本来给自己定了一个指标,每天要写一篇ASP.NET升级的心得体会,结果这两天食言了,什么都没写。原因么,有只熊猫不请自来,拿我这里当了有求必应的土地庙,举了三柱香,进来后不管三七二十一就进来拜,拜就拜了,还把我的东西都打上了它的标记,有的还画上了它的自画像。结果我的好多东西都被它搞坏了。这可恶的熊猫烧香病毒!!我杀!!!
典型症状:
在各个分区根目录下生成隐藏文件setup.exe、gamesetup.exe、autorun.inf,各目录下生成_desktop.ini或desktop_.ini文件,系统中出现logo1_.exe、logo_1.exe、rundl132.exe、spoclsv.exe等进程,修改注册表,禁止显示隐藏文件、禁用注册表编辑、禁止Windows任务管理器、关闭知名反病毒软件及防火墙、删除反病毒软件服务、删除Ghost文件(*.gho)、删除反病毒软件的启动项、感染可执行文件(.exe、.com、.scr、.pif)及网页文件(.htm、.html、.asp、.aspx等)、监视记录QQ和访问局域网文件记录:c:/test.txt,试图QQ消息传送、在局域网内通过gamesetup.exe对使用弱口令登录的计算机用户进行攻击感染,从而达到传播的目的。
清除:
首先使用第三方进程管理工具关闭病毒进程logo1_.exe、logo_1.exe、rundl132.exe、spoclsv.exe,在硬盘中找到以上文件,删除它们,修改注册表,删除以下启动项
KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
svcshare=指向/%system32%/drivers/spoclsv.exe
启用文件夹隐藏选项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/Folder/Hidden/SHOWALL CheckedValue=1
删除setup.exe、gamesetup.exe、autorun.inf、_desktop.ini或desktop_.ini等病毒文件,将反病毒软件升级到最新版进行全盘扫描。
局域网内计算机应使用强用户口令,防止病毒清除后再次感染。建议染毒计算机在病毒清除之前先断开网络连接。
该死的病毒,我的几千个网页文件都被感染了,杀毒杀了我一天一夜,总算把它搞定了,还好损失不大。
熊猫是可爱的,但是烧香的熊猫就太可恶了!
++++++++++++++++++++++++++++++++++++++++补充的分割线+++++++++++++++++++++++++++++++
补充一句,病毒还会删除受感染的计算机上的隐含共享,如C$、D$、IPC$等,杀毒完毕后会恢复正常
========================再次补充的分割线==========================
听说这两天又有新的变种了,还没见过,有机会研究下……