作者OortCloud (aaa)
看板AntiVirus
标题[建议] 有关熊猫拜拜(spoclsv.exe)的解决方法
时间Fri Jan 12 22:15:52 2007
1.病毒特徵:(包含其他变种)
(1) 会在C:\windows\system32\driver目录下安插spoclsv.exe这个档案
(windows 2000 系统则是在 c:\winnt\sysem32\driver)
(2) 系统使用会变慢,而在呼叫工作管理员或是regedit档时
开启视窗以後会马上消失
(3) 产生大量的disktop_.ini档
(4) 在各个磁区的根目录下会产生隐藏的autorun.inf 及 setup.exe 档
(5) 使用 Symantec Antivirus 企业版用户会发现防毒无法作用
其中在C:\Program Files\Symantec AntiVirus\的 VPC32.exe 及
VPTray.exe 这两个档案会被移至
C:\Documents and Settings\(使用者)\ ,并在档案後再加上.exe
(6) 会以"网路上的芳邻"的方式向外传播
(7) 会感染系统内所有.exe 的执行档
以上特徵除了第一项,第二及最後一项为必定发生的情况,其他则视感染的状况
"并不一定会出现"!!
2.解决方式:
A: 自力解决
1.将系统开至安全模式
2.点开我的电脑 在上方"工具"内点选 资料夹选项
3.在"检视"里面 将
□ 隐藏已知档暗类型的副档名 以及
□ 隐藏保护的作业系统档案(建议使用)
把前面方框里的打勾取消,并将
隐藏档案及资料夹 底下的选项 选至
◎ 显示所有档案及资料夹
做完上述步骤请按 套用 及 确定
4.点开各个磁区 删除各个硬碟底下的 autorun.inf 及 setup.exe
这两个档案
(p.s 若这两个档案不删除,之後在删除spoclsv.exe 及删除reg档後
重开机又会重新出现)
若找不到(看不到)这两个档案 请看第五点,若已找到并删除请至第六
5.点选"开始" 选至 "执行" 键入 cmd
C:\Documents and Settings\Administrator> 打上 cd\ 按 ener
C:\> 打上 attrib auorun.inf -r -s -h 按 enter
C:\> 打上 attrib seup.exe -r -s -h 按 enter
(若上面两个指令按enter以後出现找不到档案请直接跳第六点)
C:\> 打上 del autorun.inf
C:\> 打上 del setup.exe
这样就可以将这两个顽强的档案清除,请记住,若有其他颗硬碟也请
比照此方式处理
举个例子,若系统内还有个D槽 ,请在 C:\> 打上 d: 按 enter
就会变成 D:\> 之後再重复做 attrib 这两行指令和del的两行指令
6.在我的电脑 C 磁碟 找到 windows资料夹(win2000为WINNT)
里面的system32点进去 再找到 driver这个资料夹,看到里面有个
spoclsv.exe 这个档案,不要犹豫,砍了就对了
7. 点选 开始\执行 打上regedit 按 enter
在上方 编辑 点到"寻找" 打上spoclsv.exe 寻找
如果有找到的,请将右半边视窗上的这些数值把滑鼠移到上面按右键
选删除
8. 点选 开始\搜寻 档案或资料夹 选到 搜寻所有档案及资料夹
搜寻的档名为 desktop_.ini 找到就马上砍掉
(请记得进阶选项里要把 "搜寻隐藏档案及资料夹" 这个选项打勾)
执行完上述的步骤以後,就可以防止病毒再次生成,请重新开机以後更新
您的防毒软体到最新,再回到安全模式做一次全系统的完整扫描
若您使用的是 Symantec AntiVirus 企业版的朋友
请先不要急着重新开机,先将C:\Documents and Settings\(使用者)\
内的 VPC32.exe.exe 及 VPTray.exe.exe 移回
C:\Program Files\Symantec AntiVirus\内
并把档名改回 VPC32.exe , VPTray.exe
再重新开机更新防毒 (需更新至1/11以後的病毒码)
B.懒人方法
1.下载
http://download.rising.com.cn/zsgj/NimayaKiller.scr
2.执行方法A的1~3步骤
3.点两下去执行这套软体,若点两下出现乱码的,请将档名从
NimayaKiller.scr 改成 NimayaKiller.bat
再去执行scan
此上述两个方法小弟已解完二十多台感染型病毒的电脑且未复发
在此贡献一下心得,欢迎大家多多指教批评,谢谢!!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.228.169.218
1F:推 smartck:弄了一下午...结果现在才发现这个... 01/12 22:17
2F:推 yjkuo:真专业阿 XD 01/12 22:21
※ 编辑: OortCloud 来自: 61.228.169.218 (01/12 22:24)
※ 编辑: OortCloud 来自: 61.228.169.218 (01/12 22:54)
3F:→ koei24:desktop.ini 误植请更正 01/13 01:05
4F:推 OortCloud:deskop_.ini没有错 01/13 01:07
5F:→ koei24:还有您用砍掉 desktop.ini 的方式处理,应该会有资料夹名称 01/13 01:07
6F:→ koei24:disktop_.ini....XD 01/13 01:08
7F:→ koei24:错误的问题(例如我的文件→变为Document and Setting) 01/13 01:08
8F:→ OortCloud:搜寻会找到大约七八百个desktop_.ini档,无法罗列 01/13 01:08
9F:→ koei24:记得之前Balacid病毒处理的时候,好像是直接到desktop.ini 01/13 01:08
10F:→ koei24:删除某行後储存,不过手动这样弄会死人.... 01/13 01:09
11F:→ OortCloud:对!但是这只不是巴克雷,巴克雷是用巴克雷的解法 01/13 01:09
12F:→ koei24:恩恩,了解。多谢指教。XD 01/13 01:10
13F:→ OortCloud:善用搜寻功能,找到就全部mark起来一次砍除 01/13 01:10
14F:→ OortCloud:否则spoclsv.exe在下次开机会再增生 01/13 01:10
15F:→ OortCloud:不会...XD 01/13 01:12
※ 编辑: OortCloud 来自: 61.228.169.218 (01/13 01:16)
16F:推 junorn:不知道用DOS指令del /s/q/a desktop_.ini会不会比较快。 01/13 01:17
17F:推 OortCloud:有试过,但是会出现一些无法删除(存取被拒) 01/13 01:23
18F:→ OortCloud:不过J兄对Dos指令如此熟悉,小弟还蛮佩服的... 01/13 01:30
19F:推 junorn:我也只知道那一点点啦....以前用dos的时候有在记 01/13 01:37
20F:推 OortCloud:有经历过DOS时代的应该功力很高的说.... 01/13 01:38
21F:→ OortCloud:我没有经历过就是了啦.....我是肉脚 01/13 01:39
22F:推 junorn:经历过DOS时代的只有一个是可以确定的...年纪大了0rz 01/13 01:40
23F:→ meletor:觉得我弄了个懒人包,像白痴一样..... 01/13 02:25