1、這個病毒關閉眾多殺毒軟件和安全工具
2、循環遍歷磁盤目錄,感染文件,對關鍵系統文件跳過
3、感染所有EXE、SCR、PIF、COM文件,並更改圖標為燒香熊貓
4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木馬惡意代碼
5、自動刪除*.gho文件
近段時間,“熊貓燒香”(Worm.WhBoy.h) 蠕蟲正處於急速變種期,僅11月份至今,變種數量已達10幾個,變種速度之快,影響範圍之廣,與06年橫行於局域網的“維金”不相上下。
現在小編提供壹個手動清除此病毒的方法:
清除步驟
==========
1. 斷開網絡
2. 結束病毒進程
%System%\FuckJacks.exe
3. 刪除病毒文件:
%System%\FuckJacks.exe
4. 右鍵點擊分區盤符,點擊右鍵菜單中的“打開”進入分區根目錄,刪除根目錄下的文件
X:\autorun.inf
X:\setup.exe
5. 刪除病毒創建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修復或重新安裝反病毒軟件
7. 使用反病毒軟件或專殺工具進行全盤掃描,清除恢復被感染的exe文件
中毒文件的恢復(僅個人觀點,只在自己的虛擬機上測試正常)
首先在清除病毒文件的同時不要刪除%SYSTEM%下面釋放FuckJacks.exe的這個文件,(註冊表裏要清除幹凈)
打開運行輸入gpedit.msc打開組策略-本地計算機策略-windows設置-安全設置-軟件限制策略-其它規則
在其它規則上右鍵選擇-新散列規則=打開新散列規則窗口
在文件散列上點擊瀏覽找到-%SYSTEM%下面釋放FuckJacks.exe文件.......安全級別選擇-不允許的 確定後重啟(壹定重啟)
重啟後可以雙擊運行已經被熊貓感染的程序-運行程序後該FuckJacks.exe文件會在註冊表裏的Run鍵下建立啟動項(不會有問題的)
雙擊運行被感染的程序已經恢復原來樣子了,全部回復後用SRENG2把FuckJacks.exe在註冊表裏的啟動項刪除即可!