DOS下清除熊猫的简单方法
[ 2007-03-25 03:10:10 | 作者: sun ]
昨晚电脑不幸中了毒,症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件,
c:\windows\system32\drivers里面有个spoclsv.exe文件。用删掉了过两三秒又自动生成。用
ctrl+alt+del键打开资源管理器,刚打开就被关掉了,然后发现防火墙被关了,卡巴也打不开,想装木马清道夫也是刚启动就自动关闭了。上网查了下,这是个蠕虫病毒,会盗取帐号什么的。
据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
等一下在后面贴出来,这里只是介绍我的dos操作的简单快速清除的方法:(爽,dos原来这么有用的。)
一、再任一个盘中,建立一个bat文件,内容如下:(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)
attrib -h -s -r d:\autorun.inf
attrib -h -s -r d:\setup.exe
del d:\autorun.inf
del d:\setup.exe
md d:\setup.exe
attrib -h -s -r c:\autorun.inf
attrib -h -s -r c:\setup.exe
del c:\autorun.inf
del c:\setup.exe
md c:\setup.exe
attrib -h -s -r e:\autorun.inf
attrib -h -s -r e:\setup.exe
del e:\autorun.inf
del e:\setup.exe
md e:\setup.exe
attrib -h -s -r f:\autorun.inf
attrib -h -s -r f:\setup.exe
del f:\autorun.inf
del f:\setup.exe
md f:\setup.exe
attrib -h -s -r g:\autorun.inf
attrib -h -s -r g:\setup.exe
del g:\autorun.inf
del g:\setup.exe
md g:\setup.exe
attrib -h -s -r h:\autorun.inf
attrib -h -s -r h:\setup.exe
del h:\autorun.inf
del h:\setup.exe
md h:\setup.exe
del c:\windows\system32\drivers\spoclsv.exe
运行dat文件后setup.exe,autorun.inf成功删掉。
但c:\windows\system32\drivers下 的spoclsv.exe删不掉,估计是在运行当中,但直接在资源管理器关闭又行不通,管理器打不开阿。所以进行下一步,在dos下关闭再删除,下面是操作过程。丝毫没改动过的。二、开始-〉运行->cmd->确定,打开cmd
c:\documents and settings\administrator>d:
d:\>attrib -h -r -s autorun.inf
d:\>del autorun.inf
找不到 d:\autorun.inf
d:\>dir
d:\>attrib -h -r autorun.inf
未重设系统文件 - d:\autorun.inf
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc
d:\>attirb -h -r -s autorun.inf
d:\>tasklist /svc /////用来查看系统打开进程。显示图像名 和 pid服务号,但copy不出来,sorry了。
d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
由于我对命令记得不太清楚了才进行了这么多操作,其实只要这几步就行了:
c:\documents and settings\administrator
c:\documents and settings\administrator cd d:\ //////////进入d盘杀安全点。
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc /////用来查看系统打开进程。显示 图像名 和 pid服务号,但copy不出来,sorry了。
d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
三、成功关闭spoclsv.exe,打开c:\windows\system32\drivers,删掉spoclsv.exe。呵呵,大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
c:\windows\system32\drivers里面有个spoclsv.exe文件。用删掉了过两三秒又自动生成。用
ctrl+alt+del键打开资源管理器,刚打开就被关掉了,然后发现防火墙被关了,卡巴也打不开,想装木马清道夫也是刚启动就自动关闭了。上网查了下,这是个蠕虫病毒,会盗取帐号什么的。
据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
等一下在后面贴出来,这里只是介绍我的dos操作的简单快速清除的方法:(爽,dos原来这么有用的。)
一、再任一个盘中,建立一个bat文件,内容如下:(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)
attrib -h -s -r d:\autorun.inf
attrib -h -s -r d:\setup.exe
del d:\autorun.inf
del d:\setup.exe
md d:\setup.exe
attrib -h -s -r c:\autorun.inf
attrib -h -s -r c:\setup.exe
del c:\autorun.inf
del c:\setup.exe
md c:\setup.exe
attrib -h -s -r e:\autorun.inf
attrib -h -s -r e:\setup.exe
del e:\autorun.inf
del e:\setup.exe
md e:\setup.exe
attrib -h -s -r f:\autorun.inf
attrib -h -s -r f:\setup.exe
del f:\autorun.inf
del f:\setup.exe
md f:\setup.exe
attrib -h -s -r g:\autorun.inf
attrib -h -s -r g:\setup.exe
del g:\autorun.inf
del g:\setup.exe
md g:\setup.exe
attrib -h -s -r h:\autorun.inf
attrib -h -s -r h:\setup.exe
del h:\autorun.inf
del h:\setup.exe
md h:\setup.exe
del c:\windows\system32\drivers\spoclsv.exe
运行dat文件后setup.exe,autorun.inf成功删掉。
但c:\windows\system32\drivers下 的spoclsv.exe删不掉,估计是在运行当中,但直接在资源管理器关闭又行不通,管理器打不开阿。所以进行下一步,在dos下关闭再删除,下面是操作过程。丝毫没改动过的。二、开始-〉运行->cmd->确定,打开cmd
c:\documents and settings\administrator>d:
d:\>attrib -h -r -s autorun.inf
d:\>del autorun.inf
找不到 d:\autorun.inf
d:\>dir
d:\>attrib -h -r autorun.inf
未重设系统文件 - d:\autorun.inf
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc
d:\>attirb -h -r -s autorun.inf
d:\>tasklist /svc /////用来查看系统打开进程。显示图像名 和 pid服务号,但copy不出来,sorry了。
d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
由于我对命令记得不太清楚了才进行了这么多操作,其实只要这几步就行了:
c:\documents and settings\administrator
c:\documents and settings\administrator cd d:\ //////////进入d盘杀安全点。
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc /////用来查看系统打开进程。显示 图像名 和 pid服务号,但copy不出来,sorry了。
d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
三、成功关闭spoclsv.exe,打开c:\windows\system32\drivers,删掉spoclsv.exe。呵呵,大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
评论Feed: http://www.lziss.com/blog/feed.asp?q=comment&id=224
引用链接: http://www.lziss.com/blog/trackback.asp?id=224
引用链接: http://www.lziss.com/blog/trackback.asp?id=224
经营范围:商务咨询、企业管理咨询、投资咨询、市场策划、展览展示服务、劳动服务。
并可以为贵公司提供高质量网站建设及网站优化、产品推广服务
公司本次发布信息内容:食品、饮料、酒类、调味品等企业。如果有需要本公司进行产品投放市场前期
的策划,寻找代理商家,可以与我公司联系。
在本月10日以前联系的公司将可以安排贵公司产品参加11月份的华联超市全国订货会。
联系方式:电话 021--51021055-3
E-mail: sh-pai@hotmail,com.
联 系 人:邵先生