GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe FuckJacks.exe
解決方案:
1. 結束病毒進程:
%System%\drivers\spoclsv.exe
不同的spoclsv.exe變種,此目錄可不同。比如12月爆發的變種目錄是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
“%System%\system32\spoclsv.exe”是系統文件。(目前看來沒有出現插入該系統進程的變種,不排除變種的手法變化。)
查看當前運行spoclsv.exe的路徑,可使用超級兔子魔法設置。
2. 刪除病毒文件:
%System%\drivers\spoclsv.exe
請註意區分病毒和系統文件。詳見步驟1。
3. 刪除病毒啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通過分區盤符右鍵菜單中的“打開”進入分區根目錄,刪除根目錄下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢復被修改的“顯示所有文件和文件夾”設置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修復或重新安裝被破壞的安全軟件。
7.修復被感染的程序。可用專殺工具進行修復,收集了四個供讀者使用。金山熊貓燒香病毒專殺工具、安天熊貓燒香病毒專殺工具、江民熊貓燒香病毒專殺工具和瑞星熊貓燒香病毒專殺工具。也可用手動方法(見本文末)。
病毒Fuckjacks.exe
病毒Fuckjacks.exe
釋放文件
分區根目錄下:setup.exe
分區根目錄下:autorun.inf
%System%\Fuckjacks.exe
局域網環境下:GameSetup.exe
解決過程
1、確定使用鼠標右鍵打開盤符
2、結束Fuckjacks.exe進程
3、刪除其釋放的所有文件(每個分區下)
4、刪除其創建的註冊表信息
解決辦法:
病毒用了進程保護。建議啟動計算機進入安全模式下殺毒。操作的時候千萬不要雙擊,選擇右鍵打開。
1、打開任務管理器,結束掉FuckJacks.exe進程。
2、右擊每個分區盤符選擇“打開”刪除分區根目錄下面的setup.exe和autorun.inf文件。
3、打開註冊表。查找fuckjacks.exe把所有關於這個的全部刪除。
4、被病毒覆蓋的文件(覆蓋後的文件大小為30,465字節)是不可恢復的,直接刪除;被修改的文件用16進制編輯器刪除00000000到00007700的代碼段,在文件末尾找到並刪除從“WhBoy”到最後所有的代碼段保存即可恢復原貌
1. 斷開網絡
2. 結束病毒進程
%System%\FuckJacks.exe
3. 刪除病毒文件:
%System%\FuckJacks.exe
4. 右鍵點擊分區盤符,點擊右鍵菜單中的“打開”進入分區根目錄,刪除根目錄下的文件:
X:\autorun.inf
X:\setup.exe
5. 刪除病毒創建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修復或重新安裝反病毒軟件
7. 使用反病毒軟件或專殺工具進行全盤掃描,清除恢復被感染的exe文件
清除步驟
==========
1.斷開網絡。
2.結束病毒進程。
%System%\FuckJacks.exe
3.刪除病毒文件:
%System%\FuckJacks.exe
4.右鍵點擊分區盤符,點擊右鍵菜單中的“打開”進入分區根目錄,刪除根目錄下的文件。
X:\autorun.inf
X:\setup.exe
5.刪除病毒創建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6.修復或重新安裝反病毒軟件。
7.使用反病毒軟件或專殺工具進行全盤掃描,清除恢復被感染的exe文件。
中毒文件的恢復(僅個人觀點,只在自己的虛擬機上測試正常)。
首先在清除病毒文件的同時不要刪除%SYSTEM%下面釋放FuckJacks.exe的這個文件,(註冊表裏要清除幹凈)。
打開運行輸入gpedit.msc打開組策略-本地計算機策略-windows設置-安全設置-軟件限制策略-其它規則。
在其它規則上右鍵選擇-新散列規則-打開新散列規則窗口。
在文件散列上點擊瀏覽找到-%SYSTEM%下面釋放FuckJacks.exe文件……安全級別選擇-不允許的確定後重啟(壹定重啟)。
重啟後可以雙擊運行已經被熊貓感染的程序-運行程序後該FuckJacks.exe文件會在註冊表裏的Run鍵下建立啟動項(不會有問題的)。
雙擊運行被感染的程序已經恢復原來樣子了,全部恢復後用系統診斷恢復工具SRENG2把FuckJacks.exe在註冊表裏的啟動項刪除即可!
2.、利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定後關閉。最後,在開始,運行中輸入gpupdate,確定後,該策略就生效了。
解決辦法:
1、拔掉網線斷開網絡,打開Windows任務管理器,迅速找到spoclsv.exe,結束進程,找到explorer.exe,結束進程,再點擊文件,新建任務,輸入c:\WINDOWS\explorer.exe,確定。
2、點擊開始,運行,輸入cmd回車,輸入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果妳的硬盤有多個分區,請逐次將c:改為妳實際擁有的盤符(C盤-->Z盤)。上述兩個木馬文件為只讀隱藏,會修改Windows屬性,使用戶無法通過設置文件夾選項顯示所有文件及文件夾的功能看到。
3、進入註冊表,刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、刪除C:\windows\system32\drivers\spoclsv.exe
5、修復或重新安裝防病毒軟件並升級病毒庫,徹底全面殺毒,清除恢復被感染的.exe文件。
6、屏蔽熊貓燒香病毒網站pkdown.3322.org和ddos2.sz45.com,具體方法如下:
打開C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修復文件夾選項的“顯示所有文件及文件夾”的方法:
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右邊的窗口中雙擊CheckedValue鍵值項,該鍵值應為1.如果值不為1,改為1即可。
如果妳設置仍起不了作用,那麽接下來看。
有些木馬把自己的屬性設置成隱藏、系統屬性,並且把註冊表中“文件夾選項中的隱藏受保護的操作系統文件”項和“顯示所有文件和文件夾”選項刪除,致使通過procexp可以在進程中看到,但去文件所在目錄又找不到源文件,無法進行刪除。(正常如圖,被修復後看不見圖中標註的項)
針對這種情況可以把下面內容存儲成ShowALl.reg文件,雙擊該文件導入註冊表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
具體操作方法:
1)通過記事本新建壹個文件
2)將以上內容復制到新建的記事本文件中
3)通過記事本文件菜單另存為show.reg
4)雙擊存儲的showall.reg文件,點擊彈出的對話框是按鈕即可。
註意:以上方法對win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,將CheckedValue鍵值修改為1
但可能依然沒有用,隱藏文件還是沒有顯示,這是因為病毒在修改註冊表達到隱藏文件目的之後,把本來有效的DWORD值CheckedValue刪除掉,新建了壹個無效的字符串值CheckedValue,並且把鍵值改為0!
方法:刪除此CheckedValue鍵值,單擊右鍵 新建Dword值,命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。