解决办法:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
热门推荐:
教你几招判断系统是否被流氓侵犯
多窗口浏览器Opera 9.0新版怒放
上一页
第
[1]
[1] [2] [3] [4] [5] 下一页 |
|
|
|
