[建議] 有關熊貓拜拜(spoclsv.exe)的解決方法
1.病毒特徵:(包含其他變種)
(1) 會在C:\windows\system32\driver目錄下安插spoclsv.exe這個檔案
(windows 2000 系統則是在 c:\winnt\sysem32\driver)
(2) 系統使用會變慢,而在呼叫工作管理員或是regedit檔時
開啟視窗以後會馬上消失
(3) 產生大量的disktop_.ini檔
(4) 在各個磁區的根目錄下會產生隱藏的autorun.inf 及 setup.exe 檔
(5) 使用 Symantec Antivirus 企業版用戶會發現防毒無法作用
其中在C:\Program Files\Symantec AntiVirus\的 VPC32.exe 及
VPTray.exe 這兩個檔案會被移至
C:\Documents and Settings\(使用者)\ ,並在檔案後再加上.exe
(6) 會以"網路上的芳鄰"的方式向外傳播
(7) 會感染系統內所有.exe 的執行檔
以上特徵除了第一項,第二及最後一項為必定發生的情況,其他則視感染的狀況
"並不一定會出現"!!
2.解決方式:
A: 自力解決
1.將系統開至安全模式
2.點開我的電腦 在上方"工具"內點選 資料夾選項
3.在"檢視"裡面 將
□ 隱藏已知檔暗類型的副檔名 以及
□ 隱藏保護的作業系統檔案(建議使用)
把前面方框裡的打勾取消,並將
隱藏檔案及資料夾 底下的選項 選至
◎ 顯示所有檔案及資料夾
做完上述步驟請按 套用 及 確定
4.點開各個磁區 刪除各個硬碟底下的 autorun.inf 及 setup.exe
這兩個檔案
(p.s 若這兩個檔案不刪除,之後在刪除spoclsv.exe 及刪除reg檔後
重開機又會重新出現)
若找不到(看不到)這兩個檔案 請看第五點,若已找到並刪除請至第六
5.點選"開始" 選至 "執行" 鍵入 cmd
C:\Documents and Settings\Administrator> 打上 cd\ 按 ener
C:\> 打上 attrib auorun.inf -r -s -h 按 enter
C:\> 打上 attrib seup.exe -r -s -h 按 enter
(若上面兩個指令按enter以後出現找不到檔案請直接跳第六點)
C:\> 打上 del autorun.inf
C:\> 打上 del setup.exe
這樣就可以將這兩個頑強的檔案清除,請記住,若有其他顆硬碟也請
比照此方式處理
舉個例子,若系統內還有個D槽 ,請在 C:\> 打上 d: 按 enter
就會變成 D:\> 之後再重複做 attrib 這兩行指令和del的兩行指令
6.在我的電腦 C 磁碟 找到 windows資料夾(win2000為WINNT)
裡面的system32點進去 再找到 driver這個資料夾,看到裡面有個
spoclsv.exe 這個檔案,不要猶豫,砍了就對了
7. 點選 開始\執行 打上regedit 按 enter
在上方 編輯 點到"尋找" 打上spoclsv.exe 尋找
如果有找到的,請將右半邊視窗上的這些數值把滑鼠移到上面按右鍵
選刪除
8. 點選 開始\搜尋 檔案或資料夾 選到 搜尋所有檔案及資料夾
搜尋的檔名為 desktop_.ini 找到就馬上砍掉
(請記得進階選項裡要把 "搜尋隱藏檔案及資料夾" 這個選項打勾)
執行完上述的步驟以後,就可以防止病毒再次生成,請重新開機以後更新
您的防毒軟體到最新,再回到安全模式做一次全系統的完整掃描
若您使用的是 Symantec AntiVirus 企業版的朋友
請先不要急著重新開機,先將C:\Documents and Settings\(使用者)\
內的 VPC32.exe.exe 及 VPTray.exe.exe 移回
C:\Program Files\Symantec AntiVirus\內
並把檔名改回 VPC32.exe , VPTray.exe
再重新開機更新防毒 (需更新至1/11以後的病毒碼)
B.懶人方法
1.下載http://download.rising.com.cn/zsgj/NimayaKiller.scr
2.執行方法A的1~3步驟
3.點兩下去執行這套軟體,若點兩下出現亂碼的,請將檔名從
NimayaKiller.scr 改成 NimayaKiller.bat
再去執行scan
此上述兩個方法小弟已解完二十多台感染型病毒的電腦且未復發
在此貢獻一下心得,歡迎大家多多指教批評,謝謝!!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.169.218
推
01/12 22:17, , 1F
01/12 22:17, 1F
推
01/12 22:21, , 2F
01/12 22:21, 2F
※ 編輯: OortCloud 來自: 61.228.169.218 (01/12 22:24)
※ 編輯: OortCloud 來自: 61.228.169.218 (01/12 22:54)
→
01/13 01:05, , 3F
01/13 01:05, 3F
推
01/13 01:07, , 4F
01/13 01:07, 4F
→
01/13 01:07, , 5F
01/13 01:07, 5F
→
01/13 01:08, , 6F
01/13 01:08, 6F
→
01/13 01:08, , 7F
01/13 01:08, 7F
→
01/13 01:08, , 8F
01/13 01:08, 8F
→
01/13 01:08, , 9F
01/13 01:08, 9F
→
01/13 01:09, , 10F
01/13 01:09, 10F
→
01/13 01:09, , 11F
01/13 01:09, 11F
→
01/13 01:10, , 12F
01/13 01:10, 12F
→
01/13 01:10, , 13F
01/13 01:10, 13F
→
01/13 01:10, , 14F
01/13 01:10, 14F
→
01/13 01:12, , 15F
01/13 01:12, 15F
※ 編輯: OortCloud 來自: 61.228.169.218 (01/13 01:16)
推
01/13 01:17, , 16F
01/13 01:17, 16F
推
01/13 01:23, , 17F
01/13 01:23, 17F
→
01/13 01:30, , 18F
01/13 01:30, 18F
推
01/13 01:37, , 19F
01/13 01:37, 19F
推
01/13 01:38, , 20F
01/13 01:38, 20F
→
01/13 01:39, , 21F
01/13 01:39, 21F
推
01/13 01:40, , 22F
01/13 01:40, 22F
→
01/13 02:25, , 23F
01/13 02:25, 23F