판다향은 어떤 바이러스인가요?

Panda Burning Incense Virus 변종 1: 바이러스 프로세스는 "spoclsv.exe"입니다. 이것은 "Panda Burning Incense"의 초기 변종 중 하나이며, 특수 기능은 "바이러스 백신 소프트웨어 죽이기"입니다.

GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe FuckJacks.exe

해결책:

1. 바이러스 프로세스 종료 :

System\drivers\spoclsv.exe

이 디렉터리는 spoclsv.exe 변형에 따라 다를 수 있습니다. 예를 들어, 12월에 발생한 변종 디렉터리는 C:\WINDOWS\System32\Drivers\spoclsv.exe입니다. 하지만 이 방법으로 클리어할 수 있습니다.

"System\system32\spoclsv.exe"는 시스템 파일입니다. (현재 시스템 프로세스에 삽입된 변종은 없는 것으로 보이며, 변종의 메소드 변경도 배제할 수 없다.)

현재 spoclsv.exe가 실행 중인 경로를 확인하려면, 슈퍼래빗 매직 설정을 사용할 수 있습니다.

2. 바이러스 파일 삭제:

System\drivers\spoclsv.exe

바이러스와 시스템 파일을 구별하는데 주의하시기 바랍니다. 자세한 내용은 1단계를 참조하세요.

3. 바이러스 시작 항목 삭제:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="System\drivers\ spoclsv.exe"

4. 파티션 드라이브 문자의 마우스 오른쪽 버튼 클릭 메뉴에서 "열기"를 통해 파티션 루트 디렉터리를 입력하고 루트 디렉터리에서 바이러스 파일을 삭제합니다.

X:\setup.exe

Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

6. 손상된 보안 소프트웨어를 복구하거나 다시 설치합니다.

7. 감염된 프로그램을 복구합니다. 특별한 살해 도구를 사용하여 수리할 수 있으며, 그 중 4개를 독자들이 사용할 수 있도록 수집했습니다. Kingsoft Panda 향 연소 바이러스 살해 도구, Antiy Panda 향 연소 바이러스 살해 도구, Jiangmin Panda 향 연소 바이러스 살해 도구 및 Rising Panda 향 연소 바이러스 살해 도구. 수동 방법도 사용할 수 있습니다(이 문서의 끝부분 참조).

Virus Fuckjacks.exe

Virus Fuckjacks.exe

릴리스 파일

파티션의 루트 디렉터리: setup.exe

파티션의 루트 디렉터리: autorun.inf

System\Fuckjacks.exe

LAN 환경: GameSetup.exe

해결 방법

1. 마우스 오른쪽 버튼을 사용하여 드라이브 문자를 엽니다.

2. Fuckjacks.exe 프로세스를 종료합니다.

3. 릴리스하는 모든 파일(각 파티션 아래)

4. 생성된 레지스트리 정보를 삭제합니다.

해결책:

바이러스는 프로세스 보호를 사용합니다.

안전 모드 및 바이러스 백신 모드로 컴퓨터를 시작하는 것이 좋습니다. 작동 시 절대 더블클릭하지 마시고, 마우스 오른쪽 버튼 클릭을 선택하여 엽니다.

1. 작업 관리자를 열고 FuckJacks.exe 프로세스를 종료합니다.

2. 각 파티션의 드라이브 문자를 마우스 오른쪽 버튼으로 클릭하고 "열기"를 선택하여 파티션의 루트 디렉터리에 있는 setup.exe 및 autorun.inf 파일을 삭제합니다.

3. 레지스트리를 엽니다. fuckjacks.exe를 찾아 이에 대한 모든 내용을 삭제하세요.

4. 바이러스로 덮어쓴 파일(덮어쓴 파일 크기는 30,465바이트)은 복구할 수 없으며 16진수 편집기를 사용하여 00000000부터 00007700까지 수정된 파일을 삭제해야 합니다. "WhBoy"부터 파일 끝까지의 모든 코드 조각을 저장하고 원래 모양으로 복원합니다.

1. 네트워크 연결을 끊습니다.

2. 바이러스 프로세스를 종료합니다. >

p>

System\FuckJacks.exe

3. 바이러스 파일을 삭제하세요:

System\FuckJacks.exe

4. -파티션 드라이브 문자를 클릭하고 마우스 오른쪽 버튼 클릭 메뉴에서 "열기"를 클릭하여 파티션 루트 디렉터리로 들어가서 루트 디렉터리에 있는 파일을 삭제합니다:

X:\autorun.inf

X:\setup.exe

5. 바이러스로 인해 생성된 시작 항목을 삭제합니다:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"FuckJacks"="System\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"svohost"="System\FuckJacks. exe"

6. 복구 또는 다시 시작 바이러스 백신 소프트웨어 설치

7. 바이러스 백신 소프트웨어 또는 전용 종료 도구를 사용하여 전체 검사를 수행하고 감염된 exe 파일을 치료 및 복구합니다.

청소 단계

== ========

1. 네트워크 연결을 끊습니다.

2. 바이러스 처리를 종료합니다.

System\FuckJacks.exe

3. 바이러스 파일 삭제:

System\FuckJacks.exe

4. 마우스 오른쪽 버튼을 클릭합니다. 파티션 디스크 기호를 확인하려면 마우스 오른쪽 버튼 클릭 메뉴에서 "열기"를 클릭하여 파티션의 루트 디렉터리로 들어가 루트 디렉터리의 파일을 삭제합니다.

X:\autorun.inf

X:\setup.exe

5. 바이러스에 의해 생성된 시작 항목을 삭제합니다:

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"FuckJacks"="System\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 실행]

"svohost"="System\FuckJacks.exe"

6. 바이러스 백신 소프트웨어를 복구하거나 다시 설치합니다.

7. 바이러스 백신 소프트웨어나 전용 종료 도구를 사용하여 전체 검사를 수행하여 감염된 exe 파일을 제거하고 복원합니다.

감염된 파일 복구(개인 의견일 뿐, 자체 가상 머신에서만 테스트, 정상).

우선 바이러스 파일을 삭제하실 때 SYSTEM 항목에 있는 FuckJacks.exe를 해제하는 파일을 삭제하지 마세요(레지스트리를 삭제하셔야 합니다).

실행을 열고 gpedit.msc를 입력하여 그룹 정책 - 로컬 컴퓨터 정책 - Windows 설정 - 보안 설정 - 소프트웨어 제한 정책 - 기타 규칙을 엽니다.

다른 규칙을 마우스 오른쪽 버튼으로 클릭하고 - 새 해시 규칙 -을 선택하여 새 해시 규칙 창을 엽니다.

찾으려면 파일 해시에서 찾아보기를 클릭하세요. - 시스템에서 FuckJacks.exe 파일을 해제하세요... 보안 수준을 선택하세요. - 허용되지 않는지 확인한 후 다시 시작하세요(다시 시작해야 합니다).

다시 시작한 후 Panda에 감염된 프로그램을 두 번 클릭하여 실행할 수 있습니다. 프로그램을 실행한 후 FuckJacks.exe 파일은 레지스트리의 Run 키 아래에 시작 항목을 생성합니다. 문제).

감염된 프로그램을 두 번 클릭하여 실행하면 원래 상태로 복원됩니다. 모든 복원 후 시스템 진단 복구 도구 SRENG2를 사용하여 레지스트리에서 FuckJacks.exe의 시작 항목을 삭제하세요!

2. 그룹 정책을 사용하여 모든 드라이브의 자동 재생 기능을 끄십시오.

단계: 시작, 실행을 클릭하고 gpedit.msc를 입력하고 그룹 정책 편집기를 열고 컴퓨터 구성, 관리 템플릿, 시스템으로 이동하고 오른쪽 창에서 자동 재생 끄기를 선택하면 구성이 누락됩니다. 지역이 구성되지 않은 경우 드롭다운 상자에서 모든 드라이브를 선택한 다음 활성화를 선택하고 확인하고 닫습니다. 마지막으로 시작 및 실행에 gpupdate를 입력하면 정책이 적용됩니다.

해결책:

1. 네트워크 케이블을 뽑고, 네트워크 연결을 끊고, Windows 작업 관리자를 열고, 빠르게 spoclsv.exe를 찾고, 프로세스를 종료하고, explorer.exe를 찾고, 프로세스를 클릭한 다음 파일을 클릭하고 새 작업을 생성한 후 c:\WINDOWS\explorer.exe를 입력하고 확인합니다.

2. 시작, 실행을 클릭하고 cmd를 입력한 후 Enter를 누르고 다음 명령을 입력하십시오:

del c:\setup.exe /f /q

del c :\autorun.inf /f /q

하드 디스크에 여러 개의 파티션이 있는 경우 c:를 실제로 소유한 드라이브 문자(C 드라이브--gt; Z 드라이브)로 하나씩 변경하세요. . 위 두 트로이 목마 파일은 읽기 전용으로 숨겨져 있으며 모든 파일과 폴더를 표시하는 폴더 옵션 설정 기능을 통해 사용자가 볼 수 없도록 Windows 속성을 수정합니다.

3. 레지스트리를 입력하고 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run에서 svcshare 값을 삭제합니다.

4. C:\windows\system32\drivers\spoclsv.exe를 삭제합니다.

5. 바이러스 백신 소프트웨어를 복구하거나 다시 설치하고 바이러스 데이터베이스를 업그레이드합니다. 바이러스를 제거하고 감염된 .exe 파일을 지우고 복원합니다.

6. 팬더 굽기 바이러스 웹사이트 pkdown.3322.org 및 ddos2.sz45.com을 차단하는 방법은 다음과 같습니다.

C:\WINDOWS\system32\drivers를 엽니다. \etc\host 파일에 다음 형식을 추가하고 수정합니다.

# Copyright 1993-1999 Microsoft Corp.

#

# 이것은 샘플 HOSTS 파일입니다. Windows용 Microsoft TCP/IP에서 사용됩니다.

#

# 이 파일에는 호스트 이름에 대한 IP 주소 매핑이 포함되어 있습니다.

# 항목은 유지되어야 합니다. 개별 줄에 IP 주소를 입력해야 합니다.

# 첫 번째 열에 해당 호스트 이름이 와야 합니다.

# IP 주소와 호스트 이름은 at으로 구분되어야 합니다. 최소한 하나의

# 공백.

#

# 또한 주석(이와 같은)은 개별

# 줄에 삽입될 수 있습니다. 또는 '#' 기호로 표시된 컴퓨터 이름 뒤에 옵니다.

#

# 예:

#

# 102.54. 94.97 rhino.acme.com # 소스 서버

# 38.25.63.10 x.acme.com # x 클라이언트 호스트

127.0.0.1 localhost

127.0.0.1 *.3322.org

127.0.0.1 *.sz45.com

7. 폴더 옵션의 "모든 파일 및 폴더 표시"를 수정하는 방법:

A. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 브랜치를 찾아 오른쪽 창에서 CheckedValue 키 값 항목을 더블클릭하면 키 값이 1이 되어야 합니다. 값이 1이 아닌 경우. , 1로 변경합니다.

그래도 설정이 작동하지 않으면 다음 단계를 살펴보세요.

일부 트로이 목마는 자체 속성을 숨김 및 시스템 속성으로 설정하고 레지스트리에서 "폴더 옵션에서 보호된 운영 체제 파일 숨기기" 및 "모든 파일 및 폴더 표시" 옵션을 설정하면 삭제되는 것을 볼 수 있습니다. procexp를 통해 프로세스를 진행하지만, 파일이 위치한 디렉터리에서 소스 파일을 찾을 수 없고 삭제할 수도 없습니다.

(일반적으로 사진에 표시된 항목은 수리 후 볼 수 없습니다.)

이 경우 다음 내용을 ShowALLl.reg 파일에 저장한 후 파일을 두 번 클릭하여 가져올 수 있습니다. 레지스트리

Windows 레지스트리 편집기 버전 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath "="Software\ \Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"유형" ="라디오"

"CheckedValue"=dword：00000002

"ValueName"="숨김"

"DefaultValue"=dword：00000002

"HKeyRoot "=dword：80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ 폴더\Hidden\SHOWALL ]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32. dll,-30500"

"Type"="radio"

"CheckedValue"=dword：00000001

"ValueName"="숨김"

" DefaultValue"=dword：00000002

"HKeyRoot"=dword：80000001

"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

"Type"="checkbox"

"Text"="@shell32.dll, -30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"= "Software\\Microsoft\\ Windows\\CurrentVersion\\Explorer\\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword：00000000

"UncheckedValue"= dword：00000001

"DefaultValue"=d

단어：00000000

"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

자세한 작업 방법 :

1) 메모장을 통해 새 파일 만들기

2) 위 내용을 새 메모장 파일에 복사

3) 메모장 파일 메뉴를 통해 쇼로 저장 .reg

4) 저장된 showall.reg 파일을 더블클릭하고 팝업 대화상자에서 예 버튼을 클릭합니다.

참고: 위의 방법은 win2000 및 XP에 유효합니다.

B. HKEY_LOCAL_MACHINE | 소프트웨어 | Windows | CurrentVersion | Hidden | 키 값은 1입니다.

그러나 여전히 쓸모가 없을 수 있으며 숨김 파일이 여전히 표시되지 않습니다. 이는 바이러스가 원래 유효한 DWORD 값인 CheckedValue를 삭제하고 등록 표현식을 수정한 후 잘못된 새 값을 생성하기 때문입니다. 파일을 숨기려면 문자열 값 CheckedValue를 선택하고 키 값을 0으로 변경하세요!

방법: 이 CheckedValue 키 값을 삭제하고 마우스 오른쪽 버튼을 클릭하여 새 Dword 값을 생성한 다음 이름을 CheckedValue로 지정한 다음 해당 키 값을 1로 수정하여 "숨겨진 파일 모두 표시"를 선택하고 "시스템 파일 표시" ".