DOS下清除“熊猫”的简单方法 熊猫, DOS

xm007

DOS下清除“熊猫”的简单方法
“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件……
　　昨晚电脑不幸中了毒，症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件，
　　c:\windows\system32\drivers里面有个spoclsv.exe文件。用删掉了过两三秒又自动生成。用ctrl+alt+del键打开资源管理器，刚打开就被关掉了，然后发现防火墙被关了，卡巴也打不开，想装木马清道夫也是刚启动就自动关闭了。上网查了下，这是个蠕虫病毒，会盗取帐号什么的。
　　“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。
　　等一下在后面贴出来，这里只是介绍我的dos操作的简单快速清除的方法：(爽，dos原来这么有用的。)
　　一、再任一个盘中，建立一个bat文件，内容如下：
　　attrib -h -s -r d:\autorun.inf
　　attrib -h -s -r d:\setup.exe
　　del d:\autorun.inf
　　del d:\setup.exe
　　md d:\setup.exe
　　attrib -h -s -r c:\autorun.inf
　　attrib -h -s -r c:\setup.exe
　　del c:\autorun.inf
　　del c:\setup.exe
　　md c:\setup.exe

　　attrib -h -s -r e:\autorun.inf
　　attrib -h -s -r e:\setup.exe
　　del e:\autorun.inf
　　del e:\setup.exe
　　md e:\setup.exe
　　attrib -h -s -r f:\autorun.inf
　　attrib -h -s -r f:\setup.exe
　　del f:\autorun.inf
　　del f:\setup.exe
　　md f:\setup.exe
　　attrib -h -s -r g:\autorun.inf
　　attrib -h -s -r g:\setup.exe
　　del g:\autorun.inf
　　del g:\setup.exe
　　md g:\setup.exe
　　attrib -h -s -r h:\autorun.inf
　　attrib -h -s -r h:\setup.exe
　　del h:\autorun.inf
　　del h:\setup.exe
　　md h:\setup.exe
　　del c:\windows\system32\drivers\spoclsv.exe
　　运行dat文件后setup.exe,autorun.inf成功删掉。
　　但c:\windows\system32\drivers下 的spoclsv.exe删不掉，估计是在运行当中，但直接在资源管理器关闭又行不通，管理器打不开阿。所以进行下一步，在dos下关闭再删除，下面是操作过程。丝毫没改动过的。
二、开始-〉运行->cmd->确定，打开cmd
　　c:\documents and settings\administrator>d:
　　d:\>attrib -h -r -s autorun.inf
　　d:\>del autorun.inf
　　找不到 d:\autorun.inf
　　d:\>dir
　　d:\>attrib -h -r autorun.inf
　　未重设系统文件 - d:\autorun.inf
　　d:\>attrib -h -r -s autorun.inf
　　d:\>tasklist /svc
　　d:\>attirb -h -r -s autorun.inf
　　d:\>tasklist /svc /////用来查看系统打开进程。显示图像名 和 pid服务号，但copy不出来，sorry了。
　　d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
　　由于我对命令记得不太清楚了才进行了这么多操作，其实只要这几步就行了：
　　c:\documents and settings\administrator
　　c:\documents and settings\administrator cd d:\ //////////进入d盘杀安全点。
　　d:\>attrib -h -r -s autorun.inf
　　d:\>tasklist /svc /////用来查看系统打开进程。显示 图像名 和 pid服务号，但copy不出来，sorry了。
　　d:\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。
　　三、成功关闭spoclsv.exe，打开c:\windows\system32\drivers,删掉spoclsv.exe。呵呵，大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。
消失了.? http://ooo0ooo.cn °／丫éS'hAck」°
叶子的离开，是因为风的追求，还是树的不挽留？~
[url=http://wpa.qq.com/msgrd?V=1&Uin=3089581&Site=Yes黑客联盟论坛&Menu=yes[url=http://edit.yahoo.com/config/send_webmesg?.target=loveyeshack&.src=pghttp://bbs.yeshack.com/images/default/yahoo.gif[/img][/url] [url=http://amos1.taobao.com/msg.ww?v=2&uid=supermylove&s=2http://bbs.yeshack.com/images/default/taobao.gif[/img][/url]

芥茉

关于这个问题
我倒有个好方法
在桌面（当然也可以是其他地方，只要不是被感染的盘符根目录即可）新建个autorun.inf 以及setup.exe
然后复制到根目录
此时弹出 文件已存在 是否覆盖的对话框
你选择是就OK了
这个方法还可以预防呢 嘎嘎[q39]