瑞星卡卡安全论坛
上饶创锋电脑 - 2007-1-16 2:03:00
闲话一下,晚上无意间上了论坛,想到前段时间处理“熊猫烧香”的一些小方法,于是就贴在了论坛上,标题为“熊猫烧香”速灭法,贴后发现思路因书写显得较不完整,而后又贴了一个重理后的速灭法,结果前一个被锁贴,后一个整理好的被删贴了,想想还是好好的整理一下,和大家共享一下吧。
我一直喜欢简单的方法,因为通常技术人员都是喜欢偷懒,当然我不是指所有的技术人员,主要是说自己,其实相对越简单就必须越有效,这才是像我这样的懒人喜欢做的事,要的就是简单方便而且实用。不闲话了,直接主题了。
首先声明这个新贴不针对任何人及任何产品,再者我们不是瑞星公司的人,只是一个懒人喜欢简单的小方法,在我个人的角度上我称之为补丁。
就大家遇到的“熊猫烧香”的众多问题中,我说一下我遇到的,公司有N个客户出现了相类似的问题,在我去年遇到“威金”时,无意间发现他们那种病毒有个不良习惯,喜欢把自己的一部分隐藏起来,无事之间小小的研究了一下,我的QQ空间中我也曾写过简单的清理法方法,如果大家愿意和我交流,可以联系我的QQ:9255503,大家可以加我,不要我加你们了,我的QQ己经满了,业余时我们可以相互的交流一下技术。
在前段时间,我们终于遇上了“熊猫烧香”这个可爱的小熊猫,首先发现它的不是我,而是我们公司的技术员小黄,使用两种正版杀毒软件杀了毒后,再次扫描后没有发现病毒,但仍旧发现系统有问题,而且双击盘符无法打开盘符,而点右键打开却可以打开,于是仍兼了公司技术部主管的我不能不研究一下,在下意识的情况下,我用了当时查找“威金”的简单方法,显示了D盘下的所有文件,在此说明,不要使用IE的文件夹选项显示,那样仍旧是不显示的,我也试过了,在事后我在网上的一个贴子上看到了。注册表部分被修改,再怎么样也不显示的。
于是我按我前述贴子上的说的,进入了XP的DOS方式,转入了D盘,DIR/AH,发现原来客户的机子上还有一个SETUP.EXE这样一个文件(没见过),于是转入各个盘看一下根目录,都有,想想有意思,就更改了文件属性,因为它们在XP中无法显示,更改属性后在盘符点右键,点打开,我看到了一个可爱的图标,这里我才发现为什么公司小黄使用了杀毒软件后仍旧无法查到,然后小黄格式化C盘,重装系统仍旧发现会这样的问题。于是公司技术部采用了我这个最简单的方法对这样的情况进行辅助查杀此类病毒。
几个重点先说明:
1、大家一定要把杀毒软件升级到最新的版本,我个人发现这个病毒并不感染瑞星杀毒软件,充其量只是把瑞星的进程小小的踢出内存或是不启动(表面上看)。
2、杀毒软件在整个清除过程中有着不小的作用,大家不要忽视了杀毒软件的作用。
3、因为是手工操作,大家要小心操作,不要添油加醋,不然丢了东西不要怪我哦!!!
好了,分点说明:
一、查找是不是感染了这个病毒(仅针对有此表现的版本,其它的没试过,毕竟我不是这个病毒的开发人员,也没有特别详细的分析过这个病毒)
方法:在XP中的运行菜单入键入cmd,然后鼠标点示运行,桌面上会出现一个黑底的MSDOS运行窗口,此时的路径一般都是在C盘上,请键入D:,然后回车(为了改变盘符路径),再键入CD\,然后回车(确保在当前盘符的根目录下),键入DIR/AH,然后回车,此时黑底的运行窗口中会显示一些文件列表,请大家仔细看一下,有没有autorun.inf和setup.exe,如果有表明,你肯定是有中“熊猫烧香”,如果只有autorun.inf和sxs.exe,说明你中了另一种病毒,不过也可以用下次的清理方法做一些清理,但有些指令可以不用的,大家自己可以研究。
二、辅助清理方法:
在XP中的运行菜单入键入cmd,然后鼠标点示运行,桌面上会出现一个黑底的MSDOS运行窗口,此时的路径一般都是在C盘上,-》请键入D:,然后回车(为了改变盘符路径),再键入CD\,然后回车(确保在当前盘符的根目录下),键入attrib -s -h -r autorun.inf,(注意参数间有空格),回车(注意前面参数间有空格),键入attrib -s -h -r setup.exe,回车(注意参数间有空格),键入del autorun.inf,回车(注意参数间有空格),键入del setup.exe,回车(注意参数间有空格)。根据你的分区来定做几次,如果你有四个分区就做四次,方法按箭后的步骤相同,仅是在开始的改变盘符路径上有些不同,把D:中的D改成相应的盘符即可,其它相同。最后键入EXIT,回车(退出DOS方式回到XP桌面),注意刚才的步骤做完后,不要双击我的电脑中的盘符,先启动一下你的杀毒软件全盘查杀一次,当然杀毒软件的病毒库一定要升到最新,以免查杀不了。杀过毒后,麻烦你重新启动系统一下,然后再杀一次毒。这样比较保险。
三、注意事项,
1)如果你在第一步查找“熊猫烧香”时看到盘符下有一个sxs.exe时,麻烦清除时加一个步骤,键入attrib -s -h -r sxs.exe,回车(注意参数间有空格),键入del sxs.exe,回车(注意参数间有空格),因为sxs.exe也是一种病毒文件,一道清掉比较安全,
2)这里看到的autorun.inf是引诱你双击盘符后运行setup.exe这个病毒文件的,不是有用的文件,不是正常的一个autorun.inf文件,没有用处,删掉比较好。
3)这里看到setup.exe是带有病毒的文件,本身并没有任何作用,说起来就是一病毒体,我想没有理由不删除吧。
4)这里看到sxs.exe是带有病毒的文件,本身并没有任何作用,说起来就是一病毒体,我想没有理由不删除吧。
5)当你DIR/AH时发现只有autorun.inf时,你看清了文件的内容再删,不要把有用的autorun.inf删掉了,如果没有autorun.inf,只有sxs.exe那可以清,只有setup.exe大家看清了再动手。
懒人写不动了,就到这里吧。
鸟儿天上飞 - 2007-1-16 6:14:00
无聊的家伙...想靠一个CMD搞死熊猫..做梦吧你..不说别的病毒添加的启动项怎么删 大侠请教..
水樹雨下 - 2007-1-16 6:16:00
写的好乱,看的晕死,这个文章如果在别处也发表了不知道要害死多少人
bzysc - 2007-1-16 9:12:00
哈哈。。楼主是否系统重装之后的扫尾部分??
现在的病毒都是服务与驱动相结合了!
mahuanniaobu - 2007-1-16 11:07:00
菜贴
奇迹天下 - 2007-1-16 11:10:00
米有空看~~
瑞星监控开着不就好了么
newcenturymoon - 2007-1-16 11:16:00
没有任何价值 误导老百姓
taylor05771 - 2007-1-16 11:33:00
熊猫是 感染型的 玩意 就用 CMD 命令搞定 你也太小看熊猫了吧
foranyone - 2007-1-16 11:45:00
微笑一下
chenhui530 - 2007-1-16 16:02:00
| 引用: |
【鸟儿天上飞的贴子】无聊的家伙...想靠一个CMD搞死熊猫..做梦吧你..不说别的病毒添加的启动项怎么删 大侠请教..
……………… |
这位朋友其实也不能这样妄下断言。CMD也可以清除熊猫只是稍微复杂些在恢复感染文件的时候难度高些如果不计较感染文件要清除熊猫还是可以的。
HELLO你好 - 2007-1-16 16:21:00
我看不要打击啊.靠CMD删除是困难一些.
注册表,EXE文件.HTM等等文件.不能一个个找出来都删吧.
不过大家这么打击,是很伤楼主心的啊..多多修补才是正路.
================================
其他盘的文件先用压缩文件压好了.放起来.等杀毒软件出后续包吧.
HELLO你好 - 2007-1-16 16:21:00
楼主写了这么多.也鼓励下.
闪电风暴 - 2007-1-17 12:46:00
sxs.exe 会在进程中隐藏.除IceSword还找不到..
上饶创锋电脑 - 2007-1-17 18:43:00
这个贴的原理,其实有点像杀毒软件一个工作流程,贴中手工删除文件是为了干掉隐藏的钩子文件,用户双击无法删除的钩子文件的盘符再次受到伤害,就是确保最后的杀毒软件能很好的清除所有的病毒.主要的思路是解决杀毒软件在杀这个病毒里不能找到钩子文件,并很好的完整清除病毒这样一个问题的,算是一个技术小补丁吧.而且是我在实际工作中总结出来的小技巧,会是一种谬误吗?什么叫实践出真理呀!!!!
上饶创锋电脑 - 2007-1-17 18:47:00
附加说明一下,大家有什么更好的思路,请予回贴赐教!谢谢大家
水樹雨下 - 2007-1-17 18:51:00
还是不觉得自己是在误导……
spiritfire - 2007-1-17 18:59:00
怕是又要被锁了。。。。
水樹雨下 - 2007-1-17 19:00:00
| 引用: |
【spiritfire的贴子】怕是又要被锁了。。。。
……………… |
该删
spiritfire - 2007-1-17 19:05:00
水樹雨下 - 2007-1-17 19:09:00
| 引用: |
【spiritfire的贴子】
LZ还真是执着!
……………… |
看看置顶M版的那个帖子,6搂
神狱炼龙 - 2007-1-17 19:13:00
郁闷啊!虽说我自己也是学电脑的,可是对病毒还是无可奈何啊!
spiritfire - 2007-1-17 19:18:00
| 引用: |
【水樹雨下的贴子】
看看置顶M版的那个帖子,6搂
……………… |
呵呵! 可惜你给的那个连接打不开
水樹雨下 - 2007-1-17 19:24:00
| 引用: |
【spiritfire的贴子】
呵呵! 可惜你给的那个连接打不开
……………… |
让你看M版的留言,那个帖子早被灭了,是这个帖子,他发了不止一份,漏网的
http://forum.ikaka.com/topic.asp?board=28&artid=8250787
可口可酷 - 2007-1-17 19:37:00
我不明白LZ这样的人你们个别人为何要这样打击???他也没恶意啊,况且把自己经历的写了这么多贴上来,很不容易,反观你们几个打击别人的帖子哪有一点对大家有用的东西?可以说是正版的水贴,到底该删谁的贴,真正来求问来解答的人肯定是明白的。
LZ的意思很清楚,他并没有说这样可以清楚“熊猫烧香”,只是作为杀毒前的辅助准备,这样做完以后还是要用新版的杀软来清除病毒,这样说没什么不对。
另外借此贴感谢baohe 和高歌猛进帮我解决的问题
栈道上的狼 - 2007-1-17 20:46:00
楼主对DOS命令了解有多少?什么是感染型病毒,什么是独立型病毒,什么叫钩子?根目录下的病毒杀了,其他已感染的可执行文件一双击也会重新生成病毒的.这个方法一点都不凑效,也无任何帮助,我看还是转到茶馆算了.
另外,我还想说说,你连怎么修复注册表去显示隐藏文件,双击打开磁盘都说不清楚,还怎么教人修电脑?这个修改注册表禁止显示隐藏文件的方法01年我就已经知道了,你连原理都不晓得,不是误人吗?
newcenturymoon - 2007-1-17 20:59:00
| 引用: |
【可口可酷的贴子】我不明白LZ这样的人你们个别人为何要这样打击???他也没恶意啊,况且把自己经历的写了这么多贴上来,很不容易,反观你们几个打击别人的帖子哪有一点对大家有用的东西?可以说是正版的水贴,到底该删谁的贴,真正来求问来解答的人肯定是明白的。
LZ的意思很清楚,他并没有说这样可以清楚“熊猫烧香”,只是作为杀毒前的辅助准备,这样做完以后还是要用新版的杀软来清除病毒,这样说没什么不对。
另外借此贴感谢baohe 和高歌猛进帮我解决的问题
……………… |
他那个可不是杀毒前的辅助 准备 经过他那样辅助后 你的硬盘就不剩什么了 del*.exe是删除所有exe文件!
上饶创锋电脑 - 2007-1-17 21:03:00
烦劳打击我的贴友们自重一点,我是94年从玩DOS一直到现在的,没玩过DOS,不知道计算机工作原理的,不要乱贴攻击人,谢谢!
baohe - 2007-1-17 21:10:00
| 引用: |
【上饶创锋电脑的贴子】烦劳打击我的贴友们自重一点,我是94年从玩DOS一直到现在的,没玩过DOS,不知道计算机工作原理的,不要乱贴攻击人,谢谢!
……………… |
关注这个帖子两天了。一直没发言。
不是没话说。是不急着说。
现在,我说两句:
楼主,你也不必和他们打口水仗了。
关闭所有安全软件,找个熊猫样本(找不到?我可以提供),在你的电脑上运行一下。然后,按照你自己说的方法————杀!杀一步,截图一张。一张一张发上来。看看谁还能攻击你!!
newcenturymoon - 2007-1-17 21:13:00
这里看到的autorun.inf是引诱你双击盘符后运行setup.exe这个病毒文件的....是我告诉你的吧 记得你开始说这个是主要文件来着
newcenturymoon - 2007-1-17 21:14:00
| 引用: |
【baohe的贴子】
关注这个帖子两天了。一直没发言。
不是没话说。是不急着说。
现在,我说两句:
楼主,你也不必和他们打口水仗了。
关闭所有安全软件,找个熊猫样本(找不到?我可以提供),在你的电脑上运行一下。然后,按照你自己说的方法————杀!杀一步,截图一张。一张一张发上来。看看谁还能攻击你!!
……………… |
好办法 事实胜于雄辩哦!
© 2000 - 2026 Rising Corp. Ltd.