作者OortCloud (aaa)
看板AntiVirus
標題[建議] 有關熊貓拜拜(spoclsv.exe)的解決方法
時間Fri Jan 12 22:15:52 2007
1.病毒特徵:(包含其他變種)
(1) 會在C:\windows\system32\driver目錄下安插spoclsv.exe這個檔案
(windows 2000 系統則是在 c:\winnt\sysem32\driver)
(2) 系統使用會變慢,而在呼叫工作管理員或是regedit檔時
開啟視窗以後會馬上消失
(3) 產生大量的disktop_.ini檔
(4) 在各個磁區的根目錄下會產生隱藏的autorun.inf 及 setup.exe 檔
(5) 使用 Symantec Antivirus 企業版用戶會發現防毒無法作用
其中在C:\Program Files\Symantec AntiVirus\的 VPC32.exe 及
VPTray.exe 這兩個檔案會被移至
C:\Documents and Settings\(使用者)\ ,並在檔案後再加上.exe
(6) 會以"網路上的芳鄰"的方式向外傳播
(7) 會感染系統內所有.exe 的執行檔
以上特徵除了第一項,第二及最後一項為必定發生的情況,其他則視感染的狀況
"並不一定會出現"!!
2.解決方式:
A: 自力解決
1.將系統開至安全模式
2.點開我的電腦 在上方"工具"內點選 資料夾選項
3.在"檢視"裡面 將
□ 隱藏已知檔暗類型的副檔名 以及
□ 隱藏保護的作業系統檔案(建議使用)
把前面方框裡的打勾取消,並將
隱藏檔案及資料夾 底下的選項 選至
◎ 顯示所有檔案及資料夾
做完上述步驟請按 套用 及 確定
4.點開各個磁區 刪除各個硬碟底下的 autorun.inf 及 setup.exe
這兩個檔案
(p.s 若這兩個檔案不刪除,之後在刪除spoclsv.exe 及刪除reg檔後
重開機又會重新出現)
若找不到(看不到)這兩個檔案 請看第五點,若已找到並刪除請至第六
5.點選"開始" 選至 "執行" 鍵入 cmd
C:\Documents and Settings\Administrator> 打上 cd\ 按 ener
C:\> 打上 attrib auorun.inf -r -s -h 按 enter
C:\> 打上 attrib seup.exe -r -s -h 按 enter
(若上面兩個指令按enter以後出現找不到檔案請直接跳第六點)
C:\> 打上 del autorun.inf
C:\> 打上 del setup.exe
這樣就可以將這兩個頑強的檔案清除,請記住,若有其他顆硬碟也請
比照此方式處理
舉個例子,若系統內還有個D槽 ,請在 C:\> 打上 d: 按 enter
就會變成 D:\> 之後再重複做 attrib 這兩行指令和del的兩行指令
6.在我的電腦 C 磁碟 找到 windows資料夾(win2000為WINNT)
裡面的system32點進去 再找到 driver這個資料夾,看到裡面有個
spoclsv.exe 這個檔案,不要猶豫,砍了就對了
7. 點選 開始\執行 打上regedit 按 enter
在上方 編輯 點到"尋找" 打上spoclsv.exe 尋找
如果有找到的,請將右半邊視窗上的這些數值把滑鼠移到上面按右鍵
選刪除
8. 點選 開始\搜尋 檔案或資料夾 選到 搜尋所有檔案及資料夾
搜尋的檔名為 desktop_.ini 找到就馬上砍掉
(請記得進階選項裡要把 "搜尋隱藏檔案及資料夾" 這個選項打勾)
執行完上述的步驟以後,就可以防止病毒再次生成,請重新開機以後更新
您的防毒軟體到最新,再回到安全模式做一次全系統的完整掃描
若您使用的是 Symantec AntiVirus 企業版的朋友
請先不要急著重新開機,先將C:\Documents and Settings\(使用者)\
內的 VPC32.exe.exe 及 VPTray.exe.exe 移回
C:\Program Files\Symantec AntiVirus\內
並把檔名改回 VPC32.exe , VPTray.exe
再重新開機更新防毒 (需更新至1/11以後的病毒碼)
B.懶人方法
1.下載
http://download.rising.com.cn/zsgj/NimayaKiller.scr
2.執行方法A的1~3步驟
3.點兩下去執行這套軟體,若點兩下出現亂碼的,請將檔名從
NimayaKiller.scr 改成 NimayaKiller.bat
再去執行scan
此上述兩個方法小弟已解完二十多台感染型病毒的電腦且未復發
在此貢獻一下心得,歡迎大家多多指教批評,謝謝!!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.169.218
1F:推 smartck:弄了一下午...結果現在才發現這個... 01/12 22:17
2F:推 yjkuo:真專業阿 XD 01/12 22:21
※ 編輯: OortCloud 來自: 61.228.169.218 (01/12 22:24)
※ 編輯: OortCloud 來自: 61.228.169.218 (01/12 22:54)
3F:→ koei24:desktop.ini 誤植請更正 01/13 01:05
4F:推 OortCloud:deskop_.ini沒有錯 01/13 01:07
5F:→ koei24:還有您用砍掉 desktop.ini 的方式處理,應該會有資料夾名稱 01/13 01:07
6F:→ koei24:disktop_.ini....XD 01/13 01:08
7F:→ koei24:錯誤的問題(例如我的文件→變為Document and Setting) 01/13 01:08
8F:→ OortCloud:搜尋會找到大約七八百個desktop_.ini檔,無法羅列 01/13 01:08
9F:→ koei24:記得之前Balacid病毒處理的時候,好像是直接到desktop.ini 01/13 01:08
10F:→ koei24:刪除某行後儲存,不過手動這樣弄會死人.... 01/13 01:09
11F:→ OortCloud:對!但是這隻不是巴克雷,巴克雷是用巴克雷的解法 01/13 01:09
12F:→ koei24:恩恩,了解。多謝指教。XD 01/13 01:10
13F:→ OortCloud:善用搜尋功能,找到就全部mark起來一次砍除 01/13 01:10
14F:→ OortCloud:否則spoclsv.exe在下次開機會再增生 01/13 01:10
15F:→ OortCloud:不會...XD 01/13 01:12
※ 編輯: OortCloud 來自: 61.228.169.218 (01/13 01:16)
16F:推 junorn:不知道用DOS指令del /s/q/a desktop_.ini會不會比較快。 01/13 01:17
17F:推 OortCloud:有試過,但是會出現一些無法刪除(存取被拒) 01/13 01:23
18F:→ OortCloud:不過J兄對Dos指令如此熟悉,小弟還蠻佩服的... 01/13 01:30
19F:推 junorn:我也只知道那一點點啦....以前用dos的時候有在記 01/13 01:37
20F:推 OortCloud:有經歷過DOS時代的應該功力很高的說.... 01/13 01:38
21F:→ OortCloud:我沒有經歷過就是了啦.....我是肉腳 01/13 01:39
22F:推 junorn:經歷過DOS時代的只有一個是可以確定的...年紀大了0rz 01/13 01:40
23F:→ meletor:覺得我弄了個懶人包,像白癡一樣..... 01/13 02:25