推荐日志

DOS下清除熊猫的简单方法

[ 2007-03-25 03:10:10 | 作者: sun ]
字体大小: | |
昨晚电脑不幸中了毒,症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件,
  c:\windows\system32\drivers里面有个spoclsv.exe文件。用删掉了过两三秒又自动生成。用

  ctrl+alt+del键打开资源管理器,刚打开就被关掉了,然后发现防火墙被关了,卡巴也打不开,想装木马清道夫也是刚启动就自动关闭了。上网查了下,这是个蠕虫病毒,会盗取帐号什么的。

  据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。 据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

  等一下在后面贴出来,这里只是介绍我的dos操作的简单快速清除的方法:(爽,dos原来这么有用的。)

  一、再任一个盘中,建立一个bat文件,内容如下:(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)

  attrib -h -s -r d:\autorun.inf

  attrib -h -s -r d:\setup.exe

  del d:\autorun.inf

  del d:\setup.exe

  md d:\setup.exe

  attrib -h -s -r c:\autorun.inf

  attrib -h -s -r c:\setup.exe

  del c:\autorun.inf

  del c:\setup.exe

  md c:\setup.exe

  attrib -h -s -r e:\autorun.inf

  attrib -h -s -r e:\setup.exe

  del e:\autorun.inf

  del e:\setup.exe

  md e:\setup.exe

  attrib -h -s -r f:\autorun.inf

  attrib -h -s -r f:\setup.exe

  del f:\autorun.inf

  del f:\setup.exe

  md f:\setup.exe

  attrib -h -s -r g:\autorun.inf

  attrib -h -s -r g:\setup.exe

  del g:\autorun.inf

  del g:\setup.exe

  md g:\setup.exe

  attrib -h -s -r h:\autorun.inf

  attrib -h -s -r h:\setup.exe

  del h:\autorun.inf

  del h:\setup.exe

  md h:\setup.exe

  del c:\windows\system32\drivers\spoclsv.exe

  运行dat文件后setup.exe,autorun.inf成功删掉。

  但c:\windows\system32\drivers下 的spoclsv.exe删不掉,估计是在运行当中,但直接在资源管理器关闭又行不通,管理器打不开阿。所以进行下一步,在dos下关闭再删除,下面是操作过程。丝毫没改动过的。二、开始-〉运行->cmd->确定,打开cmd



  c:\documents and settings\administrator>d:

  d:\>attrib -h -r -s autorun.inf

  d:\>del autorun.inf

  找不到 d:\autorun.inf

  d:\>dir

  d:\>attrib -h -r autorun.inf

  未重设系统文件 - d:\autorun.inf

  d:\>attrib -h -r -s autorun.inf

  d:\>tasklist /svc

  d:\>attirb -h -r -s autorun.inf

  d:\>tasklist /svc /////用来查看系统打开进程。显示图像名 和 pid服务号,但copy不出来,sorry了。

  d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。

  由于我对命令记得不太清楚了才进行了这么多操作,其实只要这几步就行了:

  c:\documents and settings\administrator

  c:\documents and settings\administrator cd d:\ //////////进入d盘杀安全点。

  d:\>attrib -h -r -s autorun.inf

  d:\>tasklist /svc /////用来查看系统打开进程。显示 图像名 和 pid服务号,但copy不出来,sorry了。

  d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。

  三、成功关闭spoclsv.exe,打开c:\windows\system32\drivers,删掉spoclsv.exe。呵呵,大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
评论Feed 评论Feed: http://www.lziss.com/blog/feed.asp?q=comment&id=224
UTF-8 Encoding 引用链接: http://www.lziss.com/blog/trackback.asp?id=224

浏览模式: 显示全部 | 评论: 1 | 引用: 0 | 排序 | 浏览: 1269
引用 elo958*
[ 2007-11-04 13:11:05 ]
上海派爱商务咨询有限公司
经营范围:商务咨询、企业管理咨询、投资咨询、市场策划、展览展示服务、劳动服务。
并可以为贵公司提供高质量网站建设及网站优化、产品推广服务


公司本次发布信息内容:食品、饮料、酒类、调味品等企业。如果有需要本公司进行产品投放市场前期
的策划,寻找代理商家,可以与我公司联系。

在本月10日以前联系的公司将可以安排贵公司产品参加11月份的华联超市全国订货会。

联系方式:电话 021--51021055-3
E-mail: sh-pai@hotmail,com.

联 系 人:邵先生

发表
表情图标
[1] [2] [3] [4]
[5] [6] [7] [8]
[9] [10] [11] [12]
[13] [14] [15] [16]
[17] [18] [19] [20]
[21] [22] [23] [24]
[25] [26] [27] [28]
[29] [30] [31] [32]
[33] [34] [35]
UBB代码
转换链接
表情图标
悄悄话
用户名:   密码:   注册?